On a reçu le hacker qui rend fou la CIA (nous tuez pas svp)
Summary
TLDRIn this interview, Baptiste Robert, a prominent figure in cybersecurity, delves into the hacker culture's evolution, distinguishing between 'white hat', 'black hat', and 'grey hat' hackers. He candidly discusses his experiences identifying vulnerabilities in high-profile systems, such as a CIA subcontractor's database, and the ethical dilemmas faced. Robert emphasizes the importance of responsible disclosure and the potential legal risks involved. He also touches on the commercial aspect of cybersecurity, where vulnerabilities can be lucrative, and shares his insights on the future of digital privacy and the power of OSINT in unveiling hidden information.
Takeaways
- 🧢 The speaker discusses the digital footprint and how it can be accessed with a single click, highlighting the importance of cybersecurity.
- 🎩 The interviewee, Baptiste Robert, explains the hacker culture and the difference between 'white hat', 'black hat', and 'grey hat' hackers.
- 🕵️♂️ 'White hat' hackers are ethical and work within the law, often with permission to test security systems, while 'black hat' hackers exploit vulnerabilities for personal gain.
- 🔍 'Grey hat' hackers fall in between, often testing security without explicit permission but with good intentions, and may disclose vulnerabilities responsibly.
- 💡 The interviewee shares personal experiences of discovering vulnerabilities and the mixed reactions from entities once these are reported.
- 🌐 Discusses the concept of OSINT (Open Source Intelligence) and how it can be used to gather and correlate public information to understand digital identities.
- 📱 Touches on the risks and responsibilities when dealing with vulnerabilities, especially the legal implications of unauthorized access.
- 🌐 The interviewee has developed a strategy to publicly notify companies of security issues without disclosing sensitive details, using social media as a platform.
- 🛠️ Shares anecdotes of finding vulnerabilities in high-profile systems, including those related to the CIA, and the subsequent interactions.
- 🏢 Talks about the business side of cybersecurity, mentioning a company called Predict Lab that specializes in digital identity analysis and the ethical considerations therein.
- 🌟 Highlights the importance of logic and creativity in cybersecurity, noting that anyone can contribute, not just those with a technical background.
Q & A
What is the main difference between a white hat, black hat, and grey hat hacker?
-White hat hackers are ethical hackers who work for security companies with a specific mandate to test and improve security systems. Black hat hackers are malicious and exploit security vulnerabilities for personal gain, typically for financial motives, without any legal authorization. Grey hat hackers fall in between; they might test security systems without explicit permission but with good intentions, often disclosing vulnerabilities to the owners to encourage them to fix the issues.
How does the speaker define 'OSINT'?
-OSINT stands for Open Source Intelligence. It refers to the ability to search for and analyze publicly available information to build a comprehensive profile or understanding of an individual or entity. This can include social media profiles, public records, and any other data that is accessible to the public.
What is the significance of the term 'And Loathing' in the context of the interview?
-And Loathing refers to the capability of connecting the dots between various public digital footprints to form a complete picture of someone's online presence. It is a play on the acronym OSINT (Open Source Intelligence) and highlights the speaker's expertise in gathering and correlating public information to understand individuals or entities better.
What is the ethical stance of the speaker regarding their hacking activities?
-The speaker maintains an ethical stance, emphasizing that while they have the skills to find vulnerabilities, they choose to disclose them responsibly, often contacting the entities involved to help them patch the security holes rather than exploit them maliciously.
Why does the speaker mention the importance of being French in the context of their work?
-The speaker underscores the significance of being French and working with a 100% French solution, emphasizing control over the technology and compliance with French laws. This is important for ethical considerations and to ensure that the tools and techniques they develop are not misused, especially by authoritarian regimes.
What is the speaker's view on the visibility and reputation in the cybersecurity field?
-The speaker believes that having a visible presence and a good reputation can facilitate better cooperation when disclosing security vulnerabilities. A known and trusted entity is more likely to be taken seriously and have their findings addressed promptly by the entities responsible for the systems in question.
How does the speaker describe their experience with finding security flaws in a CIA subcontractor's system?
-The speaker recounts discovering a poorly configured software that was accessible to the public, leading them to a subcontractor of the CIA. They found email addresses and contributions within the code, indicating a serious security oversight. This incident highlights the importance of proper configuration and security measures in sensitive systems.
What is the speaker's approach to handling the discovery of a security vulnerability?
-The speaker's approach is to first contact the entity responsible for the vulnerable system privately, giving them a chance to address the issue. If they do not respond or refuse to fix the problem, the speaker may resort to public disclosure as a last resort, often using social media platforms like Twitter to raise awareness.
What is the concept of 'Geo-Mining' mentioned by the speaker?
-Geo-Mining refers to the process of analyzing and extracting geographic information from various data sources, such as photos or videos, to pinpoint the exact location where the data was captured. The speaker uses this technique to locate events depicted in images or videos, showcasing the power of detailed analysis in digital forensics.
How does the speaker's background in telecommunications and Android development influence their cybersecurity work?
-The speaker's background in telecommunications and Android development provides them with a deep understanding of how mobile systems work, from the hardware to the software. This comprehensive knowledge allows them to identify vulnerabilities and security flaws more effectively, as they understand the intricacies of the technology they are analyzing.
Outlines
🧢 Introduction to Cybersecurity and Hacking Ethics
The speaker begins by introducing the topic of cybersecurity and the ethical considerations within hacking. They discuss the concept of 'white hat' and 'black hat' hackers, explaining that white hats are ethical hackers who work within the law to identify and fix security vulnerabilities, while black hats exploit these vulnerabilities for personal gain, often financially motivated. The speaker also touches on the 'grey hat' category, which lies between the two, often testing security without explicit permission but with good intentions. The conversation highlights the importance of responsible disclosure when vulnerabilities are found, emphasizing the potential legal risks involved.
🔍 The Intersection of Open Source Intelligence and Cybersecurity
This paragraph delves into the world of open source intelligence (OSINT) and its application in cybersecurity. The speaker shares personal experiences of using OSINT to uncover sensitive information, such as discovering a CIA subcontractor's database exposed online. They discuss the ethical dilemmas faced when such discoveries are made and the decision-making process regarding whether to report these findings to the affected entities. The narrative also includes a discussion about the speaker's strategy for publicly notifying organizations of security vulnerabilities without providing specific details, using Twitter as a platform for such disclosures.
🌐 Geolocation and the Power of Metadata in OSINT
The speaker explores the subcategory of OSINT known as geolocation, which involves using metadata from photos to determine their precise location. They recount a personal achievement where they used this technique to locate a video's filming site in Syria, showcasing the power of detailed observation and analysis. The paragraph emphasizes that such skills are not limited to technical experts but can be mastered by anyone with logical thinking and persistence. The speaker also reflects on their journey from a telecommunications engineer to a developer, highlighting the importance of understanding different layers of technology, from hardware to software, in the context of security.
📱 Security Flaws in Government Applications and the Role of the Ethical Hacker
In this section, the speaker discusses the discovery of severe security flaws in a government application used in India for identity verification. They describe the process of finding these vulnerabilities and the ethical considerations of reporting them. The narrative includes interactions with government agencies and the public response to such disclosures. The speaker also touches on the broader implications of privacy and data protection in the context of government surveillance and the role of ethical hackers in uncovering and addressing these issues.
🛠️ The Economics of Smartphones and Pre-installed Applications
The speaker addresses the economic model behind smartphone manufacturing, particularly focusing on the low-cost segment. They discuss how manufacturers often compensate for the low prices of devices through the collection and sale of user data. The paragraph delves into the practice of pre-installing applications on smartphones that have extensive permissions, potentially leading to data breaches. The speaker warns consumers about the risks associated with cheap smartphones and the importance of being vigilant about the data collected by these devices.
🍎 The Reality of Security in High-End Smartphones
In this final paragraph, the speaker challenges the perception of high-end smartphones, particularly Apple devices, as being impenetrable to security threats. They discuss the reality of security vulnerabilities in these devices and the financial incentives for hackers to find and exploit them. The conversation includes the concept of 'jailbreaking' and the significant rewards offered for discovering such exploits. The speaker concludes by emphasizing that no device is entirely secure and that the cybersecurity community is continually working to identify and mitigate these risks.
Mindmap
Keywords
💡Cybersécurité
💡White Hat
💡Black Hat
💡Grey Hat
💡Vulnerability
💡Open Source Intelligence (OSINT)
💡Geolocation
💡Ethical Hacking
💡Malware
💡Data Privacy
💡Jailbreak
Highlights
Introduction of the concept of digital footprint and how it can be accessed with a single click.
Discussion on the role of cybersecurity researchers and the ethical hacking spectrum.
Explanation of the terms 'white hat', 'black hat', and 'grey hat' hackers and their activities.
Insights on the motivations behind black hat hacking, often financially driven.
Description of grey hat hackers who operate without explicit permission but with good intentions.
Risks associated with discovering vulnerabilities and the legal implications of unauthorized access.
Personal experiences of the guest, including threats and the ethical dilemmas faced.
The importance of approach and communication when dealing with discovered security flaws.
Use of social media as a platform for ethical hackers to publicly disclose security issues.
Case study of discovering a vulnerability in a software used by the CIA and the subsequent actions taken.
Discussion on the concept of Open Source Intelligence (OSINT) and its applications.
Explanation of the term 'And Loathing' and its significance in the digital world.
The ethical considerations of using OSINT for law enforcement and the importance of maintaining privacy.
Personal anecdotes of using OSINT to locate specific individuals and the creativity involved in such tasks.
The role of OSINT in geolocation and how it can be used to pinpoint the source of photos or videos.
Discussion on the importance of logic and creativity in the field of cybersecurity, rather than just technical skills.
The evolution of the guest's career from telecoms to Android development and the security of Android devices.
Revelations about security flaws in Android malware and the strategies used to combat them.
The economic model of smartphone manufacturing and the implications for user privacy and data security.
Advice on choosing smartphones with regards to privacy and the potential risks of low-cost devices.
Transcripts
en fait je vais mettre ton nom et je
vais pas avoir juste ton twitter je vais
avoir toute ta vie numérique toutes les
informations publiques qui se maintient
en un clic
on va à cuire mathieu sur le plateau et
poursuivre avec l'interview de notre
invité baptiste robert
on va parler de trucs passionnants avec
baptiste comme on disait donc chercheurs
en cybersécurité tu fais de lauzes into
si ça m'arrive de temps en temps alors
on a eu des sujets comme un jeu wii dix
ans de guerre les mêmes trucs c'est pour
ça que les traits quand on veut pas voir
notamment tu te définis comme un gros
chat
peut nous expliquer ce que c'est quoi la
différence d'âge avec white hat et tout
ça alors dans le dans le dans le milieu
du hacking on a tendance pour en fait le
hacking de base est un aîné principal de
la culture hacker est né aux états unis
il ya il ya quelques dessins il ya
quelques décennies comme c'est les états
unis c'est toujours un peu blanc ou noir
et dans le hacking on a quand même
rajouter une couleur au milieu c'est du
mec qui sait pas trop ce n'est pas tous
positionnés et donc en gros on comprend
assez vite c'est les chapeaux blancs les
chapeaux noires et chapeau gris et donc
le chapeau blanc c'est le sait le hacker
qui va travailler qui va travailler pour
une société de sécurité en général qui
va avoir un mandat spécifique de la part
de la personne pour dire ok je voudrais
que tu testes la sécurité de mon site
internet vas-y et s'est trouvé des
failles et si tu en trouves as tu me le
dis tu me le dis en privé on discute et
c'est le chapeau noir ça va être le
méchant donc c'est celui qui va essayer
de tirer profit des failles de sécurité
dont kiel nuit là où absolument aucun
mandat de rien du tout il arrive il
prend un truc qui l'intéressent il
trouve une faille de sécurité ils
essaient ils volent leur dhabi liste qui
rentabilise et le en général le premier
la première motivation c'est l'argent
et il va essayer de tirer profit de ses
compétences de hackers et après tu as le
celui qui au milieu
qu'il ya une notion légale dans tout ça
c'est à dire que le black le black hat
il est forcément hors des lois le white
hat il est complètement dans le cadre de
la loi et le grès il est sur la ligne
est en fait il n'a pas le mandat des
fois ils demandent à défaut il a pas le
mandat pour aller tester la sécurité du
site et après il va quand même essayer
de faire les choses bien c'est à dire
qu' il va aller tester la sécurité
jeunes importe quoi de ton site internet
sans que tu m'as donné la permission je
vais trouver une faille de sécurité et
comme je suis quand même un mec sympa
même si j'avais pas le mandat je vais
être contacté je vais essayer de faire
au mieux mais si tu me réponds pas où tu
me dis ouah baptiste ça me sourit avec
tes trucs que nos marges sympa réparer
si tu menaces
je vais m'autoriser à le publier en
publiquement sur twitter en disant
franchement il est pas cool il n'a pas
voulu publier il n'a pas voulu réparer
voilà est-ce qu'il n'ya pas un risque
quand tu quand tu découvres une
vulnérabilité ou quelque chose avec
contact l'entité à qui appartient ce jeu
c'est pas un site web un système
informatique qui disent mais vous êtes
entré par effraction dans mon système
c'est pénalement répréhensible il y à il
ya carrément résultat risque il ya
carrément risque on va mais la plupart
alors il ya quand même les idées reçues
c'est à dire qu'on a l'impression que
voilà c'est la fin du monde machin c'est
super dangereux franchement j'ai j'ai
fait ça des centaines de fois et
est maintenant en prison donc c'est bien
je suis pas en prison et le nombre de
fois où j'ai j'ai eu un mauvais accueil
de la part des personnes concernées
c'est ça se compte sur les doigts d'une
main alors après par contre je jouais on
m'a demandé de venir au fin fond de
marseille point de casser les jambes ou
voilà en effet eu des menaces de mort
j'ai eu des trucs assez cool ah oui tu
déjà même pas dans la même vie que tout
j'ai eu des trucs un peu cool mais la
plupart du temps en fait c'est tu te
rends compte que ben on est tous des
techniciens et les gens qui travaillent
dans une société baby en fait ils ont à
coeur que de protéger leurs utilisateurs
de protéger leurs systèmes de se dire
certains c'est moi qui ai fait le c'est
moi qui fais l'application cemac effet
le site internet j'ai laissé passer une
faille que j'ai envie de comprendre
voilà l'autre il me saoule parce qu'il
arrive à sa fin et machin mais mais
quand même il a l'air d'avoir un truc
intéresse leur dire je vais l'écouter et
en fait ça se passe quand tu arrives
avec une approche assez bienveillante
que tu dis bah voila j'ai trouvé une
faille de sécurité je m'inquiète pas je
suis sympa je fais des pages d'argent en
contrepartie ils n'ont pas d'argent tu
le fais tu le fais vraiment de j'allais
dire de bon coeur ça se passe assez bien
je n'en doute pas mais ça que la
proportion que tu donnes méthodes un peu
que j'aurais dit j'aurais plutôt dit tu
vois un tiers ou à 55 ans après demain
résurrection après je suis pas forcément
représentatifs dans le sens où
la visibilité aide énormément et ça le
fait d'avoir un compte oui un conte
important sur les réseaux sociaux
j'avais développé en fait une stratégie
on va dire qui est de dire que je
prévenais l'entreprise concernée
publiquement sans sans donner aucune
précision ok donc typiquement j'ai eu
faim
bonjour bonjour c'était quoi c'était la
cia bonjour la cia j'ai trouvé une
faille je vais attendait à tout sauf à
ça j'ai trouvé une faille de sécurité
comment puis je vous contacte et
éducateurs et du coup j'ai réussi ils
ont vu les 204 flou sur twitter et itu
répondait alors c'est pas ça c'est pour
eux ça s'est passé un peu différemment
mais on a fini par réparer le problème
concerné alors vas-y tu peux pas
forcément si si c'était pas ça pour le
coup c'était assez simple c'est à dire
qu'il ya quand on fait du développement
quand on fait du code on a ce qu'il ya
des softwares il ya des logiciels qui
permettent de vérifier la qualité du
code et qui permet automatiquement de
vérifier s'il ya des failles de sécurité
ou pas ce logiciel là qu'une solution
très connu il avait été mal configuré
donc il était ouvert aux 80 sur internet
tout le monde pouvait y accéder et donc
moi un jour je passais par là et je suis
arrivé sur cet instant cela qui en fait
appartenait un sous traitant de la cia
et comme c'est des gens bien en fait il
avait laissé dans leur code les adresses
e-mails des personnes qui avaient fait
les comités les contributions aux codes
et donc on voyait très bien que c'était
je veux dire n'importe quoi voilà
exactement et le haïssent et yahi les
haies et du cou du coup c'est envoyer
n'importe quoi que c'était linda de la
cia qui avait fait telle contribution à
telle heure on me disait que c'était du
code qui leur appartenait c'était assez
rigolo c'est incroyable alors juste pour
les jeux c'est curieux qui voudront
savoir le détail cette petite école nom
de l'outil de crm de mémoire si je dis
pas de bêtises et verra codes sont ok
intéressant pour ce point je suis
attaqué la cia moi ça fait rêver mais
j'ai fait la même alors si vous cherchez
il ya la même avec la msa
plus faible tant que tu puisses qu'en
fait j'avais réussi à trouver un d un
mec qui travaillait là bas donc ce
n'était pas extrêmement graves à
s'appeler edouard snowdon
c'était pas extrêmement grave ici mais
c'était assez cool
c'était c'était assez cool parce que sur
le principe en fait on s'est elle aussi
le coup ok j'avais réussi retrouver
toute la vie de ce monsieur toute sa
carrière au sein de la nsa ou habiter
ses parents etc j'avais contacté j'avais
réussi à trouver quelqu'un qui allait
travailler à la maison blanche ou au ban
a été le directeur des services je passe
les détails et on avait réussi à le
contacter à faire une réunion avec lui
et de qu'ils fassent un peu le ménage
dans sa vie virtuelle a donc ce n'est
pas une farce est juste je crois que
c'est philippe sur internet monsieur
henry après et puis il ya une règle
tacite c'est ce que me disait la
personne en question il ya une règle
tacite qui dit que c'est pas interdit
pour eux d'avoir une vie virtuelle ça
dépend vraiment des postes etc
mais cela c'était quand même pas qu'on
peut lire comme dans un niveau vert
ouais c'est quand même mieux si tu es un
peu discret alors parce que pour
préciser pour les gens se disent pas que
juste t1 stocker l'eau zina je suis je
suis je suis un mec un peu chelou n'est
pas un stalker
comment définir and loathing alors le
lot zine déjà c'est un acronyme c'est
open source intelligence et c'est sur
internet en fait pour résumer vous avez
tous une vie réelle là nous on est
ensemble sur un sur un canapé en train
de discuter mais on a tous aussi une vie
numérique dans cette vie numérique on a
une identité ou plusieurs identités et
en fait on a des ponts entre bâtisse
robert qui ici assis sur un canapé
bâtisse robert qui est sur internet
qu'un compte twitter etc et loathing
c'est la capacité à aller chercher tous
ces éléments publics là et à profit les
quelques uns à partir des éléments
public ça peut être une personne
physique donc bâtisse robert mais ça
peut être une société une personne
morale ça peut être plein plein de
choses et donc c'est la capacité à
reprendre tous ces éléments-là public et
en faire à faire des corrélations à
faire des analyses et c'est comme les
dans les films là les enquêtes où il ya
des pin's avec des films comme ça entre
les est exactement et aecom et comme
j'aime bien aller au bout de mes idées
en fait j'ai demandé une société qui
s'appelle predict à la ben ok et et en
fait on a automatisé tous procès cela et
donc par exemple si je veux chercher
bâtisse robert vous si je veux je veux
te chercher toi je vais arriver un
automatisme aux injecteurs virtuel jeu m
non en fait je vais mettre ton nom et je
vais pas avoir juste en twitter je vais
avoir tout à vie numérique toutes les
informations publiques qui sont inscrits
en un clic oui c'est un peu piste et
puis si on laisse passer une prestation
du groupe voulant d'exemple une
entreprise c'est donc c'est ce qu'on
vend sur sur predict à labé en fait
c'est ça ça plein davantage et c'est
vraiment ce qui nous attend dans le
futur c'est à dire que ça sert
évidemment pour les forces de l'ordre il
ya quelqu'un je dis n'importe quoi il ya
un sdf qui a poignardé quelqu'un dans la
rue c'est intéressant de savoir qui est
cette personne ici il a un compte
facebook si la main demande si tu vends
ça aux dictatures et pour la zone moi je
suis alors je suis français et c'est un
point qui est important c'est un point
qui est ultra important est qu'on s'est
posée on a une solution qui est 100%
française c'est à dire que la tech à
l'intérieur et 100% française quand on
arrive dans ce milieu on se rend compte
qu'il ya pas beaucoup d'acteurs elles
sont souvent placés là même endroit donc
nous on est on maîtrise vraiment la
technique de bout en bout et après on a
un process de certification de
conformité on est on est accompagné
aussi par des avocats histoire de ne pas
faire complètement n'importe quoi et non
évidemment j'ai commencé comme acteur
éthique je vais essayer de le rester
c'est un peu le principe de base ball
mais il met rire c'est marrant parce que
quand je suis sur twitter j'ai
l'impression que voyager un peu beaucoup
je suis chaque semaine dans les avions à
écumer les photos et une tu dis est il
faudra essayer de toucher c'est ça c'est
marrant comme où est charlie les
internets enfin dans la vraie vie et je
range roma jamais vouloir parce qu'ils
sont juste géniaux et franchement il
faut combien de temps il ya des mecs qui
trouvant franchement en deux minutes
deux minutes après ils ont trouvé
exactement où j'étais et précis gpl au
point que je suis avec la photographe et
et surtout et c'est là c'est là où je
les admire c'est que les îles son cap
ils ont des idées sont créatifs non
seulement ils sont créatifs et en plus
ils sont rapides et maintenant j'ai du
mal à faire des quizz cessé de hocine
quiz que j'appelle ça et j'ai dû je suis
obligé d'essayer d'augmenter la
difficulté parce que c'est trop ça
devient trop face aux saints feu en plus
sur twitter les métadonnées sont clean
ouais donc fier vraiment que des
éléments de la photo en regardant la
photo c'est ça et en fait c'est une sous
catégorie de l'osi ndt qui s'appelle la
géo minutes et les ge wind c'est la
capacité à partir d'une photo de
recentrer l'action typiquement si vous
allez sur mon twitter vous allez voir il
ya j'ai pris une vidéo il ya quelqu'un
qui en syrie wii qui a posté une vidéo
de là il ya une bataille alors peut-être
pas suivi il ya une bataille entre
l'état islamique et les forces les
forces rebelles syriennes qui ont repris
une prison en syrie et il y avait une
vidéo des combats et j'ai réussi en fait
à localiser où sont les combattants qui
sont dans la vidéo pour qui est donc
effectivement c'est ce tweet en question
et envoie la latitude la longitude et la
latitude la longitude on voit que la
prison est à gauche le le baraquement la
maison en question qui est dans la vidéo
elle est en bas à droite est en fait
l'escalier on voit le au début de la
vidéo on voit l'extérieur après ils
montent sur le toit et donc on est
capable de se repérer et de voir
exactement où se trouve l action et la
givrine c'est ça et c'est le côté avec
des petits indices genre d en gros tu
fais posant la vidéo puis tu regardes
les bâtiments les petits c'est
exactement ça tu vois des citernes tu
vois des tu vois la route tu vois là je
me suis repéré aux lampadaires et après
tu vas sur google earth tu vois là
lampadaire est exactement et a battu
avec le géo inseec vraiment parfois
c'est des détails quant lui des artistes
et des poteaux à droite à gauche et des
c'est la teinture sur la route fin c'est
facile encore est ce qu'il est ce qui
est super cool et le point que je
voulais avancer ce qui est super cool
c'est que vous n'avez pas besoin d'être
technique vous avez pas besoin d'être un
hacker d'être super ce super intelligent
super dans la technique c'est la logique
les meilleures personnes qui en usine
que je connais et ils se reconnaîtront
c'est des gens qui sont compacts profils
techniques ici qu'on des métiers très
variés et c'est juste des mecs logique
qui regarde qui regardent le truc qui se
posent des questions et qui font le
chemin long et puis et puis glock ce qui
ce qui passe à l'écran c'était une vidéo
qu'on avait fait ce dont on avait tenté
de se mettre le géoïde et on a baissé de
remonter une photo qui avait été prise
de wazzan à lyon est de retrouver ou est
ce que c'était avant le loews int tu
étais en fait développeurs android si je
vous trouve très exactement et c'est ça
qui effectuent des intéressés notamment
aux applis android on voit souvent des
branchements et de sécurité à propos
d'app viendront alors je suis en fait
j'ai commencé en tant que ingénieur
télécoms et réseaux j'ai joué j'ai été
j'ai reçu mon diplôme là dessus c'est un
métier que j'ai jamais fait et j'ai
commencé
le dev android ne me plaisait bien donc
j'ai commencé comme ça en tant qu' en
tant que dave android chez intel et
petit à petit j'ai eu la chance de
travailler avec des gens ultra seniors
vraiment et qui maîtrisait vraiment leur
sujet et on construisait des téléphones
pour une telle donc on avait des
références phone donc vraiment n'avait
les plateformes et on construisait les
téléphones j'ai eu la chance de passer
par différentes équipes et de voir
différentes stack d'android en lui-même
mais du coeur d'android et petit à petit
en fait je suis passé du développement
d'applications mobiles standard au
développement de la west bay l'android
open source project d'accord donc cgt
des roms custom en fait j'ai customiser
mon taf c'était de customiser android en
lui-même pour pour que ça rentre dans
les besoins d'une telle très agaçant
parce qu offre juste des gens qui
conçoivent des systèmes d'exploitation
on n'a pas non plus une pelletée pas ya
beaucoup de gens qui créent des outils
des logiciels pour sur des sixties dame
expression mais qui sont vraiment la
nature du bas niveau quoi ça s'apprend
pas à l'école en fait à ccc ca le soucis
de ce secteur-là 6 vraiment ça s'apprend
par les colons et j'imagine qu'avec
cette vision très bas niveau comme tu
dis monsieur ben tu as forcément mieux
l'un des mieux placés pour voir
éléphants l'île de sécurité en fait ce
qui m'a ce qui m'a beaucoup aidé c'est
vraiment ça qu'a fait ma transition
c'est que j'ai
l'impression de changer de sexe en
disant que c'est que j'ai c'est en fait
c'est que j'ai travaillé dans l'équipe
power and performance donc c'est
l'équipe qui s'occupe des problèmes de
batterie et je travaillais dans un dans
un département qui n'existe plus
aujourd'hui qui s'appelle le new divide
group chez intel qui était en charge de
faire tout ce qui est terrible et tout
ce qui est nouveau device aliotti
connectés et on avait des gros gros
soucis de batterie est en fait la
batterie ça peut être très bien un
développeur android qui a mal fait son
taf est qu utilise trop de batterie mais
ça peut être le circuit imprimé au
niveau hardware qui est mal fait qu'ils
aient mal pensée et en fait quand tu
voues débugger des problèmes de batterie
vous devez connaître toutes les couches
et en fait de fait j'ai commencé comme
un jeune ingénieur m'a dit vas-y démerde
toi et j'essaie l'entièreté
j'ai dû apprendre un peu tout et c'est
ça qui était facile et on parle de bugs
dans des vins de failles de sécurité
dans des applications mobiles sic on le
disait en début d'émission s'il ya des
gens à qui tu as fait du mal c'est bien
les à redire le gouvernement indien
qu'est ce qui affecte et j'étais
intéressé a eu déjà de ben moi je fais
pas de mal je ne souhaitais amour amour
volupté
en fait
un peu c'est alors de jeune maman fait
un peu défaut ça fait très vieux de dire
ça mais je crois que c'est en 2017 ou
2018 que j'ai lancé 2010 est donc en
fait le premier
j'étais pour eux pour refaire toute
l'histoire avec l'anecdote j'ai fait le
nouvel an le nouvel an à barcelone et
j'ai commencé à recevoir sur twitter
j'avais déjà révélé une grosse faille de
sécurité sur one plus âgés trouver une
backdoor en fait une porte dérobée dans
tous les téléphones wayne plus d'accord
donc mieux avec mes amis non c'était oui
que one + avait oublié et donc ça
concernait tous les téléphones de one
plus il ya le pdg douane plus n'avait
m'avait répondu et c'est donc ce avait
pris beaucoup beaucoup beaucoup
d'ampleur qu'elle était sympathique et
assez cool tu as le choix vraiment
s'est pris un bad buzz de la mort donc
c'est super rigolo c'était vraiment mon
premier truc de gros ont de grosses
grosses boîtes et en fait donc je
commence à être un peu connu sur sur
twitter tout est relatif et je crois que
j'ai reçu beaucoup de messages de
personnes
provenant d'inde en disant ouais on a
une application ça s'appelle adar machin
je connaissais pas du tout et j'avais
une règle c'est à dire que quand j'ai
cinq six personnes qui me disent le même
temps d'application c'est que ça doit
être intéressant il ya peut-être un truc
à regarder j'ai commencé à regarder donc
le 2 janvier ou 3 janvier je crois que
le tweet de tout à l'heure c'était
c'était ça y est marqué 10 voilà c'est
le début d'année j'ai commencé à
regarder cette application est en fait
je suis tombé sur la pire application du
monde damas même un stagiaire sous après
la fête étudiante fait mieux que ça et
j'ai trouvé six ou sept vulnérabilités
mais des gros une réalité et on parle
ici d'une application qui étaient
déployés pour on parle quand même de 1
milliards 2 d'indiens ah oui et c'est
l'intensification ces ciels
gouvernementale ouais c'est ça c'est une
appli gouvernementale est en fait à dar
si vous voulez c'est un programme
d'identification
c'est à dire qu'ils ont donné un numéro
à chaque indien à chaque personne de
nationalité indienne ça s'explique pour
plein de raisons et je juge absolument
pas le bien fondé du programme en lui
même ils ont d il ya des différences
culturelles qui font que ils ont des
problèmes de recensement il on a des
problèmes d'accès aux services publics
et donc ça se justifier sur plein de
raisons sa plainte ça amène plein de
problématiques éthiques sur la privacy
sur la vie privée ça amène beaucoup
beaucoup de questions derrière ça avant
avant ça il y avait des gros trous sur
l'appui tout simplement fait et avant ça
il y avait des gros trous sur l'appli
alors on a fait le jeu du chat et la
souris la l'organisme gouvernemental qui
s'occupe de ça je suis pas sûr qu'ils
m'adorent way comment fait comment quand
il voit sa balle mal pas très bien ils
ont ils ont toujours ils ont fait des
communiqués de presse à toute la presse
en disant je disais que des bêtises mais
bon au bout de la cinquième fois 5 6 a
fini par plus trop passé et d'ailleurs
ça me fait penser j'ai eu un journaliste
indien qui m'a dit y'a pas longtemps on
a visité le centre d'informatique du
gouvernement indien ya pas longtemps
avec avec un collègue à lui et il avait
un sur leur grand écran il avait un long
fil twitter il survit au feutre en
direct mais pour voir je publie pas
quelque chose à propos de failles
d'ailleurs temps a aussi trouvé dans des
boîtes françaises notamment coché oui qu
alors le nom déjà huit coups j'avais
fait un travail tellement longtemps ah
ouais mais par contre on en a vu des
téléphones wi coasser ouais après où il
possède pas vraiment une bonne française
c'est ça qui était drôle aussi c'est à
dire que tout cas leur branding grandi
et c'est là c'est tout cela ou et et
l'escroquerie c'est à dire que en fait
oui qu derrière c'est une boîte chinoise
qui a créé plein de marques partout en
europe et donc il y avait mis qu en
france qui faisait cocorico tous ces
français bla bla bla il y avait d'autres
en italie on avait un peu partout en
europe et en fait ce n'était que des
sucres succursale devait arriver qu'ils
choisissaient sur catalogue des
téléphones qui étaient fabriqués en
chine a importé en france effectivement
il y avait deux trois personnes qui
développer des applications par dessus
mais en réalité le téléphone en lui même
était 100 chinois et c'est je crois de
mémoire c'est comme ça que ça c'est plus
ou moins fini plus que la fina a fini
par reprendre la partie française où
quelque chose que tu dis que tu avais
trouvé quoi pour tous les gens qui ont
des ricoh qui sont sexuellement
circulation n'hésitez pas à changer tout
ça de base voilà en fait j'avais réussi
à trouver des failles directement dans
le temps là le système d'exploitation
android customisée par wick haut et on
pouvait grosso modo s'il y avait un oui
qu on pouvait l'exploiter comme ça c'est
un code accéder à tous quoi c'était la
porte ouverte à toutes les fenêtres à
distance non pas à distance pas distant
mais si on avait su on mettait la main
dessus on pouvait faire ou ce qui est
déjà pas mal mais j'ai malgré le mot de
passe l'authentification question peut
être hyper bête mais c'est du temps que
tu passes quand même à faire tous à
aller chercher des villas habitées des
entreprises tout comme quand tu gagnes
de l'argent alors c'est j'ai un peu
changé qu'on l'a dit j'ai un peu changé
de casquette entre temps j'ai passé
beaucoup de temps de manière
complètement bénévole a trouvé ces
failles de sécurité mais je pense que il
ya sûrement beaucoup de personnes qui
nous regardent qui sont un peu dans le
même cas moi je me bats je suis juste et
je le répète très souvent juste juste un
mec standard le soir je regarde la télé
je jouais mon pc j'ai mes projets persos
et en fait je travaillais dans une vie
précédente je travaillais pour un
fabricant de téléphones suédois et je
travaillais vraiment de sur toute la
chaîne de bout en bout donc de la
conception du téléphone en suède
jusqu'en chine j'étais en contact et les
équipiers et je savais ce qu'il y avait
à l'intérieur je savais les saletés pour
être resté poli qui avait à l'intérieur
mais je me suis dit j'avais un téléphone
one plus et je me suis quand même je
vais regarder si les autres ils font
pareil et donc mon projet perso ça a été
juste de dire au lieu de faire un projet
quand on la touche aussi que je vais
regarder ce qu'il ya dans mon téléphone
et c'est là où j'ai trouvé la porte
dérobée et c'est là où ces partis en
cacahuète depuis et ça fait quelques
années que ça continue a donc cessé one
plus quitte à lens a lancé alors il ya
une autre histoire qui est un peu moins
connus avant c'est à dire que je
travaillais sur l'étude des malwares
android ouais j'ai beaucoup travaillé
son
des suites des comptes ça fonctionne par
campagne et donc il ya des acteurs
connus qui font des malwares et qui
passent leur temps à faire et j'avais
traquer notamment un turc qui avait une
société qui avait inondé le playsport de
malwares en fait je l'avais tellement je
l'avais tellement embêté que j'avais
réussi à écrire un article j'avais
retrouvé tous ses antécédents donc il y
avait déjà un peu d'eau sint à l'époque
donc j'avais son identité il avait déjà
été arrêté j'avais sa photo tout ça tout
ça et ça allait tellement dérangé qui
m'avait contacté sur twitter n'était pas
fini tu vas me foute la paix maintenant
bon je suis juste chez mon business
tranquille là c'est ça avec costumes
avec mes malwares c'est ça exactement et
j'avais déjà eu un article dans un
choeur news parce que j'avais réussi à
reconstituer un rang somewhere sur
android est en fait j'avais décompiler
on peut prendre une à pk donc c'est le
format des applications android on peut
la décompiler mais le code n'est pas
fonctionnel tu peux pas la rend
compliqué comme ça est ce que j'avais
fait ce que j'avais un peu bidouillé
j'avais recompilé ça et j'avais réussi
j'avais peut-être publié le source code
sur hit
et hacker news était passé par dessus et
avait fait un article comme ils font ok
alors jouer une question que qui va
sûrement te pas très simple dans le 4
mai les gens demandent c'est est ce
qu'il ya des téléphones à et des marques
de téléphones à éviter donc tu vois si
on achète un smartphone c'est quoi
oxylane pratique ouais en fait ce qu'il
faut comprendre c'est c'est ce qu'il
faut mettre au centre c'est la vie
privée si
fabriquer un téléphone ça coûte cher
c'est ce qu'il faut se rendre compte
c'est que fabriquer un téléphone on
gagne pas d'argent les fabricants ne
gagne pas d'argent sur le matériel très
très très très peu et donc aujourd'hui
gagnent de l'argent sur votre dos sur
votre données et quand vous avez un
téléphone qui est vraiment pas cher
c'est que c'est il ya une embrouille il
ya eu une embrouille c'est vous le
produit est effectivement aujourd'hui
bas si vous mettez moins 200 euros c'est
ça peut paraître fou 1ère femme et si
vous mettez moins de 100 euros sur votre
téléphone il ya un problème quoi s'est
passé c'est probablement ces machines
pareil enfin un téléphone paris censé
coûter plus cher c'est ainsi si on prend
vraiment tous les employés qui ont bossé
dessus logique il présente en fait parce
que tous les téléphones sont faits en
chine donc les téléphones faux inondées
toute la planète entière il logistique
de fou il ya un développement un
téléphone c'est un cycle assez court
c'est une année de développement mais
deux derrière vous avez des centaines
parfois de personnes qu'on travaille
faut payer leur salaire pendant une
année et tout ça mais en fait quand vous
rendez compte mais la plupart du temps
il ya des applications qui sont
préinstallés qui est un sujet que
j'avais beaucoup beaucoup étudié à
l'époque parce que qui est passionnant
et pas beaucoup regardé en fait vous
dans les téléphones vous avez des
applications qui sont préinstallés et
qui ont tous les droits qui est
d'habitude vous êtes vous avez
l'habitude d'avoir des permissions des
power up en fait horizons ils ont c'est
pas la peine pour eux ils ont ils ont un
frère cadet inclus avec eux ils sont vip
il passe partout et s'ils veulent
utiliser la localisation ils peuvent et
est en fait c'est ses applications à
préinstaller qui prennent votre data et
qu'il a rapatrié à la maison en chine ou
ailleurs et derrière il ya du lightning
qui va se faire sur cette date à la et
c'est comme ça qu'ils se font de
l'argent ok donc pas de chaouchi
vous pouvez éviter c'est bien one plus
on en est où c'est pareil on voit plus
ça fait longtemps que j'ai pas j'ai pas
regardé mais moi j'aime j'aime assez
bien one plus est ce que d'un pour apple
c'est les mêmes problématiques parce que
c'est des choses que tu as étudié alors
c'est j'ai un peu moins étudiée j'ai
fait j'ai fait aussi de la sécurité
d'applications apple
et yahoo il ya quelque chose qu'il faut
comprendre c'est que apple a très
longtemps fait un marketing de dire on
fait des téléphones super sécurisé
personne peut entrer et en fait ce qu'il
faut comprendre quand on est dans la
communauté du hacking c'est que les
hackers sont déjà un peu bête qui adore
les challenge si on va vous dire ah ça
c'est sûr c'est pas possible tu peux pas
y arriver vous pouvez être sûr qu'il ya
une horde de hackers ont dit non mais
c'est sûr à temps je baisse le store je
travaille je travaille d'affilée des
heures et je vais y arriver je vais
rentrer ça fait un test d'intrusion
gratuit alors il y aura qu ils ont
utilisé comme ça c'est ça a été utilisé
comme ça mais en vrai ça marche vous
pouvez être sûr qu'il ya toujours
quelqu'un qui va trouver et en fait
pendant des années apple a fait ce
marketing là il ya plutôt bien marché
pour eux parce qu'ils ont une réserve
d'argent assez conséquente mais derrière
en fait dans le marché de la sécurité
dans le marché des ce qu'on appelle des
zéros ddm donc des failles de sécurité
qui n'ont pas encore été révélés ou qui
seront révélées
ça a été inondée de failles sur l'apple
basque oui vous avez plein de chercheurs
en cyber sécurité qui sont sont rués sur
les téléphones apple quand on essayait
de trouver des vulnérabilités et du coup
et c'était
c'est bien rémunérés entre 500 mille et
un million de dollars donc apple
directement c'était
alors c'est ya c'est toujours pareil on
n'est pas américain donc ces terres que
la vie est une sans faire de est une
nuance de gris on va dire ça comme ça
donc il ya des pays à des sociétés
privées qui rachète sa plus belle c'est
pas tout à fait du marché noir c'est pas
du marché blanc sans espaces c'est
quelque chose je sais comme un as en
france qu'ils le font pas et rhodium par
exemple 0 diom est tenu par un français
qui très sympathique qui n'habite pas en
france et j'en dirai pas plus
mais c'est un très bon exemple mais en
tout cas si vous avez une faille à ios
vous pouvez empocher a beau pactole quoi
alors c'est quand on dit fayyad
c'est à dire c'est ce qu'on appelle un
jailbreak donc la capacité de de faire à
peu près n'importe quoi ce rôle sur le
téléphone c'est pas juste une faille
c'est con consentante c'est pas genre le
mec il est tombé dessus il a une bonne
idée il a trouvé une faille c'est vrai
que générale 6 7 8 10 failles de
sécurité qu'il faut dans des composants
différents qu'il faut lier entre eux et
donc en règle générale les gens qui
trouvent des jailbreak c'est le fameux 1
millions d'euros au 1 million de la part
d'un million de dollars c'est ces mois
de travail et des mois de travail voire
années pour pour les trouver après il ya
des gens qui sont extrêmement bons qui
sont très connu dans la communauté et
qui des cas une nouvelle version ils
savent où ils vont chercher directement
au bon endroit et en cas de seconde et
demie dont nous trouver
[Musique]
Browse More Related Video
أنا مكتشف ثغرات...
Google HACKING (use google search to HACK!)
Il mio intervento sul tema European Digital Skills Awards a Prima Edizione
Cybersecurity Expert Answers Hacking Questions From Twitter | Tech Support | WIRED
Are Hackers the Biggest Threat to America’s Critical Infrastructure?
Yapay Zekanın Bug Bounty ve Penetrasyon Testine Etkisi ve Birlikte Kullanımı
5.0 / 5 (0 votes)