Le 26 juin 2024, Grand Central Marseille a accueilli la 1ère édition du Forum Méditerranéen de la Cybersécurité, organisé par La Plateforme_, La Provence, le Campus Cyber Région Sud Euromed et l’Université d’Aix-Marseille (AMU).

Avec plus de 150 participants rassemblés, cet événement a marqué une étape importante pour fédérer les acteurs économiques locaux, en particulier les PME et ETI,  face à la montée des cybermenaces.

Ce Forum a pour objectif de sensibiliser, mobiliser et accompagner les dirigeants dans la compréhension des enjeux de cybersécurité, tout en mettant en lumière les dispositifs régionaux qui s’organisent pour y répondre efficacement.

Un état des lieux inédit de la cybersécurité régionale

À cette occasion, La Plateforme_ a présenté une enquête exclusive menée auprès de 110 entreprises, offrant une vision locale qui permet notamment d’évaluer la maturité des PME & ETI en matière de cybersécurité.

Cette photographie régionale révèle des tensions croissantes :

• Une augmentation notable des attaques ciblant les PME.

• Des règlementations complexes mal comprises.

• Des écarts de préparation encore significatifs entre les structures.

Notre enquête exclusive a été complétée par une analyse comparative du niveau de cybersécurité des entreprises Région Sud opérée par Scovery, illustrant les disparités des Cyberscores des zones Région Sud, Ile-de-France, Hauts de France, Auvergne-Rhône-Alpes,  Nouvelle-Aquitaine et du score national.

Une matinée riche en échanges et solutions concrètes

Structurée autour de 4 tables rondes thématiques, cette matinée a permis d’aborder les grands défis de la cybersécurité en Méditerranée :

• Panorama des cybermenaces 2025 : état des lieux et perspectives.

• Les PME et collectivités en première ligne : comment renforcer leur résilience ?

• Cybersécurité : dépense ou investissement ?

• Présentation de Cyberpark et des solutions locales.

Un moment fort : un exercice interactif de gestion de crise en introduction à l’exercice « REMPAR25 » à venir, pour plonger les participants dans une simulation réaliste de cyberattaque.

🎤 + de 20 intervenants experts :

• Clément Rossi (Campus Cyber Région Sud)

• Jean-Louis Lazzari (AMU / Forum AMUSEC)

• Célia Nowak (ANSSI)

• Laurent Roux (Gendarmerie PACA)

• Benjamin Penassou (Advens)

• Thomas Gayet (Scovery)

• Laura Maret (MailinBlack)

• Matthieu Capuono (CroweFicorec)

• Guillaume Galiano (Alinea)

• Vincent Ferrara (Netsystems)
  … et bien d’autres.

Un forum au croisement des talents, de l’innovation et de la coopération

Cette première édition a également mis en lumière l’écosystème local à travers les pitchs et un corner start-up, où les solutions innovantes animées par Ignitera ont été présentées : Bubo Cybersec, Chimere et Dream-on-Tech/PanicSafe.

Points clés à retenir

🚨 Cybermenaces : état d’urgence pour les structures locales
🧭 Diagnostic de maturité régional : enquête terrain exclusive
🛠️ Solutions concrètes : cybersécurité accessible pour tous
🎮 Exercice interactif : sensibilisation en conditions réelles
💶 Investissements : la cybersécurité, levier de compétitivité

Merci aux partenaires

🙏 Un grand merci à La Provence, Campus Cyber Région Sud Euromed, l’AMU, et à tous les intervenants, partenaires et participants pour leur engagement dans cette première édition.

Et merci à nos partenaires Advens, Adnov, Delta Sertec, MailinBlack, Cyberway, Netsystem et Ignitera.

Une dynamique à poursuivre

Ce forum aura permis de dresser un état des lieux clair, de créer du lien entre les acteurs et de mettre en lumière les solutions locales pour renforcer la cybersécurité du territoire.
Un premier pas vers la construction d’un écosystème méditerranéen plus résilient, plus connecté et mieux armé pour faire face aux défis numériques à venir.

📅 Rendez-vous en 2026 pour la 2ᵉ édition !

Ce 27 juin à la Cité des sciences et de l’industrie, leHACK 2025 a réuni près de 3 500 passionnés de cybersécurité pour deux jours intenses de conférences, workshops, sessions rumps, et bien sûr, l’incontournable CTF/WARGAME.

Je suis Bilal MEGUENNI-TANI, étudiant en 1e année spé Cybersécurité à La Plateforme. Avec 8 étudiants de La Plateforme, nous avons participé à cette convention avec comme objectif d’améliorer nos compétences mais également de rencontrer des gens, suivre des talks, et tout simplement profiter de cet évènement.

Un programme riche et varié

Comme chaque année, leHACK a proposé un large panel de contenus :

Des conférences techniques pointues, aussi bien en français qu’en anglais, sur des sujets allant de l’OSINT à l’IA, en passant par l’IoT et le Pentest Web. Des workshops immersifs et pratiques, pour approfondir ses compétences. Je pense à des petits ateliers comme ceux de TryHackMe, qui avaient réalisé un petit challenge CTF avec des récompenses à la clé. Les sessions rumps, présentations à format libre et anonymes, pour partager sans filtre des retours d’expérience.

Temps fort du week-end, le CTF/WARGAME a vu s’affronter les meilleures équipes sur des épreuves variées : cryptanalyse, forensic, exploitation réseau, hardware hacking et reverse engineering.

De notre côté, notre succès est le fruit : d’une préparation minutieuse (plus d’un mois avant l’évènement, j’ai commencé à faire de plus en plus de challenges sur Root-Me, ce qui m’a permis de gagner des points et de me sentir préparé), d’une stratégie collective et d’une cohésion à toute épreuve.

Nous avions chacun des domaines différents, certes, mais nous avons essayé de comprendre chacun des challenges possibles.

🎉 Bravo à Benjamin Mamoud, Abbas Moussa, Souleimen Lachguer, Ilona Baude, Alexandre Martinet, Owen Navarro et Hylan Hallaci pour leur ingéniosité et leur persévérance.
Un grand respect à toutes les équipes participantes pour leur fair-play et leur niveau impressionnant, vraiment.

Une aventure humaine et collective

Au-delà du résultat, ce week-end a été une véritable aventure humaine, marquée par l’entraide, l’échange et la passion.

🙏 Merci aux organisateurs, dont Monsieur Messeguer, pour cette édition passionnante et inspirante.
Je reviendrai sans aucun doute en 2026.

Cap sur Barbhack 2025

Je me prépare déjà activement : en multipliant les challenges, en approfondissant mes connaissances, et en développant ma capacité à travailler en équipe.

Je suis déterminé à donner le meilleur de moi-même pour y être, pour progresser, et pour contribuer à cette communauté qui me passionne tant.

🔜 À très vite à Barbhack 2025 !

Rédacteur : Bilal MEGUENNI-TANI, Etudiant en 1e année spé Cybersécurité à La Plateforme_.

La cybersécurité est plus que jamais un enjeu majeur pour nos sociétés numériques. C’est pourquoi La Plateforme est fière d’annoncer son partenariat avec HackIn, l’événement CTF à ne pas louper dans le sud de la France en matière de hacking éthique et de sensibilisation à la sécurité informatique.

📅 Rendez-vous les 14 et 15 juin 2025 à Aix-en-Provence, pour la 4ᵉ édition d’un événement devenu incontournable : HackIn 2025.

Un événement unique mêlant conférences et compétition CTF

📍 Lieu : Aix Ynov Campus, 2 Rue de la Fourane, 13090 Aix-en-Provence

📆 Dates : 14-15 juin 2025

🕒 Déroulement :
14h : Accueil
15h : Conférences
18h : Début du CTF
6h30 : Remise des prix

On s’y retrouve ?

Que vous soyez développeur, étudiant en cybersécurité, pentester, curieux du monde hacker, ou simple passionné : HackIn 2025 est l’occasion parfaite pour vous !

👉 Rejoignez-nous pour vivre 24h d’intensité, de partage et de cybersécurité.

Face à l’augmentation des cybermenaces et à la complexité croissante des obligations réglementaires, les collectivités et les entreprises du territoire, – notamment les PME et ETI – se retrouvent en première ligne, souvent insuffisamment préparées.

La Plateforme_, grande école du numérique pour tous, La Provence et le Campus Cyber Région Sud Euromed, s’associent pour créer le rendez-vous cyber des entreprises du territoire.

Ce Forum a pour ambition de sensibiliser, mobiliser et accompagner les dirigeants dans leur compréhension des enjeux de cybersécurité, et de montrer comment le territoire s’organise pour y répondre efficacement.

Rendez vous le
Jeudi 26 juin de 8h30 à 14h00
à Grand Central
19 Rue Henri Barbusse, 13001 Marseille

Au programme de l’événement :

Menaces, enjeux et solutions pour les entreprises du territoire

• Keynote d’introduction
• Panorama des cybermenaces 2025 : les PME et collectivités en première ligne !
• Présentation exclusive : le territoire Aix-Marseille et la cybersécurité
• Enjeux et solutions du territoire pour les PME : enjeu global de la cybersécurité, réponses et solutions locales
• Exercice interactif de gestion de crise : introduction à l’exercice REMPAR
• Dépenses de cybersécurité : coût budgétaire ou investissement rentable ?
• Présentation de Cyberpark

Bonjour, je m’appelle Benjamin Mamoud, étudiant à La Plateforme. Passionné de cybersécurité, j’ai découvert ce domaine assez tôt. Fasciné par les nouvelles technologies et leur fonctionnement, je me suis naturellement tourné vers le pentest, en me formant sur des plateformes de CTF comme Root-Me. Depuis, je ne cesse de progresser et d’en apprendre davantage chaque jour.

Et si je vous disais qu’on pouvait être payé pour pirater des sites… légalement ?

C’est là qu’intervient le bug bounty, ou « prime à la faille ». Les programmes de bug bounty sont mis en place par des entreprises sur des plateformes dédiées. Cela consiste à inviter des hackers éthiques pour tester leurs systèmes à la recherche de vulnérabilités. Plutôt que d’attendre qu’un cybercriminel exploite une faille, elles préfèrent qu’un chercheur la découvre en amont et le récompensent pour cela.

Une approche intelligente, collaborative, et surtout essentielle pour renforcer la sécurité du web, tout en valorisant les compétences des passionnés de cybersécurité.

Il existe plusieurs plateformes légales pour pratiquer le Bug Bounty, telles que HackerOne, BugCrowd, et YesWeHack. Ces plateformes permettent aux chercheurs en sécurité de tester des systèmes dans un cadre légal et encadré.

Il est également important de différencier le pentest et le bug bounty : le Bug Bounty fait appel à une communauté de chercheurs de vulnérabilités rémunérés uniquement en cas de trouvaille valable (et non déjà signalée), tandis que le pentest requiert l’intervention au forfait sur une durée définie d’experts en cybersécurité, souvent pour des tests plus ciblés.

Les vulnérabilités

Pour performer en bug bounty, il est essentiel de connaître la majorité des vulnérabilités qui s’appliquent aux applications web. Un bon point de départ est le **OWASP Top 10**, qui regroupe les 10 types de vulnérabilités les plus répandues sur les sites web. C’est sur ce type de failles que je concentre mes efforts, me spécialisant particulièrement dans le pentest d’applications web.

Ma découverte du monde des bug bountys : 10 000$ d’un coup !

En janvier 2020, un ami dans la cybersécurité m’avait parlé des programmes de bug bounty. Et un soir, fatigué par une nuit trop courte, j’ai opté pour la facilité : commander à manger sur une application de livraison identifiée sur un programme. En tentant de me connecter, je ne reçois pas le code de vérification par SMS. Curieux, j’ouvre les Devtools de Chrome pour analyser les requêtes.

Je m’attarde sur la requête censée m’envoyer ce code : rien d’anormal, une réponse classique avec un identifiant `inAuthSessionID`. En allant sur la page support, je remarque qu’une nouvelle session est générée via une redirection. Sur un coup de tête, je remplace le cookie `sessionid` par la valeur de `inAuthSessionID`.

Erreur. Mais en revenant sur le site… me voilà connecté.

Je tente à nouveau sur un autre compte, et je réalise que je peux me connecter sur n’importe quel compte, sans mot de passe ni code SMS.

OAuth est un protocole d’autorisation qui permet à une application d’accéder à des ressources d’un utilisateur sans avoir besoin de son mot de passe (en passant par un code reçu par sms en l’occurence). L’utilisateur approuve un accès limité (défini par des « scopes ») à ses données via un jeton d’accès.

La vulnérabilité venait d’une mauvaise gestion de ce protocole. La plateforme ne vérifiait pas correctement les « scopes » (permissions) associés aux jetons. J’avais ainsi accès à plus de données que prévu.

J’envoie un rapport, et quelques semaines plus tard, je reçois une récompense de 10.000 dollars. Une révélation : je décide de me lancer sérieusement dans le signalement de failles.

Comment une simple requête SQL sur un sous-domaine a mené à un accès total

Je visitais régulièrement un site francophone pour ses publications scientifiques, et j’ai décidé de tester sa sécurité.

En énumérant les sous-domaines (`*.entreprise.com`), l’un d’eux attire mon attention. En bruteforçant les ressources, je tombe sur un panneau d’administration. En testant le formulaire de connexion, je détecte une **injection SQL**.

L’injection SQL permet d’envoyer du code malveillant dans une requête à la base de données. Cela permet de lire, modifier, ou supprimer des données sensibles.

Grâce à cette faille, je pouvais exécuter n’importe quelle requête SQL. En allant plus loin, j’ai utilisé la commande `system` pour exécuter des commandes système et obtenir un accès complet à l’infrastructure.

J’ai immédiatement signalé la vulnérabilité à l’équipe, qui m’a félicité pour la découverte.

Une vulnérabilité de type Cross-Site Scripting (XSS)

L’**injection XSS** permet d’injecter du code JavaScript dans une page web. Ce script s’exécute sur le navigateur d’un utilisateur, ce qui peut permettre à un attaquant de voler des cookies ou modifier le contenu de la page.

En naviguant sur un site bien connu de services postaux, je tombe sur une page listant les vendeurs. L’URL est de type : http://entreprise/vendeur/id/0000

En modifiant « id » par « id-abcdef », je remarque que le texte est repris dans le HTML de la page. J’essaie donc cette URL :

« `http://entreprise/vendeur/id »></script>alert(document.cookie)</script><!–/0000 « `

Bingo : une alerte s’affiche avec mes cookies.

Un script malveillant aurait pu les exfiltrer, permettant de pirater des comptes.

Account Takeover : des millions d’euros de tickets restaurant en jeu

Lors d’un test sur une entreprise bien connue qui propose une solution de titres-restaurants utilisée par de grandes entreprises je découvre une vulnérabilité critique.

Lors de l’inscription en tant qu’employeur, il suffit d’indiquer un **SIRET**. Le site vérifie si ce SIRET est déjà enregistré, puis génère une requête de création de compte.

En contournant cette vérification, j’ai pu forger cette requête moi-même et m’inscrire avec n’importe quel email… même si l’entreprise existait déjà.

J’accédais ainsi à l’interface administrateur de n’importe quelle entreprise.

Je n’ai évidemment rien exploité et ai immédiatement signalé la faille.

Des failles, mais surtout des leçons

À travers ces expériences, j’ai compris que la cybersécurité ne consiste pas seulement à chercher des bugs. C’est une discipline qui demande rigueur, curiosité, méthode… mais aussi éthique.

Chaque faille est une opportunité d’apprentissage. Et chaque signalement contribue à rendre le web plus sûr pour tous.

Pour progresser en bug bounty, je conseillerais de pratiquer régulièrement, d’étudier les rapports publics, de suivre l’actualité des vulnérabilités, et de toujours chercher à comprendre en profondeur le fonctionnement des systèmes.

Voici les liens de plateformes intéressantes, si l’envie vous prend d’essayer le bug bounty :

– HackerOne : https://hackerone.com

– BugCrowd : https://www.bugcrowd.com

– YesWeHack : https://yeswehack.com

– OpenBugBounty : https://www.openbugbounty.org

– Intigriti : https://www.intigriti.com

– Zerocopter : https://www.zerocopter.com

Conclusion

Aujourd’hui, je continue à progresser dans cet univers fascinant, en espérant un jour faire de la cybersécurité mon métier à plein temps.

Et pour terminer, un petit rappel utile : Ne faire ces recherches que dans le cadre de programmes de bug bounty bien identifiés ou avec l’accord préalable des entreprises.

En France, les articles 323-1 à 323-7 du Code pénal sanctionnent notamment le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données (STAD), ainsi que le fait d’entraver ou de fausser son fonctionnement. Ces infractions sont passibles de peines pouvant aller jusqu’à 5 ans d’emprisonnement et 150 000 € d’amende.

Merci de m’avoir lu ! N’hésitez pas à me contacter ou à échanger si vous avez des questions sur le bug bounty ou la cybersécurité en général.

Rédacteur : Benjamin Mamoud, Etudiant en 1e année spé Cybersécurité à La Plateforme_.
Crédits Images : SkillX, Leastprivilege.com, PortSwigger