La cybersécurité est plus que jamais un enjeu majeur pour nos sociétés numériques. C’est pourquoi La Plateforme est fière d’annoncer son partenariat avec HackIn, l’événement CTF à ne pas louper dans le sud de la France en matière de hacking éthique et de sensibilisation à la sécurité informatique.

📅 Rendez-vous les 14 et 15 juin 2025 à Aix-en-Provence, pour la 4ᵉ édition d’un événement devenu incontournable : HackIn 2025.

Un événement unique mêlant conférences et compétition CTF

📍 Lieu : Aix Ynov Campus, 2 Rue de la Fourane, 13090 Aix-en-Provence

📆 Dates : 14-15 juin 2025

🕒 Déroulement :
14h : Accueil
15h : Conférences
18h : Début du CTF
6h30 : Remise des prix

On s’y retrouve ?

Que vous soyez développeur, étudiant en cybersécurité, pentester, curieux du monde hacker, ou simple passionné : HackIn 2025 est l’occasion parfaite pour vous !

👉 Rejoignez-nous pour vivre 24h d’intensité, de partage et de cybersécurité.

Face à l’augmentation des cybermenaces et à la complexité croissante des obligations réglementaires, les collectivités et les entreprises du territoire, – notamment les PME et ETI – se retrouvent en première ligne, souvent insuffisamment préparées.

La Plateforme_, grande école du numérique pour tous, La Provence et le Campus Cyber Région Sud Euromed, s’associent pour créer le rendez-vous cyber des entreprises du territoire.

Ce Forum a pour ambition de sensibiliser, mobiliser et accompagner les dirigeants dans leur compréhension des enjeux de cybersécurité, et de montrer comment le territoire s’organise pour y répondre efficacement.

Rendez vous le
Jeudi 26 juin de 8h30 à 14h00
à Grand Central
19 Rue Henri Barbusse, 13001 Marseille

Au programme de l’événement :

Menaces, enjeux et solutions pour les entreprises du territoire

• Keynote d’introduction
• Panorama des cybermenaces 2025 : les PME et collectivités en première ligne !
• Présentation exclusive : le territoire Aix-Marseille et la cybersécurité
• Enjeux et solutions du territoire pour les PME : enjeu global de la cybersécurité, réponses et solutions locales
• Exercice interactif de gestion de crise : introduction à l’exercice REMPAR
• Dépenses de cybersécurité : coût budgétaire ou investissement rentable ?
• Présentation de Cyberpark

Bonjour, je m’appelle Benjamin Mamoud, étudiant à La Plateforme. Passionné de cybersécurité, j’ai découvert ce domaine assez tôt. Fasciné par les nouvelles technologies et leur fonctionnement, je me suis naturellement tourné vers le pentest, en me formant sur des plateformes de CTF comme Root-Me. Depuis, je ne cesse de progresser et d’en apprendre davantage chaque jour.

Et si je vous disais qu’on pouvait être payé pour pirater des sites… légalement ?

C’est là qu’intervient le bug bounty, ou « prime à la faille ». Les programmes de bug bounty sont mis en place par des entreprises sur des plateformes dédiées. Cela consiste à inviter des hackers éthiques pour tester leurs systèmes à la recherche de vulnérabilités. Plutôt que d’attendre qu’un cybercriminel exploite une faille, elles préfèrent qu’un chercheur la découvre en amont et le récompensent pour cela.

Une approche intelligente, collaborative, et surtout essentielle pour renforcer la sécurité du web, tout en valorisant les compétences des passionnés de cybersécurité.

Il existe plusieurs plateformes légales pour pratiquer le Bug Bounty, telles que HackerOne, BugCrowd, et YesWeHack. Ces plateformes permettent aux chercheurs en sécurité de tester des systèmes dans un cadre légal et encadré.

Il est également important de différencier le pentest et le bug bounty : le Bug Bounty fait appel à une communauté de chercheurs de vulnérabilités rémunérés uniquement en cas de trouvaille valable (et non déjà signalée), tandis que le pentest requiert l’intervention au forfait sur une durée définie d’experts en cybersécurité, souvent pour des tests plus ciblés.

Les vulnérabilités

Pour performer en bug bounty, il est essentiel de connaître la majorité des vulnérabilités qui s’appliquent aux applications web. Un bon point de départ est le **OWASP Top 10**, qui regroupe les 10 types de vulnérabilités les plus répandues sur les sites web. C’est sur ce type de failles que je concentre mes efforts, me spécialisant particulièrement dans le pentest d’applications web.

Ma découverte du monde des bug bountys : 10 000$ d’un coup !

En janvier 2020, un ami dans la cybersécurité m’avait parlé des programmes de bug bounty. Et un soir, fatigué par une nuit trop courte, j’ai opté pour la facilité : commander à manger sur une application de livraison identifiée sur un programme. En tentant de me connecter, je ne reçois pas le code de vérification par SMS. Curieux, j’ouvre les Devtools de Chrome pour analyser les requêtes.

Je m’attarde sur la requête censée m’envoyer ce code : rien d’anormal, une réponse classique avec un identifiant `inAuthSessionID`. En allant sur la page support, je remarque qu’une nouvelle session est générée via une redirection. Sur un coup de tête, je remplace le cookie `sessionid` par la valeur de `inAuthSessionID`.

Erreur. Mais en revenant sur le site… me voilà connecté.

Je tente à nouveau sur un autre compte, et je réalise que je peux me connecter sur n’importe quel compte, sans mot de passe ni code SMS.

OAuth est un protocole d’autorisation qui permet à une application d’accéder à des ressources d’un utilisateur sans avoir besoin de son mot de passe (en passant par un code reçu par sms en l’occurence). L’utilisateur approuve un accès limité (défini par des « scopes ») à ses données via un jeton d’accès.

La vulnérabilité venait d’une mauvaise gestion de ce protocole. La plateforme ne vérifiait pas correctement les « scopes » (permissions) associés aux jetons. J’avais ainsi accès à plus de données que prévu.

J’envoie un rapport, et quelques semaines plus tard, je reçois une récompense de 10.000 dollars. Une révélation : je décide de me lancer sérieusement dans le signalement de failles.

Comment une simple requête SQL sur un sous-domaine a mené à un accès total

Je visitais régulièrement un site francophone pour ses publications scientifiques, et j’ai décidé de tester sa sécurité.

En énumérant les sous-domaines (`*.entreprise.com`), l’un d’eux attire mon attention. En bruteforçant les ressources, je tombe sur un panneau d’administration. En testant le formulaire de connexion, je détecte une **injection SQL**.

L’injection SQL permet d’envoyer du code malveillant dans une requête à la base de données. Cela permet de lire, modifier, ou supprimer des données sensibles.

Grâce à cette faille, je pouvais exécuter n’importe quelle requête SQL. En allant plus loin, j’ai utilisé la commande `system` pour exécuter des commandes système et obtenir un accès complet à l’infrastructure.

J’ai immédiatement signalé la vulnérabilité à l’équipe, qui m’a félicité pour la découverte.

Une vulnérabilité de type Cross-Site Scripting (XSS)

L’**injection XSS** permet d’injecter du code JavaScript dans une page web. Ce script s’exécute sur le navigateur d’un utilisateur, ce qui peut permettre à un attaquant de voler des cookies ou modifier le contenu de la page.

En naviguant sur un site bien connu de services postaux, je tombe sur une page listant les vendeurs. L’URL est de type : http://entreprise/vendeur/id/0000

En modifiant « id » par « id-abcdef », je remarque que le texte est repris dans le HTML de la page. J’essaie donc cette URL :

« `http://entreprise/vendeur/id »></script>alert(document.cookie)</script><!–/0000 « `

Bingo : une alerte s’affiche avec mes cookies.

Un script malveillant aurait pu les exfiltrer, permettant de pirater des comptes.

Account Takeover : des millions d’euros de tickets restaurant en jeu

Lors d’un test sur une entreprise bien connue qui propose une solution de titres-restaurants utilisée par de grandes entreprises je découvre une vulnérabilité critique.

Lors de l’inscription en tant qu’employeur, il suffit d’indiquer un **SIRET**. Le site vérifie si ce SIRET est déjà enregistré, puis génère une requête de création de compte.

En contournant cette vérification, j’ai pu forger cette requête moi-même et m’inscrire avec n’importe quel email… même si l’entreprise existait déjà.

J’accédais ainsi à l’interface administrateur de n’importe quelle entreprise.

Je n’ai évidemment rien exploité et ai immédiatement signalé la faille.

Des failles, mais surtout des leçons

À travers ces expériences, j’ai compris que la cybersécurité ne consiste pas seulement à chercher des bugs. C’est une discipline qui demande rigueur, curiosité, méthode… mais aussi éthique.

Chaque faille est une opportunité d’apprentissage. Et chaque signalement contribue à rendre le web plus sûr pour tous.

Pour progresser en bug bounty, je conseillerais de pratiquer régulièrement, d’étudier les rapports publics, de suivre l’actualité des vulnérabilités, et de toujours chercher à comprendre en profondeur le fonctionnement des systèmes.

Voici les liens de plateformes intéressantes, si l’envie vous prend d’essayer le bug bounty :

– HackerOne : https://hackerone.com

– BugCrowd : https://www.bugcrowd.com

– YesWeHack : https://yeswehack.com

– OpenBugBounty : https://www.openbugbounty.org

– Intigriti : https://www.intigriti.com

– Zerocopter : https://www.zerocopter.com

Conclusion

Aujourd’hui, je continue à progresser dans cet univers fascinant, en espérant un jour faire de la cybersécurité mon métier à plein temps.

Et pour terminer, un petit rappel utile : Ne faire ces recherches que dans le cadre de programmes de bug bounty bien identifiés ou avec l’accord préalable des entreprises.

En France, les articles 323-1 à 323-7 du Code pénal sanctionnent notamment le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données (STAD), ainsi que le fait d’entraver ou de fausser son fonctionnement. Ces infractions sont passibles de peines pouvant aller jusqu’à 5 ans d’emprisonnement et 150 000 € d’amende.

Merci de m’avoir lu ! N’hésitez pas à me contacter ou à échanger si vous avez des questions sur le bug bounty ou la cybersécurité en général.

Rédacteur : Benjamin Mamoud, Etudiant en 1e année spé Cybersécurité à La Plateforme_.
Crédits Images : SkillX, Leastprivilege.com, PortSwigger

Le week-end dernier, le campus de l’école 2600 à Montigny-le-Bretonneux a accueilli la dernière édition du CTF PwnMe Junior, un événement en présentiel entièrement dédié aux passionnés de cybersécurité. Organisé par la team PwnMe, ce challenge technique a réuni 12 équipes étudiantes venues tester leurs compétences sur un large panel d’épreuves.

Un événement pour apprendre, progresser et performer

Pensé comme une porte d’entrée accessible au monde du CTF (Capture The Flag), le PwnMe Junior a rassemblé un public éclectique : des équipes expérimentées comme des étudiants en pleine découverte de l’univers du hacking éthique. Un cadre idéal pour apprendre, progresser et se confronter aux réalités des défis cyber actuels, le tout dans une atmosphère à la fois compétitive et bienveillante.

C’est dans ce contexte qu’est née une équipe réunissant des étudiants de La Plateforme et de Cybersup, à l’initiative de Raphaël Attias. Un trio formé au dernier moment, sans même se connaître avant le début de la compétition, composé notamment de Robin Lautier, étudiant à Cybersup & Raphaël Attias, étudiant à La Plateforme.

Et pourtant, contre toute attente, l’équipe a décroché une remarquable 4e place sur 12, dépassant plusieurs équipes plus nombreuses. Elle se classe même première parmi les équipes composées de seulement trois membres (quatre participants pour une équipe dite complète). Une belle performance, reflet de leur complémentarité, de leur réactivité et de leur motivation.

Une expérience enrichissante et une dynamique inter-écoles prometteuse

Un grand merci à l’école 2600 et à la team PwnMe pour l’accueil chaleureux, l’organisation irréprochable et la qualité des challenges proposés. Ce type d’événement est une excellente opportunité pour les étudiants de se rencontrer, d’apprendre ensemble et de renforcer leurs compétences sur le terrain.

Une belle expérience et une belle dynamique inter-écoles que l’on espère voir grandir dans les prochains événements !

Rédacteur : Raphaël Attias, Etudiant en 2ème année spé Cybersécurité à La Plateforme_.