Le 30 août 2025, Toulon a accueilli une nouvelle édition de la Barbhack, conférence incontournable dédiée à la cybersécurité. Chaque année, l’événement réunit étudiants, professionnels et passionnés au Palais des Congrès Neptune autour de conférences pointues, d’ateliers pratiques et de challenges de hacking. Le tout dans une ambiance à la fois technique et conviviale.

Cette année, quatre étudiants de La Plateforme ont pris part à l’aventure, chacun avec un rôle bien différent : bénévole, speaker ou participants. Nicolas Duhamel, Raphaël Attias, Benjamin Mamoud et Ilona Baude nous partagent leurs retours d’expérience.

Être bénévole à la Barbhack, c’est plonger au cœur de l’organisation et découvrir l’événement de l’intérieur.

“Je suis arrivé à 8h, avant les participants, afin de recevoir les consignes pour les bénévoles. C’était ma deuxième participation à la Barbhack, mais la première en tant que bénévole.

Le moment le plus sportif est arrivé en fin de journée : la mise en place des tables et des chaises pour le repas du soir, prévu pour 400 personnes. Petite frayeur au passage : le vent était si fort qu’il a renversé certaines installations. Heureusement, le traiteur était bien préparé et a pu assurer une installation impeccable malgré les conditions météo. Le repas du soir reste un moment fort de la Barbhack : convivialité, échanges avec les confrères, et une ambiance toujours au rendez-vous.

Début de soirée vers 22h, mon moment préféré dans ce genre de conférence : le CTF. Cette année, les organisateurs avaient préparé une interface originale sous forme de jeu Unity. En tant que membre du staff, plusieurs participants sont venus me signaler des problèmes techniques, mais n’étant pas impliqué dans la conception, je les ai redirigés vers les responsables du CTF. On a eu droit aux classiques coupures de courant, l’installation électrique du bâtiment n’étant pas prévue pour autant d’ordinateurs branchés simultanément.

Je n’ai pas eu beaucoup de temps pour participer aux épreuves, étant chargé du ravitaillement en boissons pendant la soirée. Les challenges étaient comme toujours exigeants et stimulants. Seule petite remarque concernant les épreuves web : l’absence de sources. C’est compréhensible au vu de la nature de certains challenges, mais les standards actuels en termes de CTF tendent à privilégier les challenges avec les sources (ne serait-ce que pour limiter les risques de bruteforce).

En résumé, un bilan très positif : de nouvelles rencontres enrichissantes, un CTF compétitif et passionnant, et une fin de soirée… à 6h du matin, complètement épuisé ! “

Pour Ilona et Benjamin, Barbhack fut l’occasion de découvrir le Palais des Congrès Neptune et de prendre place aux conférences et challenges.

Ilona nous partage son ressenti :

“C’était notre première participation à la Barbhack, et nous avons eu l’occasion de découvrir le Palais des Congrès Neptune. Nous sommes arrivés aux alentours de 9h, où nous avons été accueillis par les bénévoles ainsi qu’un petit déjeuner sur place.

Après avoir retrouvé certaines personnes rencontrées lors d’autres conférences et échangé avec de nouvelles connaissances, nous avons assisté aux panels qui abordaient des sujets variés : de l’exploitation d’anciens protocoles sous un angle nouveau à l’utilisation de techniques récentes, notamment l’intégration de l’IA dans les outils de cybersécurité.

Parmi les conférences marquantes :

• Quentin Roland (Synacktiv) a ouvert le programme avec une présentation sur l’empoisonnement de la résolution de noms via Responder, en utilisant des techniques de relais.
• Une intervention sur ASRepCatcher et l’utilisation d’algorithmes permettant d’obtenir un ticket TGT plus facile à déchiffrer.
• Une présentation sur les logiciels PUA et leur potentiel comme vecteurs de malware.
• Une conférence sur le scan de ports furtif exploitant ARP et TCP pour rester plus discret.

Suite aux conférences, nous avons participé au repas du soir qui était excellent, avec une ambiance très conviviale qui nous a permis d’échanger avec les collègues. Nous remercions les traiteurs et les bénévoles pour leur travail.”

Benjamin (Dav3n) s’est plongé dans plusieurs challenges web / CTF et nous détaille son expérience :

“Après ce beau résumé d’Ilona je vais expliquer le principe de quelques challenges web auxquels j’ai participé :

Ce qu’on apprend :

• La vulnérabilité peut être cachée là où on ne l’attend pas.
• Il est important de tester tous les points d’entrée possibles, même ceux qui semblent anodins.
• Les erreurs de debug peuvent créer des portes inattendues pour les attaques.
• Même un challenge simple peut devenir compliqué si le point d’injection est trompeur. L’analyse et la curiosité sont clés pour réussir en sécurité web !

La subtilité du challenge :

Le challenge reposait sur la manipulation du champ iss (issuer) dans le JWT. En modifiant cette valeur, le serveur allait chercher nos propres clés publiques pour valider le token. Cela permettait ensuite de resigner le JWT en tant qu’admin et d’obtenir des privilèges élevés.

WEB #3 : Docker Viewer 

Heureusement, un commentaire pointait vers un JSON contenant tous les liens cachés, révélant un chemin vers un Docker Registry.

Une fois dans le Docker Registry, il y avait une image contenant un flag nommé RM. Il fallait identifier le bon layer de l’image et le dumper pour récupérer le flag final.

La subtilité du challenge :

Ce challenge montrait parfaitement que la sécurité ne se limite pas à l’application web : une SSTI peut conduire à l’exfiltration de secrets, à l’exploration de l’infrastructure, et même à l’extraction de flags dans des images Docker. Une vraie démonstration de la chaîne d’attaques et de la curiosité nécessaire pour résoudre ce genre de challenge. »

Chaque challenge illustre l’importance de la curiosité, de l’analyse et de la compréhension de l’infrastructure complète.

Un workshop dynamique sur la sécurité WiFi

En collaboration avec Ob3ud, j’ai animé un workshop intitulé « WiFi, sécurité ou illusion » où nous avons présenté le projet Pwnagotchi. Nous avons également proposé une démonstration d’une attaque sur un handshake WiFi avec notre cyber-tool open source, même si cette tentative n’a pas abouti. Cet atelier pratique a été pour moi un moment clé d’échange et d’apprentissage.

Des petits plus plaisants

Les goodies destinés aux speakers ont ajouté une touche sympathique à cette expérience, notamment un tablier de cuisine original qui m’a bien plu. Petit plus également sur le stand de SQUAD Conseil et Expertises, qui a mis en place un atelier de crochetage de serrure, très apprécié des participants.”

Barbhack 2025 a une nouvelle fois tenu ses promesses : conférences techniques variées, ateliers pratiques stimulants, CTF exigeant, et surtout une atmosphère chaleureuse qui encourage les échanges. Qu’il s’agisse de bénévolat, de prise de parole ou de participation aux épreuves, chaque expérience à la Barbhack est l’occasion de repartir enrichi de nouvelles connaissances et de rencontres inspirantes.

Un rendez-vous qui confirme son statut d’événement incontournable dans le paysage de la cybersécurité en France, et qui donne envie d’être au rendez-vous pour l’édition 2026.

Un grand merci à nos étudiants pour leur implication et leurs récits, et à Cédric Messeguer, qui permet chaque année à nos apprenants de participer à cet événement. Nous remercions également l’ensemble des entreprises présentes lors de cet événement dont : NAVAL-GROUP, SQUADGROUP, MARINE NATIONALE, SYNACKTIV, EPSILON SEC, QUARKSLAB , ORANGE CYBER DEFENSE, CEFCYS , OSINTFR, WOCSA, HZV, CONNECT.ED-DIAMOND MISC, ZATAZ , LAB401 , URGENCE CYBER REGION SUD, ARES.CAMPUS CYBER REGION SUD.

Crédits photos : Alexandre “Keywi” S.

Après une performance exceptionnelle lors du FCSC 2025 (France CyberSecurity Challenge), où il a décroché la 1ʳᵉ place en Web dans la catégorie Junior, Benjamin Mamoud, alias Dav3n, a été officiellement retenu pour rejoindre l’équipe de France de cybersécurité, qui représentera le pays lors de l’European Cybersecurity Challenge à Varsovie, en Pologne, en octobre 2025.

Sélectionné après un entretien final mené par des représentants de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), Benjamin entre dans le cercle très fermé des jeunes talents français en cybersécurité. 🔐

🔍 Zoom sur l’ANSSI

Les meilleurs participants sont ensuite conviés à un processus de sélection pour former la Team France. C’est cette équipe qui représentera le pays à l’échelle européenne.

Qu’est-ce que l’European Cybersecurity Challenge (ECSC) ?

L’ECSC est la plus grande compétition européenne de cybersécurité pour les jeunes talents, organisée chaque année sous l’égide de l’ENISA (Agence européenne pour la cybersécurité).

💬 Benjamin partage son enthousiasme :

« Bon… je pense que c’est le moment de partager ça 😅 Premier du web junior au FCSC il y a quelques semaines, et maintenant… je viens d’apprendre que je fais partie de l’équipe de France pour l’ECSC ! Je vais représenter la France en cybersec au niveau européen. Ça me fait encore bizarre de l’écrire. Merci à tous ceux qui m’ont supporté ! Maintenant direction l’Europe… on va leur montrer ce qu’on sait faire 🇫🇷 »

Il en profite aussi pour donner un conseil à celles et ceux qui rêvent de suivre le même chemin :

« Pour ceux qui se demandent par où commencer en cybersec : lancez-vous dans les CTF (Capture The Flag), et pourquoi pas ensuite dans le Bug Bounty — c’est vraiment là que j’ai tout appris. »

Félicitations à Benjamin pour cette sélection qui marque une étape majeure dans son parcours de jeune expert en cybersécurité. La France peut compter sur lui pour briller sur la scène européenne!

🔗 Pour suivre l’aventure :
👉 @ECSC_TeamFrance
👉 Site de l’ANSSI
👉 ECSC officiel

Le 26 juin 2024, Grand Central Marseille a accueilli la 1ère édition du Forum Méditerranéen de la Cybersécurité, organisé par La Plateforme_, La Provence, le Campus Cyber Région Sud Euromed et l’Université d’Aix-Marseille (AMU).

Avec plus de 150 participants rassemblés, cet événement a marqué une étape importante pour fédérer les acteurs économiques locaux, en particulier les PME et ETI,  face à la montée des cybermenaces.

Ce Forum a pour objectif de sensibiliser, mobiliser et accompagner les dirigeants dans la compréhension des enjeux de cybersécurité, tout en mettant en lumière les dispositifs régionaux qui s’organisent pour y répondre efficacement.

Un état des lieux inédit de la cybersécurité régionale

À cette occasion, La Plateforme_ a présenté une enquête exclusive menée auprès de 110 entreprises, offrant une vision locale qui permet notamment d’évaluer la maturité des PME & ETI en matière de cybersécurité.

Cette photographie régionale révèle des tensions croissantes :

• Une augmentation notable des attaques ciblant les PME.

• Des règlementations complexes mal comprises.

• Des écarts de préparation encore significatifs entre les structures.

Notre enquête exclusive a été complétée par une analyse comparative du niveau de cybersécurité des entreprises Région Sud opérée par Scovery, illustrant les disparités des Cyberscores des zones Région Sud, Ile-de-France, Hauts de France, Auvergne-Rhône-Alpes,  Nouvelle-Aquitaine et du score national.

Une matinée riche en échanges et solutions concrètes

Structurée autour de 4 tables rondes thématiques, cette matinée a permis d’aborder les grands défis de la cybersécurité en Méditerranée :

• Panorama des cybermenaces 2025 : état des lieux et perspectives.

• Les PME et collectivités en première ligne : comment renforcer leur résilience ?

• Cybersécurité : dépense ou investissement ?

• Présentation de Cyberpark et des solutions locales.

Un moment fort : un exercice interactif de gestion de crise en introduction à l’exercice « REMPAR25 » à venir, pour plonger les participants dans une simulation réaliste de cyberattaque.

🎤 + de 20 intervenants experts :

• Clément Rossi (Campus Cyber Région Sud)

• Jean-Louis Lazzari (AMU / Forum AMUSEC)

• Célia Nowak (ANSSI)

• Laurent Roux (Gendarmerie PACA)

• Benjamin Penassou (Advens)

• Thomas Gayet (Scovery)

• Laura Maret (MailinBlack)

• Matthieu Capuono (CroweFicorec)

• Guillaume Galiano (Alinea)

• Vincent Ferrara (Netsystems)
  … et bien d’autres.

Un forum au croisement des talents, de l’innovation et de la coopération

Cette première édition a également mis en lumière l’écosystème local à travers les pitchs et un corner start-up, où les solutions innovantes animées par Ignitera ont été présentées : Bubo Cybersec, Chimere et Dream-on-Tech/PanicSafe.

Points clés à retenir

🚨 Cybermenaces : état d’urgence pour les structures locales
🧭 Diagnostic de maturité régional : enquête terrain exclusive
🛠️ Solutions concrètes : cybersécurité accessible pour tous
🎮 Exercice interactif : sensibilisation en conditions réelles
💶 Investissements : la cybersécurité, levier de compétitivité

Merci aux partenaires

🙏 Un grand merci à La Provence, Campus Cyber Région Sud Euromed, l’AMU, et à tous les intervenants, partenaires et participants pour leur engagement dans cette première édition.

Et merci à nos partenaires Advens, Adnov, Delta Sertec, MailinBlack, Cyberway, Netsystem et Ignitera.

Une dynamique à poursuivre

Ce forum aura permis de dresser un état des lieux clair, de créer du lien entre les acteurs et de mettre en lumière les solutions locales pour renforcer la cybersécurité du territoire.
Un premier pas vers la construction d’un écosystème méditerranéen plus résilient, plus connecté et mieux armé pour faire face aux défis numériques à venir.

📅 Rendez-vous en 2026 pour la 2ᵉ édition !

Ce 27 juin à la Cité des sciences et de l’industrie, leHACK 2025 a réuni près de 3 500 passionnés de cybersécurité pour deux jours intenses de conférences, workshops, sessions rumps, et bien sûr, l’incontournable CTF/WARGAME.

Je suis Bilal MEGUENNI-TANI, étudiant en 1e année spé Cybersécurité à La Plateforme. Avec 8 étudiants de La Plateforme, nous avons participé à cette convention avec comme objectif d’améliorer nos compétences mais également de rencontrer des gens, suivre des talks, et tout simplement profiter de cet évènement.

Un programme riche et varié

Comme chaque année, leHACK a proposé un large panel de contenus :

Des conférences techniques pointues, aussi bien en français qu’en anglais, sur des sujets allant de l’OSINT à l’IA, en passant par l’IoT et le Pentest Web. Des workshops immersifs et pratiques, pour approfondir ses compétences. Je pense à des petits ateliers comme ceux de TryHackMe, qui avaient réalisé un petit challenge CTF avec des récompenses à la clé. Les sessions rumps, présentations à format libre et anonymes, pour partager sans filtre des retours d’expérience.

Temps fort du week-end, le CTF/WARGAME a vu s’affronter les meilleures équipes sur des épreuves variées : cryptanalyse, forensic, exploitation réseau, hardware hacking et reverse engineering.

De notre côté, notre succès est le fruit : d’une préparation minutieuse (plus d’un mois avant l’évènement, j’ai commencé à faire de plus en plus de challenges sur Root-Me, ce qui m’a permis de gagner des points et de me sentir préparé), d’une stratégie collective et d’une cohésion à toute épreuve.

Nous avions chacun des domaines différents, certes, mais nous avons essayé de comprendre chacun des challenges possibles.

🎉 Bravo à Benjamin Mamoud, Abbas Moussa, Souleimen Lachguer, Ilona Baude, Alexandre Martinet, Owen Navarro et Hylan Hallaci pour leur ingéniosité et leur persévérance.
Un grand respect à toutes les équipes participantes pour leur fair-play et leur niveau impressionnant, vraiment.

Une aventure humaine et collective

Au-delà du résultat, ce week-end a été une véritable aventure humaine, marquée par l’entraide, l’échange et la passion.

🙏 Merci aux organisateurs, dont Monsieur Messeguer, pour cette édition passionnante et inspirante.
Je reviendrai sans aucun doute en 2026.

Cap sur Barbhack 2025

Je me prépare déjà activement : en multipliant les challenges, en approfondissant mes connaissances, et en développant ma capacité à travailler en équipe.

Je suis déterminé à donner le meilleur de moi-même pour y être, pour progresser, et pour contribuer à cette communauté qui me passionne tant.

🔜 À très vite à Barbhack 2025 !

Rédacteur : Bilal MEGUENNI-TANI, Etudiant en 1e année spé Cybersécurité à La Plateforme_.

La cybersécurité est plus que jamais un enjeu majeur pour nos sociétés numériques. C’est pourquoi La Plateforme est fière d’annoncer son partenariat avec HackIn, l’événement CTF à ne pas louper dans le sud de la France en matière de hacking éthique et de sensibilisation à la sécurité informatique.

📅 Rendez-vous les 14 et 15 juin 2025 à Aix-en-Provence, pour la 4ᵉ édition d’un événement devenu incontournable : HackIn 2025.

Un événement unique mêlant conférences et compétition CTF

📍 Lieu : Aix Ynov Campus, 2 Rue de la Fourane, 13090 Aix-en-Provence

📆 Dates : 14-15 juin 2025

🕒 Déroulement :
14h : Accueil
15h : Conférences
18h : Début du CTF
6h30 : Remise des prix

On s’y retrouve ?

Que vous soyez développeur, étudiant en cybersécurité, pentester, curieux du monde hacker, ou simple passionné : HackIn 2025 est l’occasion parfaite pour vous !

👉 Rejoignez-nous pour vivre 24h d’intensité, de partage et de cybersécurité.

Face à l’augmentation des cybermenaces et à la complexité croissante des obligations réglementaires, les collectivités et les entreprises du territoire, – notamment les PME et ETI – se retrouvent en première ligne, souvent insuffisamment préparées.

La Plateforme_, grande école du numérique pour tous, La Provence et le Campus Cyber Région Sud Euromed, s’associent pour créer le rendez-vous cyber des entreprises du territoire.

Ce Forum a pour ambition de sensibiliser, mobiliser et accompagner les dirigeants dans leur compréhension des enjeux de cybersécurité, et de montrer comment le territoire s’organise pour y répondre efficacement.

Rendez vous le
Jeudi 26 juin de 8h30 à 14h00
à Grand Central
19 Rue Henri Barbusse, 13001 Marseille

Au programme de l’événement :

Menaces, enjeux et solutions pour les entreprises du territoire

• Keynote d’introduction
• Panorama des cybermenaces 2025 : les PME et collectivités en première ligne !
• Présentation exclusive : le territoire Aix-Marseille et la cybersécurité
• Enjeux et solutions du territoire pour les PME : enjeu global de la cybersécurité, réponses et solutions locales
• Exercice interactif de gestion de crise : introduction à l’exercice REMPAR
• Dépenses de cybersécurité : coût budgétaire ou investissement rentable ?
• Présentation de Cyberpark

Bonjour, je m’appelle Benjamin Mamoud, étudiant à La Plateforme. Passionné de cybersécurité, j’ai découvert ce domaine assez tôt. Fasciné par les nouvelles technologies et leur fonctionnement, je me suis naturellement tourné vers le pentest, en me formant sur des plateformes de CTF comme Root-Me. Depuis, je ne cesse de progresser et d’en apprendre davantage chaque jour.

Et si je vous disais qu’on pouvait être payé pour pirater des sites… légalement ?

C’est là qu’intervient le bug bounty, ou « prime à la faille ». Les programmes de bug bounty sont mis en place par des entreprises sur des plateformes dédiées. Cela consiste à inviter des hackers éthiques pour tester leurs systèmes à la recherche de vulnérabilités. Plutôt que d’attendre qu’un cybercriminel exploite une faille, elles préfèrent qu’un chercheur la découvre en amont et le récompensent pour cela.

Une approche intelligente, collaborative, et surtout essentielle pour renforcer la sécurité du web, tout en valorisant les compétences des passionnés de cybersécurité.

Il existe plusieurs plateformes légales pour pratiquer le Bug Bounty, telles que HackerOne, BugCrowd, et YesWeHack. Ces plateformes permettent aux chercheurs en sécurité de tester des systèmes dans un cadre légal et encadré.

Il est également important de différencier le pentest et le bug bounty : le Bug Bounty fait appel à une communauté de chercheurs de vulnérabilités rémunérés uniquement en cas de trouvaille valable (et non déjà signalée), tandis que le pentest requiert l’intervention au forfait sur une durée définie d’experts en cybersécurité, souvent pour des tests plus ciblés.

Les vulnérabilités

Pour performer en bug bounty, il est essentiel de connaître la majorité des vulnérabilités qui s’appliquent aux applications web. Un bon point de départ est le **OWASP Top 10**, qui regroupe les 10 types de vulnérabilités les plus répandues sur les sites web. C’est sur ce type de failles que je concentre mes efforts, me spécialisant particulièrement dans le pentest d’applications web.

Ma découverte du monde des bug bountys : 10 000$ d’un coup !

En janvier 2020, un ami dans la cybersécurité m’avait parlé des programmes de bug bounty. Et un soir, fatigué par une nuit trop courte, j’ai opté pour la facilité : commander à manger sur une application de livraison identifiée sur un programme. En tentant de me connecter, je ne reçois pas le code de vérification par SMS. Curieux, j’ouvre les Devtools de Chrome pour analyser les requêtes.

Je m’attarde sur la requête censée m’envoyer ce code : rien d’anormal, une réponse classique avec un identifiant `inAuthSessionID`. En allant sur la page support, je remarque qu’une nouvelle session est générée via une redirection. Sur un coup de tête, je remplace le cookie `sessionid` par la valeur de `inAuthSessionID`.

Erreur. Mais en revenant sur le site… me voilà connecté.

Je tente à nouveau sur un autre compte, et je réalise que je peux me connecter sur n’importe quel compte, sans mot de passe ni code SMS.

OAuth est un protocole d’autorisation qui permet à une application d’accéder à des ressources d’un utilisateur sans avoir besoin de son mot de passe (en passant par un code reçu par sms en l’occurence). L’utilisateur approuve un accès limité (défini par des « scopes ») à ses données via un jeton d’accès.

La vulnérabilité venait d’une mauvaise gestion de ce protocole. La plateforme ne vérifiait pas correctement les « scopes » (permissions) associés aux jetons. J’avais ainsi accès à plus de données que prévu.

J’envoie un rapport, et quelques semaines plus tard, je reçois une récompense de 10.000 dollars. Une révélation : je décide de me lancer sérieusement dans le signalement de failles.

Comment une simple requête SQL sur un sous-domaine a mené à un accès total

Je visitais régulièrement un site francophone pour ses publications scientifiques, et j’ai décidé de tester sa sécurité.

En énumérant les sous-domaines (`*.entreprise.com`), l’un d’eux attire mon attention. En bruteforçant les ressources, je tombe sur un panneau d’administration. En testant le formulaire de connexion, je détecte une **injection SQL**.

L’injection SQL permet d’envoyer du code malveillant dans une requête à la base de données. Cela permet de lire, modifier, ou supprimer des données sensibles.

Grâce à cette faille, je pouvais exécuter n’importe quelle requête SQL. En allant plus loin, j’ai utilisé la commande `system` pour exécuter des commandes système et obtenir un accès complet à l’infrastructure.

J’ai immédiatement signalé la vulnérabilité à l’équipe, qui m’a félicité pour la découverte.

Une vulnérabilité de type Cross-Site Scripting (XSS)

L’**injection XSS** permet d’injecter du code JavaScript dans une page web. Ce script s’exécute sur le navigateur d’un utilisateur, ce qui peut permettre à un attaquant de voler des cookies ou modifier le contenu de la page.

En naviguant sur un site bien connu de services postaux, je tombe sur une page listant les vendeurs. L’URL est de type : http://entreprise/vendeur/id/0000

En modifiant « id » par « id-abcdef », je remarque que le texte est repris dans le HTML de la page. J’essaie donc cette URL :

« `http://entreprise/vendeur/id »></script>alert(document.cookie)</script><!–/0000 « `

Bingo : une alerte s’affiche avec mes cookies.

Un script malveillant aurait pu les exfiltrer, permettant de pirater des comptes.

Account Takeover : des millions d’euros de tickets restaurant en jeu

Lors d’un test sur une entreprise bien connue qui propose une solution de titres-restaurants utilisée par de grandes entreprises je découvre une vulnérabilité critique.

Lors de l’inscription en tant qu’employeur, il suffit d’indiquer un **SIRET**. Le site vérifie si ce SIRET est déjà enregistré, puis génère une requête de création de compte.

En contournant cette vérification, j’ai pu forger cette requête moi-même et m’inscrire avec n’importe quel email… même si l’entreprise existait déjà.

J’accédais ainsi à l’interface administrateur de n’importe quelle entreprise.

Je n’ai évidemment rien exploité et ai immédiatement signalé la faille.

Des failles, mais surtout des leçons

À travers ces expériences, j’ai compris que la cybersécurité ne consiste pas seulement à chercher des bugs. C’est une discipline qui demande rigueur, curiosité, méthode… mais aussi éthique.

Chaque faille est une opportunité d’apprentissage. Et chaque signalement contribue à rendre le web plus sûr pour tous.

Pour progresser en bug bounty, je conseillerais de pratiquer régulièrement, d’étudier les rapports publics, de suivre l’actualité des vulnérabilités, et de toujours chercher à comprendre en profondeur le fonctionnement des systèmes.

Voici les liens de plateformes intéressantes, si l’envie vous prend d’essayer le bug bounty :

– HackerOne : https://hackerone.com

– BugCrowd : https://www.bugcrowd.com

– YesWeHack : https://yeswehack.com

– OpenBugBounty : https://www.openbugbounty.org

– Intigriti : https://www.intigriti.com

– Zerocopter : https://www.zerocopter.com

Conclusion

Aujourd’hui, je continue à progresser dans cet univers fascinant, en espérant un jour faire de la cybersécurité mon métier à plein temps.

Et pour terminer, un petit rappel utile : Ne faire ces recherches que dans le cadre de programmes de bug bounty bien identifiés ou avec l’accord préalable des entreprises.

En France, les articles 323-1 à 323-7 du Code pénal sanctionnent notamment le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données (STAD), ainsi que le fait d’entraver ou de fausser son fonctionnement. Ces infractions sont passibles de peines pouvant aller jusqu’à 5 ans d’emprisonnement et 150 000 € d’amende.

Merci de m’avoir lu ! N’hésitez pas à me contacter ou à échanger si vous avez des questions sur le bug bounty ou la cybersécurité en général.

Rédacteur : Benjamin Mamoud, Etudiant en 1e année spé Cybersécurité à La Plateforme_.
Crédits Images : SkillX, Leastprivilege.com, PortSwigger

Le week-end dernier, le campus de l’école 2600 à Montigny-le-Bretonneux a accueilli la dernière édition du CTF PwnMe Junior, un événement en présentiel entièrement dédié aux passionnés de cybersécurité. Organisé par la team PwnMe, ce challenge technique a réuni 12 équipes étudiantes venues tester leurs compétences sur un large panel d’épreuves.

Un événement pour apprendre, progresser et performer

Pensé comme une porte d’entrée accessible au monde du CTF (Capture The Flag), le PwnMe Junior a rassemblé un public éclectique : des équipes expérimentées comme des étudiants en pleine découverte de l’univers du hacking éthique. Un cadre idéal pour apprendre, progresser et se confronter aux réalités des défis cyber actuels, le tout dans une atmosphère à la fois compétitive et bienveillante.

C’est dans ce contexte qu’est née une équipe réunissant des étudiants de La Plateforme et de Cybersup, à l’initiative de Raphaël Attias. Un trio formé au dernier moment, sans même se connaître avant le début de la compétition, composé notamment de Robin Lautier, étudiant à Cybersup & Raphaël Attias, étudiant à La Plateforme.

Et pourtant, contre toute attente, l’équipe a décroché une remarquable 4e place sur 12, dépassant plusieurs équipes plus nombreuses. Elle se classe même première parmi les équipes composées de seulement trois membres (quatre participants pour une équipe dite complète). Une belle performance, reflet de leur complémentarité, de leur réactivité et de leur motivation.

Une expérience enrichissante et une dynamique inter-écoles prometteuse

Un grand merci à l’école 2600 et à la team PwnMe pour l’accueil chaleureux, l’organisation irréprochable et la qualité des challenges proposés. Ce type d’événement est une excellente opportunité pour les étudiants de se rencontrer, d’apprendre ensemble et de renforcer leurs compétences sur le terrain.

Une belle expérience et une belle dynamique inter-écoles que l’on espère voir grandir dans les prochains événements !

Rédacteur : Raphaël Attias, Etudiant en 2ème année spé Cybersécurité à La Plateforme_.

La création d’un challenge en cryptographie commence par l’imagination d’un problème, une sorte de puzzle, que les participants devront résoudre. Ce problème doit être équilibré : ni trop difficile, pour rester accessible, ni trop simple, afin de départager les compétences des joueurs. Dans un premier temps, une description succincte du problème et de sa solution est soumise aux organisateurs, qui décident si le challenge sera intégré au CTF.

Une fois validé, commence la phase de conception. Les challenges cryptographiques se déclinent
généralement en deux types : statiques et dynamiques. Les challenges statiques consistent à fournir des fichiers (texte, binaire) à déchiffrer, tandis que les challenges dynamiques impliquent souvent un serveur interactif et le code source associé. Pour ces derniers, l’utilisation de conteneurs (via Docker Compose, par exemple) facilite leur déploiement. Cette étape est essentielle pour garantir une expérience fluide, mais elle sera laissée de côté ici pour nous concentrer sur l’essentiel : la conception du problème.

La cryptographie expliquée simplement : principes et applications

La cryptographie joue un rôle essentiel dans notre vie quotidienne, souvent sans que nous en soyons conscients. Des paiements en ligne aux messages instantanés, elle assure que vos données restent confidentielles et protégées contre les altérations. Son objectif principal est de convertir des informations lisibles (texte clair) en un format illisible (texte chiffré) à l’aide d’algorithmes et de clés, accessibles uniquement aux personnes autorisées. Ainsi, même si un tiers intercepte les données, il ne pourra pas les comprendre sans la clé appropriée.

La cryptographie repose sur deux grandes techniques : le chiffrement symétrique et le chiffrement
asymétrique. Dans le chiffrement symétrique, une seule clé est utilisée à la fois pour chiffrer et déchiffrer les données, ce qui nécessite un échange sécurisé de cette clé entre les parties. À l’inverse, le chiffrement asymétrique repose sur une paire de clés : une clé publique pour chiffrer les données et une clé privée pour les déchiffrer.

Dans le cas du chiffrement symétrique, un problème pratique se pose : comment partager la clé commune en toute sécurité ? Pour résoudre ce défi, plusieurs protocoles ont été développés, parmi lesquels l’algorithme Diffie-Hellman, l’un des plus célèbres. Ce protocole permet à deux parties d’établir une clé secrète commune, même si leurs communications sont interceptées.

Zoom sur le défi : analyser un protocole d’échange de clé non sécurisé

Le challenge proposé porte sur un protocole d’échange de clé non standard. Ce dernier n’est pas sécurisé, mais encore faut-il être capable de comprendre pourquoi. Basé sur le chiffrement RSA – un algorithme inventé par Rivest, Shamir et Adleman – ce protocole semble à première vue robuste, puisque RSA est largement utilisé et réputé. Pourtant, l’utilisation d’un chiffrement sûr ne garantit pas toujours la sécurité d’un protocole entier. Ici, RSA est implémenté de manière naïve, rendant l’échange vulnérable à une attaque classique.

Dans la pratique, la sécurité d’un protocole repose souvent sur la longueur de sa clé, exprimée en bits, qui détermine sa résistance au bruteforce (test de toutes les clés possibles). Bien que la clé utilisée ici soit de 32 bits, un bruteforce naïf prendrait plus de temps que les 5 minutes imposées par le challenge. La solution passe alors par une attaque optimisée, dite « meet in the middle », qui consiste à diviser la clé en deux parties à brute-forcer séparément. Cela réduit la complexité à deux bruteforces de 16 bits, réalisables dans le délai imparti. On fait ici l’hypothèse que l’on peut diviser la clé en deux facteurs de 16 bits. Cela n’est pas toujours vrai, mais cela reste vrai avec une probabilité d’environ 20 %. Autrement dit, cette attaque fonctionne environ 1 fois sur 5, ce qui est largement suffisant pour compromettre la sécurité du protocole.

Nous mettons à disposition, pour ceux d’entre vous ayant des compétences en programmation, le code du serveur ainsi que celui de la résolution du challenge : code serveur, code solution.

code serveur : https://gist.github.com/nicolas-duhamel/90a9cfc41fdde2796e174041fd49b7a5
code solution : https://gist.github.com/nicolas-duhamel/87f70081c14070aab889f26f66844c2a

La timeline et une anecdote

Tout le processus de création du challenge a duré plusieurs mois. Après l’appel initial lancé aux auteurs de challenges, un premier mois s’est écoulé entre la soumission d’une proposition succincte et son acceptation par les organisateurs. Une fois cette étape franchie, viens l’écriture du code du challenge en Python ainsi que de sa solution, afin de prouver que le problème était résoluble dans les conditions imposées. Cette phase a été suivie par quelques échanges avec les organisateurs pour ajuster l’intégration et le déploiement. Une partie de ces discussions portait sur l’intégration via Docker Compose, qui facilite le déploiement des serveurs pendant le CTF. Finalement, le challenge était prêt environ trois semaines avant le jour J.

Cependant, à quelques jours seulement du CTF, un coup de stress énorme : le challenge pourrait être vulnérable à une autre attaque classique, connue sous le nom d’attaque de Coppersmith. Si cette attaque avait été applicable, elle aurait réduit l’intérêt du challenge en le rendant trop facile à résoudre. Par un heureux hasard, la clé publique choisie rendait cette attaque impraticable sur un ordinateur de bureau classique. Dans tous les cas, une simple modification dans le code aurait suffi à neutraliser l’attaque.

Ces solutions « unintended » (non prévues) sont souvent un cauchemar pour les auteurs de challenges, car elles peuvent réduire, voire totalement annihiler, l’intérêt du challenge. Il n’est pas rare de voir, pendant un CTF, des challenges « revenge » apparaître : il s’agit de corrections rapides des failles imprévues qui rend le challenge initial trop facile. Ces ajustements de dernière minute, bien qu’essentiels, rappellent l’importance de tester rigoureusement un problème sous tous les angles.

Conclusion

Ce challenge illustre à quel point la cryptographie est un domaine subtil. Concevoir des protocoles robustes demande non seulement des connaissances solides, mais aussi une expertise pratique. Écrire un challenge pour un CTF est une expérience unique, exigeante mais enrichissante. Cela pousse à approfondir ses compétences, à imaginer des problèmes réalistes et à penser comme un attaquant pour anticiper les stratégies des participants.

Ce retour d’expérience montre également l’importance d’équilibrer difficulté et pédagogie : il s’agit non seulement de proposer un défi technique, mais aussi d’offrir un apprentissage concret à ceux qui s’y confrontent. Si vous souhaitez vous lancer dans la conception de challenges, prenez le temps de valider vos idées et de tester vos concepts, similaire à l’étape de bêta test pour les jeux vidéos. Et surtout, rappelez-vous qu’en matière de sécurité, chaque détail compte – d’où l’importance de faire appel à des experts pour garantir la solidité des systèmes.

Si vous avez testé le challenge ou souhaitez partager votre expérience, n’hésitez pas à contacter l’auteur : nicolas.duhamel@laplateforme.io.
Rédacteur : Nicolas Duhamel, Etudiant B2 Cybersécurité à La Plateforme_
Crédits photo : Wikipédia