• Un Hacker Ethique

  • pour vous Servir.

Piratage ou Ethical Hacking

Contrairement à l'idée souvent répandue, le piratage et le Hacking sont deux choses distinctes faisant appel aux mêmes champs de connaissances et aux mêmes outils.

En informatique, le Hacking est l'art et la manière (les techniques) de contourner ou d'outrepasser une sécurité ou d'accéder à des informations privées ou confidentielles. Le Hacking est un " bidouillage " utilisant souvent des failles ou vulnérabilités d'un élément, voire d'un groupe d'éléments qu'ils soient matériel ou même humain (Social Engineering).

Quand une personne utilise ces techniques dans le but de nuire, de voler ou de détruire on parle de piratage informatique réalisé par un Pirate ou encore un CyberCriminel. Dans le cas de destruction de serveurs ou de données, de plantages ou de dénis de Service (DDOS,...) on les nommera plutôt des Crashers.

Dans le cas inverse, quand un professionnel utilise les mêmes compétences et outils pour sécuriser ses clients et partenaires réalisant des tests de vulnérabilité voire de pénétration (Audit, Pentest,..), en participant à l'amélioration de la sécurité (sécurisation, formation du personnel,...) ou enquêtant à la suite d'un incident de piratage (analyse Forensic,...) on parlera alors d'Ethical Hacking : Le Hacking Ethique.

Comme son nom l'indique, le Hacking Ethique reste bien sûr du véritable Hacking mais réalisé dans des conditions "Ethiques" par un professionnel pour le compte de son client, en respectant le cadre légal.



Voir mes services d'Ethical Hacking

Mes Services

  • Aussi appelé Pentesting (pour "Pentetration Testing") le test d'intrusion et de pénétration consiste à tester la force de la sécurité de votre système informatique.
    On simule la réalité d'une tentative de piratage avec toutes les attaques associées.

    Le test d'intrusion est généralement organisé dans le cadre d'un audit interne complet, pour bien déceler les forces et les faiblesses de l'ensemble du système.
    Ce type d'audit et de tests peuvent être réalisés sur différents systèmes tels qu'un réseau informatique, un serveur, un site Web,...

  • La Sécurisation fait généralement suite à un audit sécuritaire.
    Il permet l'application de mesures de sécurité, de correctifs & patchs et mises en place de solutions logiciels et matériels pour protéger vos infrastructures (en fonction des failles décelées précédement).

    Ce service sert aussi à définir de bonnes politiques de travail et à réorganiser ou reconfigurer les outils et leur gestion pour obtenir un résultat plus sécuritaire.
    En effet, l'application de mesures techniques de sécurité ou de logiciels et matériels spécifiques n'est souvent pas adéquate sans une révision des modes opérationnels.

  • En cas de piratage ou même simplement de soupçons de piratage, il est toujours difficile de savoir quoi faire.
    De plus, un piratage qui peut paraître anodin ou limité peut cacher d'autres actions parallèles qui sont souvent invisibles au premier abord. Aussi l'enquête s'impose !

    On appelle cela l'Investigation Numérique Légale ou " Computer Forensics ".
    Cependant, mesurer l'impact réel du piratage et les stratégies à adopter pour limiter les risques ou évaluer les pertes réelles reste toujours délicat...
    Parfois, même la simple récupération d'informations supprimées devient problématique.
    Enfin, pour pouvoir porter plainte il faut des preuves et détails à l'appui.

    Au-delà d'un incident de piratage... qui n'a jamais été confronté à un disque dur ou une clé USB ne fonctionnant plus ?
    Ce type d'incident très fréquent nécessite également des compétences et des outils spécifiques.
    Ainsi, seul un spécialiste du Forensic peut apporter réponses et solutions à tous ces problèmes.

  • La sécurité informatique nécessite une gestion adaptée de chaque utilisateur et cela chaque jour.
    La sécurité progresse donc avec le temps tout en s'adaptant à l'évolution de la structure.
    Ainsi, faute de personnel bien formé à un usage sécuritaire, les solutions de sécurité informatique se retrouvent souvent inopérantes.

    Face à cette réalité, il n'est pas toujours évident de recruter un nouveau collaborateur, surtout à un poste clé, sans pouvoir garantir ces compétences en sécurité...

    La solution c'est bien évidement la formation professionnelle.

    Je vous propose donc différents modules de formation pour différents types d'utilisateurs (novices ou chevronnés).
    Je peux aussi adapter mes modules de formation professionnelle à vos besoins et les faire sur mesure .

    Quid du financement ?
    Ayant créé depuis 2008 un centre de formation professionnel, chacune de mes formations peut être financée par les prises en charge professionelles tels le Plan de Formation,...

Me concernant

Je m'appelle Gabriel Viller, j'ai la trentaine et je vis au Havre en Normandie (France).
Passionné d'informatique et de sécurité depuis ma tendre jeunesse, je suis devenu au fil des années un spécialiste de la sécurité informatique.
En effet, depuis une dizaine d'années je me suis lancé en autodidacte dans le hacking et la sécurité.

En 2007, j'ai créé ma structure professionnelle en tant que Consultant Informatique et Formateur Professionnel. Cette structure s'appelle Inovatio.
Ainsi, je suis prestataire de Services informatiques : Consulting, création de site Web, hébergement, Streaming audio & vidéo, spécialiste des technologies 3G/4G,...

Etant formateur professionnel j'ai fait évoluer ma structure, en 2008, en Centre de Formation Pofessionnel enregistré en préfecture. Depuis, j'organise des formations en France, en Belgique, en Suisse mais aussi en Guadeloupe, en Martinique,...

Concernant le Hacking, mes prémices remontent la fin des années 90 durant l'adolescence. Mon initiation à l'Ethical Hacking commença vers le milieu des années 2000. Comme bon nombre d'autres Ethical Hackers, mon chemin fut parfois sinueux, pour passer d'un hacker novice à un Ethical Hacker professionnel. Ma formation est avant tout autodidacte et permanente, représentant donc maintenant des miliers d'heures. Je ne cesse de me documenter, de découvrir, de tester,...

Ainsi, après plus de 15 ans d'apprentissage dans ce domaine, au-delà d'être Dirigeant, Consultant Informatique et Formateur professionnel, je suis également un Hacker professionnel.

Exemples de prestation de Hacking

Suivant les modalités des contrats et accords établis avec mes clients, je suis soumis à une grande confidentialité.
Ainsi, je ne peux divulguer le nom de certains clients ou encore tout ou parties des détails sur mes prestations passées.

Voici donc une sélection de quelques-unes de mes actions d'Ethical Hacking sur lesquelles je peux communiquer :

Découverte d'une vulnérabilité permettant d'extraire la liste des inscrits issue du système de " mailing-list " de la société Multi-Fax (du groupe Imaplus).
Cette vulnérabilité permettait aussi de désinscrire chaque inscrit.
Lors d'une vérification de sécurité d'une de mes radios partenaires, j'ai découvert plusieurs failles de sécurité Critiques dans leur principal programme métier : le programme de production, programmation, planification et de diffusion radiophonique. Ce logiciel est une des grandes références dans le monde des radios & webradios francophones.
Des vulnérabilités furent trouvées par mes soins dans plusieurs jeux multi-joueurs pour smartphones mais aussi dans un MMORPG pour Windows mondialement connu (et l'une des références du milieu).

Suivant les Applis et le logiciel concernés, ces vulnérabilités permettaient à l'attaquant certaines actions :
   - contourner les limitations du système de discussion communautaire intégrée (" chat "),
   - devenir un des "maîtres" du jeu en trichant, ajoutant à son compte des ressources ou des pouvoirs,
   - espionner les comptes des autres joueur voir dans certains cas d'accéder intégralement aux comptes de tous les joueurs,
   - avoir des informations privées/confidentielles (adresses mails, IP,...) sur les autres joueurs.
Suite à la recrudescence des attaques contre chaque site Web professionnel ou amateur (et à fortiori des sites Web e-Commerces), j'ai eu plusieurs missions d'audit et de sécurité pour des sites professionnels, communautaires, institutionnels mais aussi des sites e-Commerces.
J'ai découvert qu'un prestataire Français de solutions e-Commerce (avec plus de 2000 boutiques à l'époque), était confronté à plusieurs vulnérabilités importantes, voire critiques, et à d'autres soucis de sécurité d'une gravité extrême.
Suite au piratage de leur site, l'association S2V me contacta pour une intervention urgente. En quelques heures, le site fut sécurisé et restauré.
La faille utilisée par le pirate fut identifiée et patchée manuellement.

Durant cette intervention, un tracking dans les logs m'a permis de définir les adresses IP des pirates mais aussi leurs actions pour bien mesurer l'ampleur des dégâts et les modifications à apporter au-delà du site.
J'ai découvert une fuite d'information extrêmement critique dans le site gérant les " Chèques Emploi Très Petite Entreprise " ou CETPE (devenu depuis le TESE).

Après avoir essayé vainement d'informer l'organisme du problème via leur hotline, j'ai contacté le lanceur d'alerte Damien Bancal par le biais de son site ZATAZ.
La procédure d'informations a permis la correction des problèmes.

Sur ce sujet, le site ZATAZ titrait " La plus grave fuite de données en France corrigée ".
A la suite d'attaques sur le site de l'un de mes clients, j'ai découvert que des pirates utilisaient une faille " 0day " (non publiée) dans le composant TinyContent pour le CMS Xoops.
L'étude de leurs attaques m'a permis d'identifier pleinement la faille du composant, et ainsi d'établir un pacth manuel.
Les attaques des pirates étant récurrentes et lancées depuis d'autres sites déjà piratés par cette faille, j'ai listé les sites concernés et les ai sécurisés éjectant les pirates et leurs fichiers d'attaques.

J'ai enfin informé la communauté francophone du problème. En parallèle, un autre spécialiste de la sécurité diffusait la CVE (Common Vulnerabilities and Exposures) CVE-2007-3237.
On me demanda de mettre en place l'analyse sécuritaire du site web d'une institution Française. Plusieurs problèmes assez graves furent trouvés notamment chez leurs différents prestataires d'hébergement.

----------
Par la suite, la même année, je fus mandaté pour un travail en équipe réduite dans le cadre d'un audit pour une institution Franco-Belge.
Ma partie du travail était l'analyse en boîte noire (Pentesting et attaques) dans des conditions réelles.

Les différents sites visés dans l'audit (tant Belges que Français) furent pénétrés de façon critique (sauf pour l'un deux avec une pénétration plus succincte).
J'ai découvert, avec un autre spécialiste, une vulnérabilité dans un CMS commercial (payant).
J'ai établi l'étude technique des détails de la vulnérabilité et j'ai informé les entités compétentes pour une diffusion anonyme d'une CVE (Common Vulnerabilities and Exposures).

Contact

Pour en savoir plus sur mes services d'Ethical Hacking ou pour des demandes spécifiques, n'hésitez pas à me contacter.

 Coordonnées