Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Les erreurs d’un professionnel du pentest

David Levin, chercheur en sécurité et CTO de Vanguard Cybersecurity a fait, ce qu’on appelle, une erreur de débutant. En analysant, sans autorisation, le site où les gens peuvent voter pour le prochain chef du Comtée de Lee dans le sud ouest de la Floride, il est tombé sur une jolie faille SQL.

Ne pas avoir l’autorisation comme dans le cadre d’un audit ou d’un bug bounty, c’est donc sa première erreur.

Évidemment, grâce à un outil (Havij) permettant d’automatiser tout ça, il a pu récupérer les noms d’utilisateurs et les mots de passe des employés du bureau des élections.

Pomper la base et récupérer des identifiants, c’est sa seconde erreur… 

Pour être certain d’avoir des ennuis, il a ensuite utilisé certains de ces comptes pour voir à quelles autre genre de données il pouvait accéder.

Utiliser ces mêmes identifiants, paf, troisième erreur !

Pensez-vous qu’il aurait prévenu les officiels du Comté de Lee ? Que nenni ! Il a informé Dan Sinclair, l’un des candidats à ces élections et ils ont eu la bonne idée de faire cette vidéo explicative, montrant ô combien c’est simple d’ouvrir en deux le site des élections.

Et c’est seulement après ça qu’il a averti les responsables du site.

Se faire mousser publiquement et ridiculiser une instance officielle qui a tous les arguments pour contre attaquer… Quatrième et grave erreur !

Alors évidemment, ce site est une passoire, la base n’est pas sécurisée, les mots de passe sont en clair… Bref, c’est de la pure négligence surtout pour un truc qui est censé gérer quelque chose d’aussi important que des élections. Mais ça n’excuse pas ses méthodes assez étrange pour un « pro ».

Après que la police ait émis un mandat d’arrêt contre lui, il s’est rendu de lui-même aux autorités et relâché quelques heures plus tard après avoir fait ce joli mugshot et versé 15 000 dollars de caution. Il attend maintenant son procès (vidéo des officiels du Comté de Lee).

635979596506064023-DavidLevin

Des cas comme ça, j’en vois tous les jours. Sur les forums, dans la presse et même dans ma boite mail. Il arrive régulièrement de trouver des failles sur un site. C’est normal. Mais à ce moment, il convient d’adopter la bonne posture pour éviter les ennuis.

Voici d’abord ce qu’il ne faut pas faire (sauf si vous êtes un black hat et que c’est votre business bien sûr ;-))) :

  • Exploiter la faille et sortir des données
  • Donner publiquement des informations sur cette faille
  • Vendre la faille au marché noir

Si vous êtes bien intentionné, votre premier réflexe sera peut-être de contacter le webmaster ou l’un des responsables de la société. ATTENTION ! J’ai déjà vu des gens bien intentionné se prendre un procès parce qu’il ont justement trouvé une faille (sans rien exploiter derrière) et qui l’ont en quelque sorte « avoué » naïvement. C’est donc un risque qui existe. Ne réclamez jamais rien en échange non plus. Si vous demandez de l’argent, du matos, un job…etc. pour vous récompenser d’une faille trouvée, cela peut être pris pour une tentative d’extorsion.

Si vraiment vous ne voulez prendre aucun risque, voici les 3 possibilités :

  • Vous passez votre chemin. L’entreprise n’aura jamais connaissance du problème et celui-ci sera surement exploité plus tard par quelqu’un qui ne sera pas forcement aussi bien intentionné que vous.
  • Vous contactez une instance officielle comme l’ANSSI qui pourra peut-être vous aider.
  • Vous contactez l’ami Zataz via son protocole d’alerte.
  • Ou vous pouvez vérifier si l’entreprise en question dispose d’un programme de Bug Bounty bien cadré. Pour cela, vous pouvez faire une petite recherche sur Firebounty. C’est le seul moyen pour vous de gagner quelque chose en découvrant une faille de sécurité.

Si vous êtes une société, ce que je peux vous recommander, c’est d’être sympa avec les gens qui vous remonte des failles, et cela même si vous n’avez pas encore de programme de Bug Bounty pour anticiper les risques et corriger votre site avant que le bad buzz du siècle ne vous touche. Ne portez pas plainte s’il n’y a pas eu de nuisance… Au contraire, remerciez la personne et corrigez au plus vite.

Dans le cas de David Levin, ce qui est assez troublant, c’est que le mec se décrit comme un professionnel alors qu’il commet toutes ces erreurs. Il a clairement tendu le bâton pour se faire battre et à mon avis, l’élément déclencheur, c’est la vidéo qu’il a réalisée pour se faire de la pub. Je n’ai rien contre ça, mais le risque qu’il a pris, était à l’évidence trop élevé.

Dommage 🙁

Source


Travis Touch – Traducteur Électronique Intelligent avec 105 langues

Traductions faciles & Hotspot Internet

105 Langues

Travis Touch est le traducteur intelligent par excellence qui tient dans la paume de votre main. Créez des liens significatifs avec les personnes que vous rencontrez. Que ce soit pour vos loisirs ou les affaires, Travis Touch permet un monde sans barrières linguistiques, traduisant à partir de 105 langues, plus que n’importe quel autre appareil.

Travis Touch écoute ce que vous dites, le traduit dans la langue sélectionnée et lit la traduction en temps réel par son haut-parleur. Votre interlocuteur peut alors s’exprimer dans sa propre langue et Travis traduira pour vous.

En Savoir +



Réponses notables

  1. “J’ai déjà vu des gens bien intentionné se prendre un procès parce qu’il ont justement trouvé une faille (sans rien exploiter derrière) et qui l’ont en quelque sorte “avoué” naïvement. C’est donc un risque qui existe. Ne réclamez jamais rien en échange non plus. Si vous demandez de l’argent, du matos, un job…etc. pour vous récompenser d’une faille trouvée, cela peut être pris pour une tentative d’extorsion.”

    C’est tellement vrai.
    Vu comment les sociétés ou les institutions réagissent, j’aurai aucune hésitation à sortir un zeroday, couler la boite qui fait le malin en ne répondant pas aux avertissements (en diffusants toutes les données) ou vendre la faille.
    Les gens cherches la merde il ne récoltent que les conséquences de leur incompétence.

    Le seul concept même qu’il y ai un risque de prévenir d’une faille est une vaste blague qui force à ne pas aider.

    Les gens ne deviennent pas black hat par hasard.
    C’est le comportement des gens

Continuer la discussion sur Korben Communauté

5 commentaires supplémentaires dans les réponses

Participants

Comment découper une carte SIM sans la bousiller

vec certains téléphone, ça devient une vraie galère au niveau des cartes SIM. Entre la SIM classique (MiniSIM), la MicroSIM et la NanoSIM, difficile de s’y retrouver et surtout de passer d’une plus grande à une plus petite sans devoir attendre que les opérateurs veuillent bien se donner la peine de vous l’envoyer…

Lire la suite


6 outils pour cloner un disque dur sous Windows et Linux

Cloner c’est facile… Bon, ok, cloner un bébé, c’est déjà plus complexe mais un disque dur, c’est l’enfance de l’art… Alors bien sûr le logiciel le plus connu pour ça, est Ghost de Symantec mais au prix de 999,99 euros HT (j’déconne, je ne connais pas le prix en vrai), c’est déjà plus rentable de se mettre à cloner son petit frère artisanalement dans le garage…

Lire la suite