Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Le jour où nous avons lancé un programme de Bug Bounty en moins de 15 min [YesWeHack]

D’une manière générale, la mise en place d’un programme de Bug Bounty prend un peu de temps : Il faut consulter ses équipes, valider les budgets, travailler sur la définition du périmètre, mettre en place les process de correction, établir le montant des récompenses…etc. Généralement, il se passe donc plusieurs semaines avant que le programme de Bug Bounty ne soit ouvert à nos hunters sur www.yeswehack.com.

Puis il arrive parfois qu’on doive agir vite. Mais il ne faut pas confondre vitesse et précipitation. C’est pourquoi grâce à notre plateforme et à l’écosystème YesWeHack, l’un de nos clients a pu lancer son programme de Bug Bounty en moins de 15 min chrono, sans s’emmêler les pieds dans le tapis. Je trouvais intéressant de vous faire un petit retour d’expérience là dessus.

Cette société que je ne nommerai pas (désolé ^^), a rencontré un gros problème de sécurité quelques jours plus tôt. Un cybercriminel a réussi à pénétrer sur leur site via une faille inconnue, exfiltrant des gigas de données personnelles (comptes utilisateurs et emails, mais rien de plus critique que cela heureusement), au nez et à la barbe de tous. Il faut dire que dans beaucoup d’entreprises, la sécurité n’est pas une priorité tant qu’il n’y a pas de problème et sans surprise, c’était leur cas.

Constatant le problème, ils ont alors constitué immédiatement une cellule de crise, mobilisant leurs dev leaders et leurs experts en sécurité H24. Mais malgré tout, impossible de trouver réellement comment faisait l’intrus pour passer outre les sécurités mises en place. La décision a donc été prise de faire appel à YesWeHack pour mettre en place un programme de Bug Bounty afin de débusquer un maximum de faille et éventuellement fermer la porte au cyber criminel.

Pour aller vite, l’équipe en charge du programme s’est rendue sur notre agrégateur Firebounty.com et a littéralement copié-collé le programme d’une autre société, qui correspondait le plus à ses attentes.

Après quelques modifications légères sur le périmètre, le programme était prêt à être mis en ligne au bout de quelques minutes seulement. Bien sûr, de notre côté, nous l’avons vérifié et validé immédiatement.

Parallèlement, ce qui a pris le plus de temps a concerné l’alimentation de leur wallet (portefeuille). En effet, dans de nombreuses sociétés, les process comptables sont assez lents et il faut en général faire une demande et attendre plusieurs jours si pas plus, pour obtenir un accord autorisant une dépense.

Vu l’urgence de la situation, l’équipe de la cellule de crise a rapidement obtenu les fonds nécessaires. Et voilà, au bout de ces 15 minutes, les hunters invités dans le programme privé, ont pu commencer à se pencher sur la situation de ce client.

A mi-parcours, l’équipe mobilisée a quand même réajusté le tir dans la description du périmètre pour préciser qu’elle était surtout à la recherche de failles super critiques type injection SQL. Et dès qu’un rapport de bug tombait, l’équipe l’analysait, récompensait le hunter et patchait en temps réel son site. Il est quand même utile de préciser que pour sérieusement motiver les troupes, ils ont placé les récompenses très haut. Autant dire que nos hunters étaient ravis de ces belles primes payées en quelques minutes après leur rapport.

Ainsi au bout de 3/4 jours, les équipes techniques de ce client sont parvenues à corriger une 40aine de failles, dont celle utilisée par le cybercriminel.

Objectif atteint dans l’urgence certes, mais sereinement en évitant une surréaction qui aurait pu aggraver la situation principalement en termes de communication.

Après coup, j’ai pu débriefer avec eux, et si la situation a pu être corrigée aussi rapidement, c’est tout d’abord grâce à la richesse et la diversité de notre communauté de hunters qui est la plus importante en Europe, mais aussi grâce à notre plateforme qui ne nécessite pas de temps d’apprentissage.

Évidemment, la correction en temps réel a aussi été un gros plus, puisque cela a permis d’éviter les doublons. Ils m’ont aussi confirmé que les rapports de bug obtenus étaient très travaillés et très complets, ce qui leur a permis de corriger vite sans perdre de temps dans de longs échanges avec les hunters.

Mais le plus important là dedans, c’est que ça a permis à leurs développeurs de mieux comprendre le mode opératoire des attaquants, en leur offrant un autre autre point de vue. Ainsi, ils ont pu améliorer leurs méthodologies et gagner en expérience pour sécuriser au mieux leur futur code.

C’était la première fois qu’on lançait un programme de Bug Bounty aussi rapidement et c’est agréable de constater que cela n’a pas altéré la qualité des retours. Le client est ravi, les hunters sont ravis et moi je suis ravi aussi.

Bref, soyez proactifs et pensez Bug Bounty pour éviter un préjudice irréversible !


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +



Un korbenaute trouve son nouveau job via Laou et ça c’est cool

— Article sponsorisé par Laou (mais basé sur des faits réels) —

Salut les amis, vous vous souvenez de mes articles concernant le service Laou ? Et bien j’ai appris récemment qu’au moins un de mes lecteurs (les meilleurs lecteurs du monde à la base donc ils ont un bonus en charisme) a trouvé un nouveau travail grâce à ça. Et ça fait vraiment, mais alors vraiment, plaisir.

Lorsqu’un de mes tutos permet de débloquer une situation ou que je fais découvrir un nouveau site, ça fait zizir et j’ai l’impression d’avoir été utile de manière concrète. Mais si quelqu’un trouve un travail grâce à une de mes infos c’est forcément encore mieux. Parce que l’impact sur la vie de la personne en question est beaucoup plus grand. D’ailleurs, aider les gens à trouver un emploi a toujours été une de mes envies, raison pour laquelle j’ai lancé RemixJobs dès 2010 (longtemps site de référence pour le recrutement web et informatique). Et si ce dernier vient de mourir de sa belle mort, il est possible que je vous réserve l’une ou l’autre surprise sur le sujet bientôt.

Laou recherche d'emploi dans le numérique

Tout ça pour en revenir à Laou. Pour les nouveaux venus je rappelle qu’il s’agit d’une plateforme de recrutement spécialisée dans l’IT en région. Si vous voulez découvrir le travail en province et/ou quitter le stress de la capitale, Laou vous aidera non seulement à trouver un nouvel emploi sur mesure, mais prendra aussi un tas de « soucis » à sa charge : vous trouver un logement, trouver un boulot à votre conjoint, gérer le déménagement, vous faire découvrir votre ville d’adoption … Et cerise sur le gâteau tous les frais sont à la charge de votre futur employeur.

Maintenant la partie la plus cool de l’histoire. Elle concerne Steven, développeur fullstack de 25 ans.

Sans trop entrer dans des détails perso, Steven est originaire du sud de la France et était monté à Paris pour se faire une expérience pro. Il n’y arrive pas vraiment et a un peu de mal à s’y faire un cercle d’amis. Du coup il se dit que Laou pourrait être une option et qu’il va essayer de trouver son boulot rêvé : gameplay developper dans le secteur du jeu vidéo. Sans succès dans un premier temps, car sans expérience c’est tout de suite plus compliqué.

Quitter Paris en 2020 avec Laou

En discutant un peu avec Charlotte, la personne en charge de son dossier, il se rend compte qu’il est plus important pour lui de quitter Paris et d’avoir un cadre de vie adapté que de trouver l’intitulé de boulot exact qu’il recherche. Il est prêt à faire ses classes avant. Et là BAM tout décolle, il reçoit plusieurs propositions dans diverses régions de l’hexagone.

Après plusieurs échanges et un suivi, régulier Laou lui paie une nuit d’hôtel pour lui permettre de rencontrer ce qui sera son futur employeur, be-ys. En plus c’est situé à Clermont-Ferrand #AuvergneRepresent. Juste pour vous situer un peu le dévouement de Laou, le train de Steven est arrivé avec 3 heures de retard à Clermont, et pour s’assurer que tout se passerait bien pour lui, Charlotte était à la gare, de nuit, juste pour l’accueillir. C’est ça le service Laou, du sur mesure et de la flexibilité.

Service Settlesweet

Une fois le contrat signé c’est au tour de Settlesweet de prendre le relais. Settlesweet est le partenaire de Laou pour tout ce qui se touche à la recherche de logement, ce sont eux qui prennent en charge cet aspect de A à Z. Le principe est simple : leur algorithme va analyser une quinzaine de sites d’annonces selon vos critères personnalisés afin de vous trouver le logement le plus adapté à vos envies.

Ensuite, un Home Matcher dédié à votre recherche se chargera de prendre rendez-vous pour les visites et de déposer vos candidatures, le tout en vous tournant les pouces. Settlesweet est entièrement gratuit pour les déménagements dans le cadre d’un nouvel emploi ou d’une mutation. 

Au final il se sera passé quelques mois entre la lecture de mon article et son premier jour de travail. Ce qui est plutôt pas mal, surtout en considérant la pandémie qui a retardé beaucoup de choses. J’espère que Steven lira cet article et qu’il n’hésitera pas à nous partager avec ses mots la manière dont il a vécu tout le processus, ça ferait plaisir !


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +


Rejoindre la discussion sur Korben Communauté