Entretien avec Gilles, membre de la red team chez AlgoSecure.
Bonjour Gilles ! Est-ce que tu peux brièvement te présenter ?
Alors, je m'appelle Gilles (a.k.a. Ty-reX sur twitter), je suis pentester chez AlgoSecure. En dehors du travail, j’aime me perdre dans les rues de Lyon lors de mes courses à pied ou bien m'adonner à l'escalade. Sinon je passe mes week-ends à la montagne ou à la mer en fonction de mes envies, principalement pour faire des activités sportives. Je suis souvent reconnaissable à ma paire d’AirMax.
Peux-tu nous parler de ton parcours ?
Je suis pentester depuis 2019 et j'ai intégré l'équipe offensive d'AlgoSecure en juin 2021.
Au niveau de la formation, j'ai fait une école d'ingénieur en Réseau et Télécommunication en plus ou moins 5 ans (quelques difficultés avec les maths, mais ce qui n’empêche pas de faire de la cyber). J'ai aussi étudié un semestre en Estonie pour étudier la sécurité informatique offensive. Elle était peu pratiquée à l'époque dans les écoles françaises.
À mon arrivée chez AlgoSecure, j'ai complété mon parcours universitaire avec le mastère spécialisé de l'UTT Expert Forensic et Cybersécurité afin de voir comment gérer une réponse à incident et comprendre le fonctionnement des équipes défensives. Tout cela pour m'améliorer lors de nos différentes prestations offensives, mais surtout lors des tests d'intrusion interne et des opérations Red Team.
Qu'est-ce qui t’a motivé à devenir pentester ?
Quand j'étais petit, j'adorais casser mes jouets et ensuite essayer de les reconstruire ! Aujourd'hui dans mon métier de pentester, je fais un peu la même chose, mais en faisant plus attention. Dans notre métier, nous avons besoin de comprendre comment fonctionne chacune des briques que nous allons auditer pour en améliorer la sécurité et apporter les recommandations adéquates. Il est donc, en quelque sorte, nécessaire de savoir les détruire pour mieux les reconstruire par la suite.
Les qualités requises pour le métier de pentester selon toi ?
Il y en a beaucoup, mais selon moi la plus importante et souvent négligée quand on veut devenir pentester est la communication, qu'elle soit écrite ou orale. En tant que pentester nous sommes en contact direct avec le client. Celui-ci peut être du côté technique comme du côté organisationnel. Nous devons être capables d'adapter notre discours pour expliquer les vulnérabilités découvertes lors de nos audits. En ce qui concerne le côté rédactionnel, lors de nos audits la seule trace qui va rester chez nos clients est le rapport. Il faut que celui-ci soit compréhensible pour chacune des parties. Chaque défaut doit être détaillé avec des captures d'écrans significatives et des explications pour les reproduire. Nos recommandations doivent aussi s'adapter à l'environnement de nos clients. En plus des relations avec les clients, il faut aussi être capable de former les nouvelles recrues qui vont intégrer l'équipe offensive pour les préparer au mieux avec les missions qu'ils vont affronter.
En deuxième viendrait la curiosité, en tant que pentesteur nous devons toujours rester à l'affût des dernières technologies et des dernières vulnérabilités. Il faut également prendre le temps de tester les différents outils qui vont nous faciliter les tâches du quotidien ou bien en créer nous-mêmes s’ils ne correspondent pas à nos besoins. Pour cela de nombreuses ressources sont à notre disposition que ce soit sur Twitter, LinkedIn, GitHub ou YouTube. Si je devais en rajouter une troisième, ce serait la persévérance. Lors des différents pentests que nous menons, on peut tomber sur des clients avec un niveau de maturité en sécurité informatique plus ou moins élevé. Même si les solutions mises en place paraissent bien sécuritaires, il est important de fouiner jusqu'à trouver une faille qui nous permettra ensuite de découvrir d'autres chemins pour récupérer les clés du royaume ; comme un attaquant motivé le ferait.
Peux-tu expliquer une situation où vous avez découvert et exploité une vulnérabilité significative ?
Lors de mon premier test d'intrusion interne chez un client dans le milieu bancaire, la faille PrintNightmare est sortie la même semaine. Ce n'était pas le premier pentest du client et de nombreuses solutions de sécurité avaient été mises en place suite aux précédents audits. Cependant, au bout de quelques jours de développement et avec l’adaptation des codes d'exploitations disponibles publiquement, nous sommes arrivés à élever nos privilèges sur un des serveurs et ensuite via différents chemins obtenir les droits d'administration du domaine.
Tout cela a été rendu possible grâce au travail en équipe. Nous réalisons nos pentests au moins en binôme. Dans le cadre de cette mission, nous étions 3 pentesteurs et cela nous a permis d’allier nos différentes connaissances. Nous avons pu mettre en place des méthodes d'exploitation plus créatives et contourner les solutions de sécurité présentes à l'époque.
Quelles sont les plateformes que tu utilises pour monter en compétence ?
J'évoquais plus tôt le fait d'être curieux et de rester à jour au niveau des nouveautés en sécurité informatique. De nombreuses plateformes de formations sont disponibles sur internet avec des sites comme Hack The Box, Root Me ou encore PwnedLabs.
Ces plateformes mettent à disposition des environnements vulnérables pour s'améliorer sur différents aspects de sécurité que cela soit au niveau offensif ou bien défensif. Notamment PwnedLabs, qui se concentre sur les environnements cloud avec des cours sur les 3 providers principaux Microsoft Azure, Amazon Web Services et Google Cloud Platform.
Ces environnements sont de plus en plus déployés chez les clients que nous auditons et pour l'instant ils sont rarement maîtrisés. Une erreur de configuration est vite arrivée et peut exposer à des vulnérabilités critiques.
Comment rester à jour sur les nouvelles vulnérabilités et les techniques d'attaque ?
En ce qui concerne la sécurité offensive, la source la plus importante pour rester à jour est selon moi toujours Twitter. Pour cela, il suffit de suivre les bonnes personnes avec les sujets qui nous intéressent. Quelques exemples : l'Active Directory (Sean Metcalf), le développement de C2 (Chetan Nayak, Dominic Chell), Azure (Andy Robbins, Dr. Nestori Syynimaa) ou bien les recherches offensives (Rasta Mouse, Adam Chester).
Discord est également devenu un endroit précieux pour s'informer soit dans des groupes publics ou privés. Il y a aura toujours une personne de la communauté disponible pour partager son point de vue.
Si on aime apprendre en regardant, il y a les plateformes comme Twitch et YouTube avec des personnalités comme IppSec, John Hammond ou bien encore 0xdf.
Quelles méthodologies et outils utilises-tu ?
Le plus important au cours de nos audits, ce n'est pas forcément l'outil que nous allons utiliser. Dans un premier temps, le pentester doit prendre le temps de comprendre les systèmes et technologies à auditer. Ensuite, nous pouvons choisir parmi une multitude d'outils disponibles publiquement sur internet ou bien des solutions payantes. Si aucune des solutions disponibles ne convient, il est alors nécessaire de développer nos propres outils en commençant par des scripts en python ou en bash.
Lors d'un pentest web, le plus important est d'avoir quelque chose pour intercepter le trafic et modifier les requêtes envoyées au serveur. Pour cela, l'outil de prédilection reste Burp Suite dans sa version professionnelle. Il nous aide beaucoup dans notre vie de pentester avec la possibilité de garder toutes les requêtes qui sont envoyées et de les modifier à la volée.
Pour les audits internes en environnement Active Directory, je ne pars jamais sans une capture de l’annuaire réalisé avec SharpHound. Ensuite, nous pouvons la visualiser avec BloodHound. Ces deux outils développés par SpecterOps permettent de faire une cartographie complète de l’AD. Avec cette carte nous pouvons trouver plus facilement les chemins de compromission au fur et mesure que nous collectons des comptes avec de plus en plus de privilèges dans le réseau interne.
Et si je voulais en ajouter un dernier, ce serait GraphRunner de Beau Bullock qui est pentester chez Black Hills Information Security. Cet outil permet de réaliser de nombreuses actions offensives sur les infrastructures sous Azure en passant par Graph API proposé par Microsoft pour interroger ce service.
Si tu devais finir cette interview avec une citation de pentesteur ?
« Report as you go » de John Strand from BHIS ! Pourquoi ? parce que c’est un gain de temps. C’est le conseil le plus précieux que je peux donner à un pentester.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Damien, Enzo, Eugénie, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Lucas, Ludovic, Lyse, Nancy, Natacha, Nicolas, Pierre, PierreG, Sébastien, Tristan, Yann, et bonne visite !