Comme l’an passé, les hackers éthiques de BZHunt ont remporté le Live Bug Bounty du Forum InCyber (FIC) 2024 organisé par YesWeHack, du 26 au 27 mars. Cette année, c’est la Caisse des Dépôts qui a fait tester ses plateformes. Une nouvelle victoire qui permet à la structure basée à Brest de briller et de faire valoir son savoir-faire auprès de potentiels futurs clients.
Cinq plateformes à explorer en deux jours
“C’est le 4 à la suite !” La phrase fétiche de Samuel Étienne ou de Julien Lepers pour les plus anciens est désormais applicable aux hackers éthiques de BZHunt. Les Bretons ont une nouvelle fois remporté le live Bug Bounty organisé par YesWeHack durant le Forum InCyber 2024 (FIC 2024). Après les Jeux Olympiques de Paris 2024, Doctolib et Decathlon, c’est la Caisse des Dépôts qui a laissé 5 de ses plateformes aux mains d’une vingtaine de hackers, durant deux jours, les 26 et 27 mars.
Du côté de la structure basée à Brest, on avait fait appel à 4 hackers pour se relayer afin de déceler le plus de failles de sécurité possible. En fonction du degré de gravité, une prime était allouée à la personne l’ayant détectée. “Le terrain de jeu proposé par la Caisse des Dépôts était très impressionnant, insiste Brice Augras alias ZaX, fondateur de BZHunt. La compétition étant limitée dans le temps, c’en était presque frustrant tant nous avions de quoi nous occuper. Nous devions chercher des accès à des données qui ne nous appartiennent pas. La Caisse des Dépôts englobe des services publics, pouvoir accéder aux données d’autres citoyens représente un risque pour elle. Donc on a surtout mis l’emphase sur la recherche de problématiques autour de ce qu’on appelle de la gestion des droits et du cloisonnement de la donnée entre les espaces de chaque citoyen français ou de chaque entreprise française. Donc, voir s’il y avait des problématiques d’étanchéité d’un compte à l’autre et si on pouvait les exploiter. »
Se diviser pour mieux déceler
Malgré un début de compétition “en mode diesel”, les hackers de BZHunt ont commencé à faire la différence “en fin de première journée”. L’équipe a pu s’appuyer sur les profils variés et les spécialisations de ses 4 participants. “À titre personnel, j’affectionne les vulnérabilités de type BLE (Business logic error). Cela ne requiert pas forcément un très haut niveau de technicité, mais plutôt de savoir détourner l’usage de fonctionnement. D’autres vont, par exemple, glisser une photo de profil sur un espace web, y mettre des URL de serveurs internes, au lieu de mettre une vraie URL d’image, et essayer de faire fuiter de l’information. C’est tout cette mise en commun de nos spécialisations et compétences qui crée l’émulation. Le fait d’être 4 c’est sympa en termes de complémentarité, mais aussi moralement. Creuser indéfiniment sans rien trouver pendant plusieurs heures, cela peut être démoralisant. L’esprit d’équipe joue un grand rôle pour la motivation.”
En plus d’une bonne répartition des spécialisations entre chacun, les membres de la structure ont trouvé la bonne formule pour se relayer. “Chacun faisait en fonction de sa capacité à dormir ou non. Par exemple, certains ont eu une stratégie sage avec une bonne de nuit de repos pour prendre le relais le deuxième jour.”
Le bug bounty du FIC, un coup de boost pour l’activité…
Mettre ses compétences à rude épreuve et briller lors de l’événement phare de la filière cybersécurité en Europe est gage de qualité. Cela attire forcément l’œil d’entreprises en quête de prestataires externes pour assurer leur sécurité informatique. Brice Augras l’acquiesce : “Les vecteurs d’attaque que nous utilisons en Bug Bounty sont majoritairement issus de notre R&D interne. Lorsque nous avons la chance de participer à ce Bug Bounty et de pouvoir citer en référence les groupes qui se sont prêtés à l’exercice, c’est une valeur ajoutée, au-delà de la place sur le podium. BZHunt étant une petite structure, afin de pouvoir travailler avec certains groupes du S&P500 ou du CAC40, elle doit pouvoir les rassurer afin de faire sauter ce frein, mais aussi sur la gravité et sur la qualité des vulnérabilités que nous parvenons à détecter. Derrière, nous pouvons capitaliser sur le travail effectué en Bug Bounty et le réinjecter au niveau des tests d’intrusion afin de nous différencier de la concurrence.”
… et pour partager et faire naître des vocations
Le Bug Bounty du FIC 2024 étant visible de tous les exposants et visiteurs, ces derniers regroupant également des étudiants en quête d’informations sur le domaine de la cybersécurité, la compétition attise la curiosité. Les participants, entre deux phases de recherche, sont donc sollicités pour prodiguer des conseils et faire naître des vocations.
“Plus les années passent au FIC, plus nous avons l’impression que le nombre d’étudiants visiteurs augmente. Ils viennent sur l’espace Bug Bounty nous poser des questions, savoir comment ils peuvent se lancer, s’il est possible d’en vivre. Le Bug Bounty nous permet de répondre à leurs questions. C’est aussi un moment de partage avec les plus jeunes, surtout à un moment où les formations aux métiers de la cybersécurité évoluent au sein des écoles.” Un bon signe à l’heure où la filière cherche à doubler ses effectifs et atteindre les 70 000 salariés, tous métiers confondus.
