Il veut pirater un avion, Interview avec l’un des meilleurs chasseurs de bug au monde

Spread the love
  • Yum

Il veut pirater un avion, Interview avec l'un des meilleurs chasseurs de bug au monde

Dans le monde de la sécurité informatique, il n’y a pas de concours de hacking informatique plus prestigieux que Pwn2Own. Créé en 2007 et organisé par le Zero-Day Initiative (ZDI) de Trend Micro, le concours a bâti sa réputation au fil des ans en attirant les meilleurs talents mondiaux de l’infosec et en décernant des prix en cash de plus en plus importants.

Avec ses 12 ans d’historique, Pwn2Own est l’endroit idéal si vous voulez vous faire un nom et impressionner vos collègues informaticiens avec vos compétences en hacking. Les anciens lauréats comptent parmi les personnalités les plus importantes dans le domaine de l’infosec, et travaillent au sein des équipes de sécurité de certaines des plus grandes entreprises.

Dans son format actuel, Pwn2Own a lieu deux fois par an. L’édition de printemps a lieu à Vancouver. Les chercheurs en sécurité se concentrent sur les applications et les systèmes d’exploitation bureau et serveur. La seconde a lieu chaque automne à Tokyo, et cette édition se concentre sur les téléphones mobiles et les appareils connectés.

L’effet Fluoroacetate

Au cours de la dernière année, une équipe a dominé les concours Pwn2Own, remportant trois victoires d’affilée. L’équipe Fluoroacetate – composée d’Amat Cama et de Richard Zhu – a remporté l’édition d’automne 2018 de Pwn2Own, l’édition de printemps 2019 de Pwn2Own et l’édition d’automne 2019 de Pwn2Own, qui vient de se terminer.

Voici donc l’interview de l’un des membres de l’équipe. Il parle de ce qu’il faut faire pour atteindre le sommet de sa profession, et de la nervosité qui s’empare de lui lorsqu’il participe à des concours Pwn2Own.

ZDNet : Pouvez-vous vous présenter à nos lecteurs ?

Amat Cama : Je m’appelle Amat Cama https://twitter.com/amatcama. Je suis un chercheur indépendant en sécurité du Sénégal et j’ai commencé à faire de la recherche en 2016. Mon véritable début en sécurité a été dans les tournois CTF [Tournois Capture The Flag], en 2012. En dehors de la recherche en sécurité, j’aime la boxe, le surf, l’aviation, l’escalade et les jeux vidéo.

Le fait de gagner Pwn2Own trois fois de suite est-il  l’apogée de votre carrière en tant que chercheur en sécurité, ou avez-vous d’autres objectifs plus importants ?

Gagner Pwn2Own trois fois de suite est définitivement quelque chose dont je suis fier. À un moment donné, j’ai considéré qu’il était impossible pour moi de participer à une édition de ce concours, et c’est donc très satisfaisant d’avoir gagné le concours trois fois de suite. Cependant, je ne dirais pas que c’est l’apogée de ma carrière. Dans ce domaine, il y a toujours quelque chose de plus, quelque chose d’autre ou quelque chose de mieux à faire.

Lequel est le plus difficile ? L’édition de printemps de Pwn2Own qui se concentre sur les ordinateurs de bureau et les machines virtuelles, ou l’édition automne qui se concentre sur l’IoT et le mobile ?

À mon avis, l’édition du printemps est plus difficile parce que les cibles sont plus populaires dans le milieu de la sécurité et ont donc fait l’objet d’un examen plus minutieux de la part d’autres chercheurs.

Comment vous sentez-vous lorsque vous êtes sur la scène du Pwn2Own, juste avant d’exécuter votre code d’exploit ? Est-ce que c’est angoissant, ou à ce moment-là, vous savez que le code d’exploitation devrait fonctionner comme vous le voulez dans 100 % des cas ?

La plupart du temps, nous avons déjà fait assez de tests pour savoir où nous pensons qu’il est probable que l’exploit fonctionnera du premier coup. Cependant, en raison de la nature du bug et des mesures d’atténuation en place, il est parfois difficile de garantir un taux de réussite élevé pour l’exploit. C’est à ce moment-là que les choses peuvent être éprouvantes pour les nerfs.

publicité

Après vos trois dernières victoires, est-ce que les gens de la communauté infosec vous reconnaissent maintenant plus souvent ? Les victoires ont-elles changé quelque chose dans votre vie ?

Les victoires de Pwn2Own vous “mettent donnent la carte”, et la reconnaissance accrue vous ouvre de nouvelles opportunités. C’est aussi agréable de voir que ces victoires inspirent d’autres chercheurs et pirates informatiques à continuer à se surpasser dans leur travail et à améliorer leurs compétences. A cet égard, cela a définitivement changé ma vie infosec. Quant à ma vie quotidienne, je ne pense pas que les victoires aient changé quoi que ce soit.

Y a-t-il maintenant des pressions pour gagner le quatrième concours ? Ou vous n’avez jamais considéré Pwn2Own comme un but mais plutôt comme un passe-temps ?

Gagner est toujours agréable, mais je ne dirais pas qu’il y a une pression pour gagner une 4ème compétition. Pour moi, les expériences de Pwn2Own m’ont toujours permis d’avoir un défi bien défini à relever.

De nombreux chercheurs en infosec se tournent maintenant vers vous. Quelles sont leurs questions ?

La question la plus courante qui semble toujours intéresser les gens est : “Combien de temps ça t’a pris ?”

Les représentants des fournisseurs sont souvent présents au concours de hacking de Pwn2Own, comment réagissent-ils lorsque vous piratez leurs applications et dispositifs ?

Ils réagissent généralement assez bien, mais il y en a parfois qui ne le prennent pas très bien ou qui ne coopèrent pas. Cependant, ZDI est toujours là pour s’occuper de ces choses.

Y a-t-il un appareil ou un système que vous aimeriez voir sur la liste des cibles de Pwn2Own à l’avenir ?

Un avion – juste parce que je veux essayer de le pirater. Ce serait plutôt cool !

Quel serait votre emploi de rêve en infosec ? Ou quel est le projet ou l’organisation sur lequel ou pour lequel vous aimeriez travailler ?

Amat Cama : Ce serait un honneur de faire partie d’un certain nombre d’équipes, mais je pense qu’au bout du compte, j’aimerais avoir ma propre organisation et travailler pour moi-même.

Source : ZDNet.com

Leave a Reply