Les erreurs d'un professionnel du pentest

Image illustrant l'article : Les erreurs d'un professionnel du pentest

Les erreurs d'un professionnel du pentest

par Korben -

David Levin, chercheur en sécurité et CTO de Vanguard Cybersecurity a fait, ce qu’on appelle, une erreur de débutant. En analysant, sans autorisation, le site où les gens peuvent voter pour le prochain chef du Comtée de Lee dans le sud ouest de la Floride, il est tombé sur une jolie faille SQL.

Ne pas avoir l’autorisation comme dans le cadre d’un audit ou d’un bug bounty, c’est donc sa première erreur.

Évidemment, grâce à un outil (Havij) permettant d’automatiser tout ça, il a pu récupérer les noms d’utilisateurs et les mots de passe des employés du bureau des élections.

Pomper la base et récupérer des identifiants, c’est sa seconde erreur…

Pour être certain d’avoir des ennuis, il a ensuite utilisé certains de ces comptes pour voir à quelles autre genre de données il pouvait accéder.

Utiliser ces mêmes identifiants, paf, troisième erreur !

Pensez-vous qu’il aurait prévenu les officiels du Comté de Lee ? Que nenni ! Il a informé Dan Sinclair, l’un des candidats à ces élections et ils ont eu la bonne idée de faire cette vidéo explicative, montrant ô combien c’est simple d’ouvrir en deux le site des élections.


Et c’est seulement après ça qu’il a averti les responsables du site.

Se faire mousser publiquement et ridiculiser une instance officielle qui a tous les arguments pour contre attaquer… Quatrième et grave erreur !

Alors évidemment, ce site est une passoire, la base n’est pas sécurisée, les mots de passe sont en clair… Bref, c’est de la pure négligence surtout pour un truc qui est censé gérer quelque chose d’aussi important que des élections. Mais ça n’excuse pas ses méthodes assez étrange pour un “pro”.

Après que la police ait émis un mandat d’arrêt contre lui, il s’est rendu de lui-même aux autorités et relâché quelques heures plus tard après avoir fait ce joli mugshot et versé 15 000 dollars de caution. Il attend maintenant son procès (vidéo des officiels du Comté de Lee).

635979596506064023-DavidLevin

Des cas comme ça, j’en vois tous les jours. Sur les forums, dans la presse et même dans ma boite mail. Il arrive régulièrement de trouver des failles sur un site. C’est normal. Mais à ce moment, il convient d’adopter la bonne posture pour éviter les ennuis.

Voici d’abord ce qu’il ne faut pas faire (sauf si vous êtes un black hat et que c’est votre business bien sûr ;-))) :

  • Exploiter la faille et sortir des données
  • Donner publiquement des informations sur cette faille
  • Vendre la faille au marché noir

Si vous êtes bien intentionné, votre premier réflexe sera peut-être de contacter le webmaster ou l’un des responsables de la société. ATTENTION ! J’ai déjà vu des gens bien intentionné se prendre un procès parce qu’il ont justement trouvé une faille (sans rien exploiter derrière) et qui l’ont en quelque sorte “avoué” naïvement. C’est donc un risque qui existe. Ne réclamez jamais rien en échange non plus. Si vous demandez de l’argent, du matos, un job…etc. pour vous récompenser d’une faille trouvée, cela peut être pris pour une tentative d’extorsion.

Si vraiment vous ne voulez prendre aucun risque, voici les 3 possibilités :

  • Vous passez votre chemin. L’entreprise n’aura jamais connaissance du problème et celui-ci sera surement exploité plus tard par quelqu’un qui ne sera pas forcement aussi bien intentionné que vous.
  • Vous contactez une instance officielle comme l’ANSSI qui pourra peut-être vous aider.
  • Vous contactez l’ami Zataz via son protocole d’alerte.
  • Ou vous pouvez vérifier si l’entreprise en question dispose d’un programme de Bug Bounty bien cadré. Pour cela, vous pouvez faire une petite recherche sur Firebounty. C’est le seul moyen pour vous de gagner quelque chose en découvrant une faille de sécurité.

Si vous êtes une société, ce que je peux vous recommander, c’est d’être sympa avec les gens qui vous remonte des failles, et cela même si vous n’avez pas encore de programme de Bug Bounty pour anticiper les risques et corriger votre site avant que le bad buzz du siècle ne vous touche. Ne portez pas plainte s’il n’y a pas eu de nuisance… Au contraire, remerciez la personne et corrigez au plus vite.

Dans le cas de David Levin, ce qui est assez troublant, c’est que le mec se décrit comme un professionnel alors qu’il commet toutes ces erreurs. Il a clairement tendu le bâton pour se faire battre et à mon avis, l’élément déclencheur, c’est la vidéo qu’il a réalisée pour se faire de la pub. Je n’ai rien contre ça, mais le risque qu’il a pris, était à l’évidence trop élevé.

Dommage :-(

Source

Que faire après le bac quand on est passionné de cybersécurité ?

Contenu partenaire
Logo de l'école de Cybersécurité Guardia
Tracking Matomo Guardia

Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus