Bouyges Telecom
16 janvier 2014, en plein milieux d'un exercice de S.T.I (Science et Technique de l'Ingénieur) quelque peu barbant et déjà terminé pour ma part depuis un moment, je m'occupe. Et, un peu par hazard, je tombe sur cette faille XSS. C'était au tout début de mon apprentissage au sujet de la sécurité web. J'en ai fait du chemin depuis.
(et, un peu d'ironie, j'ai aussi appris à ne pas signaler de manière si trollesque ahah)
Signalement effectué à l'époque ou mon compte étais sous son ancien nom d'utilisateur, @walty_eternia.
Lien vers le message sur le compte twitter de Bouygues Telecom
Orange
Dans les deux jours qui ont précédé le 25 janvier 2014, j'ai signalé pas moins de 6 XSS sur des sous domaine d'orange.fr, dont deux critique touchant le portail de connexion client sécurisé https://id.orange.fr .
Ici la réponse pour le signalement d'une XSS sur un autre sous domaine.
Lien vers le message sur le compte twitter d'orange france
La ville de Paris
27 janvier 2014. J'analyse un peu les sites de la ville de paris, sans aller très loin, n'ayant à l'époque pas vraiment la technique et les compétences requises.
Malgré tout, j'ai ce jour là détecté et fait corriger 4 XSS touchant des sous domaine actif, ainsi qu'un sous domaine un peu à l'abandon qui contenais un typo3 non à jour, disposant d'une faille permettant de récupérer n'importe quel fichier sur le serveur.
Lien vers le message sur le compte twitter de la ville de Paris
Numéricable
17 mars 2014, en plus de failles sur les sites de la ville de paris ainsi que sur les sites de france télévision, j'ai signalé et fait corriger des failles XSS sur le site du Portail web Xooloo, le moteur de recherche sécurisé de Numéricable.
Lien vers le message sur le compte twitter du Portail web Xooloo
Bouyges Telecom (Once again)
31 mars 2015, 23h34. Eh non, ce n'est pas un poisson d'avril posté un peu en avance, mais après vérification, la faille signalé le 16 janvier 2014 avais finalement été mal corrigée !
Techniquement, ils ont censuré les "<" et ">", mais pas les " et les '. Ce qui permettais de déclancher une XSS, avec le playload adapté.
Lien vers le message sur le compte twitter de Bouyges Telecom
LDLC.com
25 avril 2014. Au cour d'une recherche sur les sites de LDLC.com, je découvre qu'au sein du site de recrutement de LDLC, il existe un sévère bug dans la gestion des sessions, qui permet de se connecter au compte de n'importe quel candidat inscrit sur ledit site.
Bug vraiment random, on ne pouvais pas "choisir" sur quel compte on allais arriver, c'était totalement au hasard.
Première récompense pécuniaire, un bon d'achat de 50€
(note : J'ai laissé mon mail car il est public et présent sur le menu du site, et oui j'ai laissé le code, il est déjà utilisé et serait de toute manière inutilisable car périmé ;-) )
Les remerciements était en privé via la messagerie de twitter.
Ask.fm
Le 21 juin 2014, Après une discution avec un des développeur de chez deezer, m'expliquant plusieurs failles qu'il avais trouvé et signalé sur facebook, j'ai eu l'envie de chercher des failles sur les principaux réseaux sociaux. Et j'ai fini par dénicher cette faille XSS sur le réseau social Ask.fm.
Basé sur un détournement du cookie, je n'ai jamais réussi à entrer en contact avec ask.fm, qui à malgré tout fini par corriger discrètement la faille sans prévenir personne.
Voyages-sncf.com
29 juin 2014, au cour d'une visite sur le site de voyages-sncf.com, le site de vente de billets de train de la SNCF, je découvre le comportement étrange d'un formulaire avec les " et les '. Je décide d'investiguer un peu plus, et découvre en effet une XSS sur le site principal.
Par la suite (autre signalement uniquement en privé) j'ai signalé 2 autres failles XSS sur deux sous domaine de voyages-sncf.com ainsi qu'une XSS sur le site principal www.voyages-sncf.com
Lien vers le message sur le compte twitter de voyages-sncf.com
Lien vers des second remerciement de voyages-sncf.com pour les autres signalements
Casino (les supermarchés)
le 27 juin 2014, au cour d'analyse sur les sites de supermarché (m'ayant aussi valu la récompense cité au dessus par carrefour !), j'ai détecté une faille SQL très grave sur le site principal des supermarché casino.
Signalé et pris en compte rapidement, pour un vendredi après-midi, pas mal.
Malheureusement, je n'ai jamais eu de nouvelle, la faille à fini par être corrigée furtivement, et je n'ai rien vu de ce qui m'avais été promis par la suite dans la conversation. Tant pis, c'est le jeu ahah !
Les remerciements était en privé via la messagerie de twitter.
SFR
Le 12 juillet 2014, au cour de recherches sur le site de SFR, j'ai décoouvert deux anciens sites publicitaire bénéficiant d'un sous domaine en *.sfr.fr touché par une faille très grave de type Remote Code Execution. Bonus de l'histoire, le certificat SSL de *.sfr.fr se trouvais sur le serveur !
Signalé au deux comptes de sfr, et pris presque immédiatement en compte par le compte principal, plus tardivement par le compte du sav SFR.
Liens vers le message twitter de @SFR_SAV
Banque Crédit Agricole (national)
9 Aout 2014, nouveau client au crédit agricole, ma curiosité m'amène à vérifier la sécurité des sites du crédit agricole. Bien m'en a pris, car j'ai découvert une faille SQL (bind sql, compliquée à exploiter), sur un sous domaine important du site national du crédit agricole(*.credit-agricole.fr).
Faille prise en compte aussitôt, un samedi en fin d'après-midi, et remerciement public le lundi suivant.
Lien vers le message sur le compte twitter du crédit agricole (National)
Banque Crédit Agricole (national)
Seconde capture d'écran, illustrant ce coup si l'article rédigé au sujet de mes analyse de sécurité du crédit agricole, retweeté par le compte twitter du crédit agricole (national), @CreditAgricole , qui m'a par la suite remercié pour l'article que j'ai rédigé.
L'article à été posté à la base sur mon ancien blog, aujourd'hui inexistant. Cependant un re-post à été publié sur ce site, que je vous invite à aller lire si cela vous intéresse :-)
Lien vers les remerciement du crédit agricole pour l'artice
Orange (Il cour, il cour, le furet)
17 septembre 2014, au cour de recherches sur les sites annexes d'orange, j'ai découvert une XSS sur le moteur de recherche de voila.fr.
Signalé tard dans la nuit (00h48), la vulnérabilité été prise en compte en privé dès 7h du matin, et corrigée dans la matinée.
Remarque bonus, c'est la 10eme faille que j'ai signalé à orange, concernant toute uniquement des domaine *.orange.fr !
Lenovo.com
le 27 février 2015, peu après le scandale Superfish et le piratage de lenovo.com par le groupe de BlackHat "Lizarsquad" via un détournement de DNS, je suis allé inspecter un peu la sécurité des sites de lenovo.
J'ai au final trouvé plusieurs failles XSS sur des sous domaine *.lenovo.com , signalé le jour de leurs découverte au compte twitter francais de lenovo
Groupe NRJ
Courant mars 2015, j'ai découvert en premier lieux une faille SQL sur un sous domaine marketting de nrj.fr . Donnant accès aux 58 bases de données du serveur, étant donné que le script étais connecté en root (!!), j'ai par la suite analysé les autres sites présent sur le serveur, pour au final découvrir de nombreuses failles SQL ainsi qu'une faille RCE donnant un accès complet au serveur.
Impactant pas moins de 155 sites, principalement sous domaine des radios et télévisions du groupe NRJ (nrj, cherieFM, rire&chansons, nostalgie, nrj12) ainsi que deux sous domaine de carrefour.fr, il étais possible d'accéder à plusieurs millions d'entrées contenant des données privés.
Malgré de nombreuses tentative, le groupe NRJ n'a jamais répondu a mes prise de contact, et j'ai du prévenir plusieurs entreprises ayant des opérations marketting hébergé sur le même serveur (carrefour, la poste, JoeMobile, la societé général, etc...) pour que cela finisse par être corrigé.
Remercié par les entreprises sus-cité, j'ai même reçu un pack de goodies absolument géniaux de la part de Joe mobile.
Quelques semaines plus tard, après la plainte d'une autre entité sans rapport à qui j'ai fait un signalement de vulnérabilité, le directeur technique de Joe Mobile m'a fait une lettre attestant du signalement de ces failles et que ma démarche à été constructive et sans intention de nuire.
Lien vers la l'attestation rédigée par le directeur technique de Joe Mobile, M. Herbault.
