Comment en es tu arrivé à ce stage chez Knock Knock ?

C’est en arrivant à ma dernière année de lycée que je me suis rendu compte que j’étais lassé des matières classiques que l’on voyait constamment. Au moment de choisir mon option de Terminale S, j’ai vu l’option Informatique et Sciences du Numériques comme un choix évident pour essayer autre chose et ne pas prendre un majeur scientifique classique. 

C’est comme ça qu’est née ma passion pour l’informatique avec ses possibilités quasi infinies de créer, résoudre des problèmes et se challenger constamment. 

Plus tard, durant ma seconde année de classe préparatoire, j’ai découvert le monde de la cybersécurité et du hacking via de la vulgarisation en ligne, grâce à des plateformes comme Youtube. Ça m’a donné un cap que j’étais sûr de vouloir explorer mais qui, à ce moment-là, me paraissait trop compliqué, faute de temps à investir, de moyen matériel et finalement d’un “guide” pour trouver un point d’ancrage pour commencer à pratiquer.

En arrivant à l’ENSEIRB-MATEMECA, c’est finalement là que j’ai pu développer ma passion pour la cybersécurité (d’abord beaucoup plus axée offensive) en rejoignant le club de cybersécurité qui venait de se créer cette même année. On a pu avoir l’expérience d’un étudiant passionné plus âgé et qui nous a apporté toutes ses connaissances pour nous aider à nous auto-former via des plateformes d’entrainement (Root-Me, TryHackMe, OverTheWire…)

Sans surprise, j’ai bien accroché avec les notions de réseau et de sécurité des systèmes que l’on a vues tout au long de la formation. C’est pour cela qu’en sortant de 2ème année je voulais absolument un stage qui touche de près ou de loin à la cybersécurité. Tout d’abord pour confirmer l’intérêt que j’y portais, mais aussi, surtout, pour avoir une expérience professionnelle dans le domaine qui me serait forcément bénéfique pour monter en compétence.

En rejoignant Knock Knock pour un stage d’application de 16 semaines, j’ai pu découvrir le hacking éthique avec le test d’intrusion (pentest) que je n’avais jamais pratiqué avant. Finalement, durant un pentest, certaines phases m’étaient déjà familières, comme la phase de reconnaissance ou de scan de réseau, et d’autres beaucoup plus floues, comme la post-exploitation et l’élévation de privilèges. 

Comment s’est passée ton expérience chez Knock Knock ?

En arrivant dans l’équipe technique, dont Antoine faisait déjà partie avec Léo, le CTO, j’ai pu directement découvrir énormément d’outils utiles au pentester qu’Antoine avait déjà commencé à recenser et catégoriser. Tout au long de notre collaboration, j’ai bien aimé notre façon de travailler en alternant de courtes phases de recherche puis d’action, en découpant finalement notre travail selon des fonctionnalités du pentest à automatiser (cf l’agile). 

J’ai pu dès le début observer une répartition inéquitable entre les différentes phases du pentest et les outils disponibles pour le pentester.

De nombreux outils de scan 🔍

Il existe de nombreux outils de scan, des outils facilement utilisables et très puissants comme Nmap par exemple. Il en va de même pour la recherche de vulnérabilités. Il existe de nombreuses bases de données libres d’accès gratuitement en ligne et qui regroupent des dizaines de milliers de failles. Je trouve ça fascinant, et en même temps j’aurai été déçu de la communauté cyber si autant d’informations n’était pas partagée gratuitement en ligne, comme le veut la tendance de rendre les applications et les bases de donnée de plus en plus open source. 

Peu d’outils d’exploitation 🔨

Ensuite, vient le problème de l’exploitation elle-même des failles qui selon moi est trop faiblement agrémentée d’outils pour le pentester. D’un côté c’est compréhensible puisque chaque faille est unique à sa façon et pour une même faille, chaque pentester ne fera pas exactement la même exploitation. Ce qui veut dire que créer un outil automatisant demanderait beaucoup temps et cela me paraissait impossible au début. 

Puis, après une phase de recherches sur les outils existants, nous nous sommes penchés sur Metasploit. Pour moi, c’est la recette idéale pour automatiser le plus d’exploits possibles : un projet open source avec une grosse communauté et qui met à jour régulièrement son framework. Je dirais que les seules choses à redire sur le projet c’est que bien sûr il pourrait y avoir encore plus d’exploits, et que la recherche des exploits n’est pas très permissive en terme de confiance. Je trouve qu’il est difficile du coup de rechercher dans leur base de données quelque chose, parfois trop de résultats parfois un mot clé change tout (unix VS linux par exemple).

Je suis étonné aussi que le framework soit codé en Ruby mais c’est peut être quelque chose de commun pour les admins réseaux, je n’ai aucune connaissance dans ce domaine là. Pour moi, le Python me paraissait plutôt une bonne solution et c’est ce que nous avons choisi pour la hacker tool box. Heureusement, encore une fois, la communauté est grande et il existe plusieurs librairies Python facilitant la communication avec la console de Metasploit et cela nous a beaucoup aidé.

Et encore beaucoup de choses à explorer ! 🔬

En ce qui concerne les autres phases du pentest, certaines restent encore inexplorées pour nous : la reconnaissance initiale (même si je connais déjà quelques outils), le maintien de l’accès et la suppression des traces par exemple. J’espère que j’aurais le temps d’aborder chaque phase et de trouver un moyen de créer une plus-value en automatisant le plus d’étapes possible ! 

Qu’est-ce que Knock Knock pourrait apporter à la communauté des pentesters ?

Je pense que ce que peut viser Knock Knock avec la HackerToolBox est similaire à ce que propose le Framework Metasploit mais en plus étendu puisque cela ciblerait vraiment toutes les phases du Pentest, là où Metasploit possède des outils de scan, de persistance, d’exploitation et de post-exploitation. Pour cela il faudrait réussir à se créer une communauté active autour de la ToolBox et cela impliquera de la maintenir à jour régulièrement. 

Selon moi, l’open source aura un effet plus bénéfique à long terme puisque cela la rendra plus complète et donc pourra satisfaire et séduire plus de monde dans la communauté. La grande plus-value du projet, à laquelle je n’ai pas encore pu apporter ma pierre à l’édifice, est la génération automatique de rapport. Pour la majeure partie des pentesters, le rapport est la partie la moins intéressante de leur travail et je m’identifie à cette tendance. 

En tant que développeur pour Knock Knock, les parties les moins faciles pour moi sont ces travaux de rédaction (pour cet article que vous êtes en train de lire 😅), ce n’est pas un exercice si facile ! Alors quand il faut rédiger un rapport pour expliquer les failles et dangers trouvés à un client qui ne connaît pas le domaine, les rapports ne sont pas toujours bien adaptés pour le client. Avec Knock Knock, cette génération automatique pourrait apporter des bénéfices pour les protagonistes, le client qui aura un rapport plus compréhensible avant d’aborder les points techniques, et une tâche beaucoup moins fastidieuse pour le pentester.

Et qu’est-ce qu’il y aura après Knock Knock ?

Il me reste un semestre pour me spécialiser et monter en compétence en cybersécurité. D’ici la fin de mes études, je ne sais pas encore si je m’orienterai vers du pentesting, mais je me verrais bien travailler dans la cyber offensive. J’aimerai beaucoup partir au Canada et donc pourquoi pas trouver une opportunité là-bas de développer mon projet professionnel ! 🚀