Un hackathon nocturne organisé par la plateforme de primes de bogues YesWeHack a vu les chercheurs se battre pour gagner un maximum de 10 000 € (10 890 $ US).
L’événement, surnommé ‘Hackez-moi, je suis célèbre‘, a vu 40 chasseurs de bug bounty s’affronter pour trouver des vulnérabilités dans les scale-up françaises ou ‘licornes’ (start-up valorisées à plus d’un milliard de dollars).
Tenu la semaine dernière à Paris, en France, les chercheurs ont effectué un total de 30 heures de chasse aux insectes lors du premier événement annuel.
Le concours a généré un total de 109 rapports de vulnérabilité, dont 30 % ont été classés comme bogues de gravité élevée ou critique, l’un d’entre eux recherchant le paiement maximum de 10 000 €.
Chasse aux insectes
Le bogue le plus signalé était un contrôle d’accès inapproprié, suivi d’une erreur de logique métier et, troisièmement, de vulnérabilités de script intersite (XSS) stockées.
Les problèmes de conception sécurisée constituaient la catégorie de bogues la plus nombreuse, représentant près de la moitié de tous les rapports (41 %), tandis que les problèmes de contrôle d’accès représentaient 37 % des soumissions et les problèmes d’entrée 18 %.
Le chercheur en sécurité « smaury » est arrivé en tête du classement « à la toute dernière seconde », obtenant 70 points avec un total de 19 signalements.
Ils ont dit La gorgée quotidienne que l’événement était « une sorte de montagnes russes » car le dernier bug qu’ils ont trouvé a été validé cinq secondes avant la fin, leur accordant la première place.
Le chercheur a déclaré : « Malheureusement, je ne peux pas divulguer grand-chose sur les bogues que j’ai trouvés car la plupart d’entre eux ne sont toujours pas corrigés, au total, il y avait plus de 100 vulnérabilités signalées, donc je m’attends à ce que les équipes de développement soient assez pressées en ce moment.
« L’expérience a été formidable, chaque détail s’est déroulé sans heurts avec la logistique, de plus le fait que l’équipe de développement des entreprises participant à l’événement les ait laissées, ainsi que les chercheurs, parler et discuter des bogues potentiels, de l’impact de ceux découverts, etc.
« J’y suis allé sans trop d’attentes car la semaine précédente j’étais à Berlin pour assister à Nullcon et je n’ai pas passé une seule minute avant l’événement à chercher des bugs ou à me familiariser avec les cibles.
« Mais pendant l’événement, j’ai réussi à être super concentré (je jeûnais aussi pour le Ramadan, donc j’avais presque zéro distraction) donc j’ai trouvé pas mal de bugs allant de l’information à l’impact élevé qui m’ont permis de réserver la première place dans le tableau de bord final.
Un porte-parole de YesWeHack a déclaré La gorgée quotidienne: « Ce live bug bounty a été une incroyable opportunité de rencontrer des membres de la communauté de toute l’Europe et de partager un grand moment d’entraide et de partage. Des équipes se formaient lors de cet événement et chassaient ensemble, même si ces chasseurs ne se connaissaient pas auparavant.
« Chez YesWeHack, nous souhaitons avoir un lien fort avec les chercheurs, et nous entretenons ce lien, notamment à travers des événements en tous genres, ce qui nous motive à continuer dans cette voie.