Depuis quelques années déjà l’usage des services managés en environnement cloud se développe et tend à devenir la norme. En novembre dernier, nous avons décidé d’initier un travail de recherche sur les problématiques sécuritaires liées à ces environnements, en commençant par le produit Kubernetes déployé chez les plus gros cloud providers.

Nos premières investigations nous ont amenés à découvrir et publier une CVE core Kubernetes, vulnérabilité que nous avons pu ensuite exploiter dans le cadre de programmes de Bug Bounty.

La présentation se concentrera principalement sur celui d’Azure où nous avons pu accéder à des données internes et remporter un des plus gros reward du programme.

Au travers de cette expérience de 6 mois, notre volonté est de partager à la communauté infosec les résultats techniques de nos investigations mais également de réaliser un retour d’expérience de ce qu’est la vie de BugBounty Hunter.

Write-up technique déjà existant : https://medium.com/@BreizhZeroDayHunters/when-its-not-only-about-a-kubernetes-cve-8f6b448eafa8

Brice Augras a.k.a Zax

Passionné de cybersécurité depuis plus de 10 ans, je prends un malin plaisir à triturer mon esprit dans le but de repousser les limites d’un fonctionnement “standard”.

Aboutissement, besoin d’apprentissage permanent et fierté personnelle sont les sentiments d’accomplissement que j’obtiens lorsque j’arrive à bout d’un challenge technique dans l’univers du Hack.

J’applique la politique du #TryHarder et du #RTFM pour continuer de progresser, me sortir de ma zone de confort technique et farmer les connaissances.

Responsable cybersécurité le jour dans une PME et Bug Bounty Hunter la nuit et les week-ends, j’ai la chance d’avoir fait d’une passion de toujours mon taf de tous les jours…

Christophe Hauquiert aka Hach

Passionné depuis longtemps d’informatique et autodidacte je suis tombé très jeune dans la marmite en commençant par concevoir et administrer des infrastructures pour faire de l’hébergement de serveurs de jeux.

J’ai ensuite découvert le domaine de la sécurité informatique et du hack, j’ai tout de suite accroché. Depuis je prend plaisir à apprendre et à continuer à développer mes compétences, toujours avec passion, sur ces deux domaines.

Aujourd’hui je suis architecte Kubernetes dans une boîte de télécom le jour, et la nuit et les weekends je suis entrepreneur et bug bounty hunter.