Les ingesclaves en info concrètement...

Le 22 mai 2022 à 21:18:47 :

Le 22 mai 2022 à 21:12:02 :

Le 22 mai 2022 à 21:08:44 :

Le 22 mai 2022 à 21:06:36 :

Le 22 mai 2022 à 21:04:16 :

Le 22 mai 2022 à 21:01:04 :

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Ba regarde log4shell, n'importe quel étudiant en info aurait pu trouver cette vuln, pourtant c'est probablement la vulnérabilité de la décennie ....

Non mais khey... C'est facile de dire "ah ouais mais c'est évident je l'aurais trouvé" sauf que personne ne l'a trouvé ( ou alors elle était exploité par des mecs qui l'ont jamais signalé enfin tu m'as compris)

Résumé de cette histoire ?

Faille dans un morceau de logiciel imbriqué dans pleins de gros logiciel qui permet de lancer des commandes à distance en gros

Donc avec cette faille si je comprends bien tu pouvais utiliser le logiciel vulnérable pour opérer sur les autres logiciels rattachés au logiciel vulnérable ?

C'est ça d'ou la criticité du truc

Le 22 mai 2022 à 21:19:19 :

Le 22 mai 2022 à 21:17:02 :

Le 22 mai 2022 à 21:06:36 :

Le 22 mai 2022 à 21:04:16 :

Le 22 mai 2022 à 21:01:04 :

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Ba regarde log4shell, n'importe quel étudiant en info aurait pu trouver cette vuln, pourtant c'est probablement la vulnérabilité de la décennie ....

Non mais khey... C'est facile de dire "ah ouais mais c'est évident je l'aurais trouvé" sauf que personne ne l'a trouvé ( ou alors elle était exploité par des mecs qui l'ont jamais signalé enfin tu m'as compris)

En vrai y en a tout les jours des exemples comme ça tu suis CVE mitre à chaque minutes t'as des vuln de merde qui ont des conséquences désastreuses ... La semaine dernière chez un client grand compte tu pouvais faire du path traversal et une élévation de privilège locale à l'application et pourtant c'est une entreprise qui investit des millions en cybersécu ... Le problème de la sécu c'est que 1) les devs sont pas formés, 2) Ils ont une pression de malade en terme de livraison et les merge request ne sont pas toujours vérifié comme il faut.

L'autre problème c'est surtout que appliquer des patch continuellement risque faire sauter la production à cause de certains défauts d'incompatibilité internet était un jeu d'enfant il y'a quelques années là il le reste toujours mais avec un niveau de difficulté plus élevé

Je suppose qu'effectivement ça doit être bien plus complexe désormais de trouver des failles mais que par extension et paradoxalement il y'a plus de possibilités ?

Le 22 mai 2022 à 21:17:19 :

Le 22 mai 2022 à 21:11:38 :

Le 22 mai 2022 à 21:01:06 :

Le 22 mai 2022 à 20:56:45 :

Le 22 mai 2022 à 20:50:20 :

Le 22 mai 2022 à 20:48:07 :

Le 22 mai 2022 à 20:41:37 :

Le 22 mai 2022 à 20:40:14 :
Parce que le hacking c'est pas aussi simple que dans Mr Robot + ils veulent pas finir en prison

Oui, je parle justement de ceux qui ont des compétences

Bah juste pour pas finir en prison, par moral ou par flemme de vivre une vie dangereuse

C'est par exemple à la portée de n'importe qui de se lancer dans le traffic de shit, pourquoi tu te lances pas dans l'aventure ?

Même niveau que le mec qui a dit "t'as deux bras deux jambes va braquer une grand-mère"
Le mec qui fait du carding va voler les banques, ta morale tu peux la ranger autre part, c'est bien plus complexe et bien moins manichéen que ce que tu as l'air de penser
On parle des mecs qui ont des compétences en info, pas de la globalité du monde du crime, arrêtez d'être cons 2 sec svp

Bah non c'est exactement le même principe Célestin. Ton raisonnement c'est "si tu peux faire de la thune dans l'illégalité pourquoi pas tenter ?" Bah c'est le même sens que ma question : tu pourrais toi même tenter de te faire de la thune en faisant pousser de la weed chez toi et en la revendant alors pourquoi tu le fais pas ? Bah parce que t'as peur de te faire chopper par les flics ou de devoir vivre dans l'ombre pour te faire de la thune. Bah c'est pareil pour les infésclaves en cybersécu

Le mec qui a des compétences sait probablement se rendre plus intraçable que le mec qui fait pousser de la weed dans son sous-sol qui finira ultimement par puer. Il va devoir vendre dans la rue ou au minimum vendre en gros à un réseau qui va écouler le stock.
L'expert cybersec est déjà un peu plus en sécurité derrière son pc et sa pléthore de barrières.
Tu fais juste un glissement sémantique mais non je demande pas "si tu peux faire de la thune illégalement pourquoi tu le fais pas?" mais plutôt "si tu as les compétences spécifiques dans un domaine spécifique, pourquoi ne pas les mettre en application pour prendre plus de risques".
Tu laisses répondre ceux qui connaissent le sujet plus que toi maintenant merci

Non tu peux très bien en vendre à tes proches, c'est pas plus dangereux que de faire du carding, et non c'est pas parce que t'es chez toi derrière un pc que t'es intracable, t'as des gros hackers qui se font chopper parfois. T'as même moins de chances de te faire chopper en vendant quelques barrettes à tes potes qu'en faisant du hacking

"Tu fais juste un glissement sémantique mais non je demande pas "si tu peux faire de la thune illégalement pourquoi tu le fais pas?" mais plutôt "si tu as les compétences spécifiques dans un domaine spécifique, pourquoi ne pas les mettre en application pour prendre plus de risques"."

C'est pas une question de sémantique ou alors t'es trop bête ou de mauvaise foi pour voir que prendre des risques via le hacking c'est plus proche de prendre des risques via le traffic de drogues que de prendre des risques en se lançant dans l'entrepreneuriat ?

Et des gens cales t'ont déjà répondu. Tu leur as juste répondu "gneugneu vous manquez de couilles"

Bordel mais c'est que tu reviens à la charge en plus

J'ai jamais dit que t'étais totalement intraçable il me semble avoir précisé que tu étais "plus intraçable" que le mec qui devait sortir physiquement pour son business. J'ai jamais dit que c'était impossible de se faire chopper, va falloir arrêter tes sophismes à deux balles ça devient incommodant
Évidemment que prendre des risques dans le hacking c'est plus dangereux que l'entreprenariat et j'ai jamais dit le contraire, si tu comprends le contraire il va sérieusement falloir revoir ta compréhension écrite

Les mêmes personnes qui connaissent le sujet ont dit qu'effectivement c'était aussi un manque de couilles de la part des personnes qui travaillent dans le domaine, et c'est une réalité, faut des couilles pour mettre ses compétences au service de l'illégal et se montrer gourmand

Tu comprends qu'on parle pas du tout de la même chose quand on parle de mettre des compétences spécifiques au service d'un domaine tout aussi spécifique plutôt que de vendre de la beuh ? C'est grave de penser que ce genre de sophisme bête à crever peut passer

Bah oui faut des couilles pour se lancer dans l'illégal compétences ou pas compétences, d'où le fait que beaucoup ne s'y lancent pas malgré l'appât du gain. T'avais besoin de ce topic pour le savoir ?

Le 22 mai 2022 à 19:51:39 :
Bha toi t'as deux bras deux jambes pourquoi tu voles pas des vieilles dans la.rue ??

il suffit de pas être trop gourmand et de se limiter à 1-2 vieilles par moi j'imagine, d'après l'op

Le 22 mai 2022 à 21:17:02 :

Le 22 mai 2022 à 21:06:36 :

Le 22 mai 2022 à 21:04:16 :

Le 22 mai 2022 à 21:01:04 :

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Ba regarde log4shell, n'importe quel étudiant en info aurait pu trouver cette vuln, pourtant c'est probablement la vulnérabilité de la décennie ....

Non mais khey... C'est facile de dire "ah ouais mais c'est évident je l'aurais trouvé" sauf que personne ne l'a trouvé ( ou alors elle était exploité par des mecs qui l'ont jamais signalé enfin tu m'as compris)

En vrai y en a tout les jours des exemples comme ça tu suis CVE mitre à chaque minutes t'as des vuln de merde qui ont des conséquences désastreuses ... La semaine dernière chez un client grand compte tu pouvais faire du path traversal et une élévation de privilège locale à l'application et pourtant c'est une entreprise qui investit des millions en cybersécu ... Le problème de la sécu c'est que 1) les devs sont pas formés, 2) Ils ont une pression de malade en terme de livraison et les merge request ne sont pas toujours vérifié comme il faut.

les soft sont pas mis à jour parce que tout se casse la gueule sinon. Après y'a CVE et CVE de là à dire que c'est facile de trouver des RCE, fais du bug bounty tu vas devenir millionnaire

Le 22 mai 2022 à 19:57:07 :

Le 22 mai 2022 à 19:51:39 :
Bha toi t'as deux bras deux jambes pourquoi tu voles pas des vieilles dans la.rue ??

Comparer le fait de voler le code de carte bleu d'une vieille sur le net et aller lui casser la gueule dans la rue pour lui piquer 20 balles de liquide mdr
Dans la deuxième option en plus d'être un fdp t'es un bon gros con

Pour citer la réponse d'un autre khey

Le 22 mai 2022 à 21:11:37 :

Le 22 mai 2022 à 21:10:09 :

Le 22 mai 2022 à 21:05:14 :

Le 22 mai 2022 à 21:04:03 :

Le 22 mai 2022 à 21:00:45 :

Le 22 mai 2022 à 20:57:37 :

Le 22 mai 2022 à 20:56:30 :

Le 22 mai 2022 à 20:47:49 :
Peut être parce que 3 k c'est le salaire à l'embauche en cybersec ?
En freelance/bugbounty tu peux te faire 10-20k par mois...
Perso J'ai 3ans d'xp en entreprise, tout les jours je fais ce que j'aime, je gagne 5k/mois c'est à dire plus que je ne peux dépenser, pourquoi je risquerais ma carrière pour gagner de l'argent que je ne pourrais de toute façon dépenser ?

De plus les gens n'ont pas l'air de le savoir mais quand tu rentre dans le milieu de la sécurité offensive, tu obtiens l'accréditation très secret voir OTAN donc t'es fiché par la DGSI ...

C'est intéressant khey, tu peux en dire plus ?

Y a pas grand chose à dire de plus ... Tu deviens pas non plus agent secret ou des conneries comme ça mais vu que t'es emmené à travailler sur des organismes d'importance vitale, tu passe forcément par ces accréditations

Ces accréditations ? J'ai rien trouvé sur google c'est positif ?

Quelqu'un pour confirmer qu'il faut des accréditations et qu'on est obligatoirement fiché quand on fait de la cybersec offensive ?

Fiché le mot est peut être un peu fort de ma part, néanmoins au vu des accréditations si il faut générer une liste des gens ayant des compétences de cybersécu, c'est largement possible

Donc toutes les personnes ayant des compétences en cybersec sont fichées ? Ça paraît très gros

Je pense que tu surrestime le nombre de personnes techniques qui travaillent dans le secteur, si tu veux un exemple le FIC qui est probablement le plus gros rassemblement de France rassemble 7000 à 10000 personnes, sachant que y a pas que des redteamers mais aussi des managers et des blueteamers ... Les grosse conférences de cybersécu purement technique comme les CTF rassemblent seulement 500 à 800 personnes

Le 22 mai 2022 à 21:22:42 :

Le 22 mai 2022 à 21:17:19 :

Le 22 mai 2022 à 21:11:38 :

Le 22 mai 2022 à 21:01:06 :

Le 22 mai 2022 à 20:56:45 :

Le 22 mai 2022 à 20:50:20 :

Le 22 mai 2022 à 20:48:07 :

Le 22 mai 2022 à 20:41:37 :

Le 22 mai 2022 à 20:40:14 :
Parce que le hacking c'est pas aussi simple que dans Mr Robot + ils veulent pas finir en prison

Oui, je parle justement de ceux qui ont des compétences

Bah juste pour pas finir en prison, par moral ou par flemme de vivre une vie dangereuse

C'est par exemple à la portée de n'importe qui de se lancer dans le traffic de shit, pourquoi tu te lances pas dans l'aventure ?

Même niveau que le mec qui a dit "t'as deux bras deux jambes va braquer une grand-mère"
Le mec qui fait du carding va voler les banques, ta morale tu peux la ranger autre part, c'est bien plus complexe et bien moins manichéen que ce que tu as l'air de penser
On parle des mecs qui ont des compétences en info, pas de la globalité du monde du crime, arrêtez d'être cons 2 sec svp

Bah non c'est exactement le même principe Célestin. Ton raisonnement c'est "si tu peux faire de la thune dans l'illégalité pourquoi pas tenter ?" Bah c'est le même sens que ma question : tu pourrais toi même tenter de te faire de la thune en faisant pousser de la weed chez toi et en la revendant alors pourquoi tu le fais pas ? Bah parce que t'as peur de te faire chopper par les flics ou de devoir vivre dans l'ombre pour te faire de la thune. Bah c'est pareil pour les infésclaves en cybersécu

Le mec qui a des compétences sait probablement se rendre plus intraçable que le mec qui fait pousser de la weed dans son sous-sol qui finira ultimement par puer. Il va devoir vendre dans la rue ou au minimum vendre en gros à un réseau qui va écouler le stock.
L'expert cybersec est déjà un peu plus en sécurité derrière son pc et sa pléthore de barrières.
Tu fais juste un glissement sémantique mais non je demande pas "si tu peux faire de la thune illégalement pourquoi tu le fais pas?" mais plutôt "si tu as les compétences spécifiques dans un domaine spécifique, pourquoi ne pas les mettre en application pour prendre plus de risques".
Tu laisses répondre ceux qui connaissent le sujet plus que toi maintenant merci

Non tu peux très bien en vendre à tes proches, c'est pas plus dangereux que de faire du carding, et non c'est pas parce que t'es chez toi derrière un pc que t'es intracable, t'as des gros hackers qui se font chopper parfois. T'as même moins de chances de te faire chopper en vendant quelques barrettes à tes potes qu'en faisant du hacking

"Tu fais juste un glissement sémantique mais non je demande pas "si tu peux faire de la thune illégalement pourquoi tu le fais pas?" mais plutôt "si tu as les compétences spécifiques dans un domaine spécifique, pourquoi ne pas les mettre en application pour prendre plus de risques"."

C'est pas une question de sémantique ou alors t'es trop bête ou de mauvaise foi pour voir que prendre des risques via le hacking c'est plus proche de prendre des risques via le traffic de drogues que de prendre des risques en se lançant dans l'entrepreneuriat ?

Et des gens cales t'ont déjà répondu. Tu leur as juste répondu "gneugneu vous manquez de couilles"

Bordel mais c'est que tu reviens à la charge en plus

J'ai jamais dit que t'étais totalement intraçable il me semble avoir précisé que tu étais "plus intraçable" que le mec qui devait sortir physiquement pour son business. J'ai jamais dit que c'était impossible de se faire chopper, va falloir arrêter tes sophismes à deux balles ça devient incommodant
Évidemment que prendre des risques dans le hacking c'est plus dangereux que l'entreprenariat et j'ai jamais dit le contraire, si tu comprends le contraire il va sérieusement falloir revoir ta compréhension écrite

Les mêmes personnes qui connaissent le sujet ont dit qu'effectivement c'était aussi un manque de couilles de la part des personnes qui travaillent dans le domaine, et c'est une réalité, faut des couilles pour mettre ses compétences au service de l'illégal et se montrer gourmand

Tu comprends qu'on parle pas du tout de la même chose quand on parle de mettre des compétences spécifiques au service d'un domaine tout aussi spécifique plutôt que de vendre de la beuh ? C'est grave de penser que ce genre de sophisme bête à crever peut passer

Bah oui faut des couilles pour se lancer dans l'illégal compétences ou pas compétences, d'où le fait que beaucoup ne s'y lancent pas malgré l'appât du gain. T'avais besoin de ce topic pour le savoir ?

Je cherchais justement à savoir si le problème était simplement un manque de couilles ou autre chose bordel arrête d'être débile c'est incommodant

Le 22 mai 2022 à 21:24:17 :

Le 22 mai 2022 à 21:17:02 :

Le 22 mai 2022 à 21:06:36 :

Le 22 mai 2022 à 21:04:16 :

Le 22 mai 2022 à 21:01:04 :

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Ba regarde log4shell, n'importe quel étudiant en info aurait pu trouver cette vuln, pourtant c'est probablement la vulnérabilité de la décennie ....

Non mais khey... C'est facile de dire "ah ouais mais c'est évident je l'aurais trouvé" sauf que personne ne l'a trouvé ( ou alors elle était exploité par des mecs qui l'ont jamais signalé enfin tu m'as compris)

En vrai y en a tout les jours des exemples comme ça tu suis CVE mitre à chaque minutes t'as des vuln de merde qui ont des conséquences désastreuses ... La semaine dernière chez un client grand compte tu pouvais faire du path traversal et une élévation de privilège locale à l'application et pourtant c'est une entreprise qui investit des millions en cybersécu ... Le problème de la sécu c'est que 1) les devs sont pas formés, 2) Ils ont une pression de malade en terme de livraison et les merge request ne sont pas toujours vérifié comme il faut.

les soft sont pas mis à jour parce que tout se casse la gueule sinon. Après y'a CVE et CVE de là à dire que c'est facile de trouver des RCE, fais du bug bounty tu vas devenir millionnaire

Faire du bug bounty c'est pas que trouver des RCE loin de là, le mec qui gagne le plus d'argent en bug bounty ne fait que des xss, sqli, ...

Le 22 mai 2022 à 21:25:04 :

Le 22 mai 2022 à 21:11:37 :

Le 22 mai 2022 à 21:10:09 :

Le 22 mai 2022 à 21:05:14 :

Le 22 mai 2022 à 21:04:03 :

Le 22 mai 2022 à 21:00:45 :

Le 22 mai 2022 à 20:57:37 :

Le 22 mai 2022 à 20:56:30 :

Le 22 mai 2022 à 20:47:49 :
Peut être parce que 3 k c'est le salaire à l'embauche en cybersec ?
En freelance/bugbounty tu peux te faire 10-20k par mois...
Perso J'ai 3ans d'xp en entreprise, tout les jours je fais ce que j'aime, je gagne 5k/mois c'est à dire plus que je ne peux dépenser, pourquoi je risquerais ma carrière pour gagner de l'argent que je ne pourrais de toute façon dépenser ?

De plus les gens n'ont pas l'air de le savoir mais quand tu rentre dans le milieu de la sécurité offensive, tu obtiens l'accréditation très secret voir OTAN donc t'es fiché par la DGSI ...

C'est intéressant khey, tu peux en dire plus ?

Y a pas grand chose à dire de plus ... Tu deviens pas non plus agent secret ou des conneries comme ça mais vu que t'es emmené à travailler sur des organismes d'importance vitale, tu passe forcément par ces accréditations

Ces accréditations ? J'ai rien trouvé sur google c'est positif ?

Quelqu'un pour confirmer qu'il faut des accréditations et qu'on est obligatoirement fiché quand on fait de la cybersec offensive ?

Fiché le mot est peut être un peu fort de ma part, néanmoins au vu des accréditations si il faut générer une liste des gens ayant des compétences de cybersécu, c'est largement possible

Donc toutes les personnes ayant des compétences en cybersec sont fichées ? Ça paraît très gros

Je pense que tu surrestime le nombre de personnes techniques qui travaillent dans le secteur, si tu veux un exemple le FIC qui est probablement le plus gros rassemblement de France rassemble 7000 à 10000 personnes, sachant que y a pas que des redteamers mais aussi des managers et des blueteamers ... Les grosse conférences de cybersécu purement technique comme les CTF rassemblent seulement 500 à 800 personnes

Les blue finissent pas par go red à un moment de leur carrière et inversement ?

Le 22 mai 2022 à 21:25:09 :
Je rage de pas avoir fait ça quand je sortais de fac au lieu de faire de la bio.
J'aurais eu tellement d'opportunités de faire du fric facile ça me saoule aujourd'hui je serais millionnaire.

Je pense pas que ce soit si simple non plus khey

Le 22 mai 2022 à 21:04:16 :

Le 22 mai 2022 à 21:01:04 :

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Ba regarde log4shell, n'importe quel étudiant en info aurait pu trouver cette vuln, pourtant c'est probablement la vulnérabilité de la décennie ....

D'ailleurs celui qui l'a trouvée jouait a minecraft

Le 22 mai 2022 à 21:26:44 :

Le 22 mai 2022 à 21:24:17 :

Le 22 mai 2022 à 21:17:02 :

Le 22 mai 2022 à 21:06:36 :

Le 22 mai 2022 à 21:04:16 :

Le 22 mai 2022 à 21:01:04 :

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Ba regarde log4shell, n'importe quel étudiant en info aurait pu trouver cette vuln, pourtant c'est probablement la vulnérabilité de la décennie ....

Non mais khey... C'est facile de dire "ah ouais mais c'est évident je l'aurais trouvé" sauf que personne ne l'a trouvé ( ou alors elle était exploité par des mecs qui l'ont jamais signalé enfin tu m'as compris)

En vrai y en a tout les jours des exemples comme ça tu suis CVE mitre à chaque minutes t'as des vuln de merde qui ont des conséquences désastreuses ... La semaine dernière chez un client grand compte tu pouvais faire du path traversal et une élévation de privilège locale à l'application et pourtant c'est une entreprise qui investit des millions en cybersécu ... Le problème de la sécu c'est que 1) les devs sont pas formés, 2) Ils ont une pression de malade en terme de livraison et les merge request ne sont pas toujours vérifié comme il faut.

les soft sont pas mis à jour parce que tout se casse la gueule sinon. Après y'a CVE et CVE de là à dire que c'est facile de trouver des RCE, fais du bug bounty tu vas devenir millionnaire

Faire du bug bounty c'est pas que trouver des RCE loin de là, le mec qui gagne le plus d'argent en bug bounty ne fait que des xss, sqli, ...

non mais je parle de toi qui dit que c'est facile de trouver des vuln

Le 22 mai 2022 à 21:26:54 :

Le 22 mai 2022 à 21:25:04 :

Le 22 mai 2022 à 21:11:37 :

Le 22 mai 2022 à 21:10:09 :

Le 22 mai 2022 à 21:05:14 :

Le 22 mai 2022 à 21:04:03 :

Le 22 mai 2022 à 21:00:45 :

Le 22 mai 2022 à 20:57:37 :

Le 22 mai 2022 à 20:56:30 :

Le 22 mai 2022 à 20:47:49 :
Peut être parce que 3 k c'est le salaire à l'embauche en cybersec ?
En freelance/bugbounty tu peux te faire 10-20k par mois...
Perso J'ai 3ans d'xp en entreprise, tout les jours je fais ce que j'aime, je gagne 5k/mois c'est à dire plus que je ne peux dépenser, pourquoi je risquerais ma carrière pour gagner de l'argent que je ne pourrais de toute façon dépenser ?

De plus les gens n'ont pas l'air de le savoir mais quand tu rentre dans le milieu de la sécurité offensive, tu obtiens l'accréditation très secret voir OTAN donc t'es fiché par la DGSI ...

C'est intéressant khey, tu peux en dire plus ?

Y a pas grand chose à dire de plus ... Tu deviens pas non plus agent secret ou des conneries comme ça mais vu que t'es emmené à travailler sur des organismes d'importance vitale, tu passe forcément par ces accréditations

Ces accréditations ? J'ai rien trouvé sur google c'est positif ?

Quelqu'un pour confirmer qu'il faut des accréditations et qu'on est obligatoirement fiché quand on fait de la cybersec offensive ?

Fiché le mot est peut être un peu fort de ma part, néanmoins au vu des accréditations si il faut générer une liste des gens ayant des compétences de cybersécu, c'est largement possible

Donc toutes les personnes ayant des compétences en cybersec sont fichées ? Ça paraît très gros

Je pense que tu surrestime le nombre de personnes techniques qui travaillent dans le secteur, si tu veux un exemple le FIC qui est probablement le plus gros rassemblement de France rassemble 7000 à 10000 personnes, sachant que y a pas que des redteamers mais aussi des managers et des blueteamers ... Les grosse conférences de cybersécu purement technique comme les CTF rassemblent seulement 500 à 800 personnes

Les blue finissent pas par go red à un moment de leur carrière et inversement ?

Oui, après ça dépend des appétences de chacun, néanmoins généralement c'est plus les red qui partent vers le blue, il faut toujours être à la pointe de la technique quand t'es red, de plus il ne faut pas voir les red comme des hackeurs d'élites qui trouve une faille tout les jours, 90% du temps tu ne trouve rien et ça peu miner le moral

Le 22 mai 2022 à 21:31:05 :

Le 22 mai 2022 à 21:26:54 :

Le 22 mai 2022 à 21:25:04 :

Le 22 mai 2022 à 21:11:37 :

Le 22 mai 2022 à 21:10:09 :

Le 22 mai 2022 à 21:05:14 :

Le 22 mai 2022 à 21:04:03 :

Le 22 mai 2022 à 21:00:45 :

Le 22 mai 2022 à 20:57:37 :

Le 22 mai 2022 à 20:56:30 :

Le 22 mai 2022 à 20:47:49 :
Peut être parce que 3 k c'est le salaire à l'embauche en cybersec ?
En freelance/bugbounty tu peux te faire 10-20k par mois...
Perso J'ai 3ans d'xp en entreprise, tout les jours je fais ce que j'aime, je gagne 5k/mois c'est à dire plus que je ne peux dépenser, pourquoi je risquerais ma carrière pour gagner de l'argent que je ne pourrais de toute façon dépenser ?

De plus les gens n'ont pas l'air de le savoir mais quand tu rentre dans le milieu de la sécurité offensive, tu obtiens l'accréditation très secret voir OTAN donc t'es fiché par la DGSI ...

C'est intéressant khey, tu peux en dire plus ?

Y a pas grand chose à dire de plus ... Tu deviens pas non plus agent secret ou des conneries comme ça mais vu que t'es emmené à travailler sur des organismes d'importance vitale, tu passe forcément par ces accréditations

Ces accréditations ? J'ai rien trouvé sur google c'est positif ?

Quelqu'un pour confirmer qu'il faut des accréditations et qu'on est obligatoirement fiché quand on fait de la cybersec offensive ?

Fiché le mot est peut être un peu fort de ma part, néanmoins au vu des accréditations si il faut générer une liste des gens ayant des compétences de cybersécu, c'est largement possible

Donc toutes les personnes ayant des compétences en cybersec sont fichées ? Ça paraît très gros

Je pense que tu surrestime le nombre de personnes techniques qui travaillent dans le secteur, si tu veux un exemple le FIC qui est probablement le plus gros rassemblement de France rassemble 7000 à 10000 personnes, sachant que y a pas que des redteamers mais aussi des managers et des blueteamers ... Les grosse conférences de cybersécu purement technique comme les CTF rassemblent seulement 500 à 800 personnes

Les blue finissent pas par go red à un moment de leur carrière et inversement ?

Oui, après ça dépend des appétences de chacun, néanmoins généralement c'est plus les red qui partent vers le blue, il faut toujours être à la pointe de la technique quand t'es red, de plus il ne faut pas voir les red comme des hackeurs d'élites qui trouve une faille tout les jours, 90% du temps tu ne trouve rien et ça peu miner le moral

Bordel ça doit être chiant de passer des jours à chercher et à rien trouver

Le 22 mai 2022 à 21:29:19 :

Le 22 mai 2022 à 21:26:44 :

Le 22 mai 2022 à 21:24:17 :

Le 22 mai 2022 à 21:17:02 :

Le 22 mai 2022 à 21:06:36 :

Le 22 mai 2022 à 21:04:16 :

Le 22 mai 2022 à 21:01:04 :

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Ba regarde log4shell, n'importe quel étudiant en info aurait pu trouver cette vuln, pourtant c'est probablement la vulnérabilité de la décennie ....

Non mais khey... C'est facile de dire "ah ouais mais c'est évident je l'aurais trouvé" sauf que personne ne l'a trouvé ( ou alors elle était exploité par des mecs qui l'ont jamais signalé enfin tu m'as compris)

En vrai y en a tout les jours des exemples comme ça tu suis CVE mitre à chaque minutes t'as des vuln de merde qui ont des conséquences désastreuses ... La semaine dernière chez un client grand compte tu pouvais faire du path traversal et une élévation de privilège locale à l'application et pourtant c'est une entreprise qui investit des millions en cybersécu ... Le problème de la sécu c'est que 1) les devs sont pas formés, 2) Ils ont une pression de malade en terme de livraison et les merge request ne sont pas toujours vérifié comme il faut.

les soft sont pas mis à jour parce que tout se casse la gueule sinon. Après y'a CVE et CVE de là à dire que c'est facile de trouver des RCE, fais du bug bounty tu vas devenir millionnaire

Faire du bug bounty c'est pas que trouver des RCE loin de là, le mec qui gagne le plus d'argent en bug bounty ne fait que des xss, sqli, ...

non mais je parle de toi qui dit que c'est facile de trouver des vuln

Ba une xss c'est une vuln une sqli aussi

Le 22 mai 2022 à 21:32:08 :

Le 22 mai 2022 à 21:29:19 :

Le 22 mai 2022 à 21:26:44 :

Le 22 mai 2022 à 21:24:17 :

Le 22 mai 2022 à 21:17:02 :

Le 22 mai 2022 à 21:06:36 :

Le 22 mai 2022 à 21:04:16 :

Le 22 mai 2022 à 21:01:04 :

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Ba regarde log4shell, n'importe quel étudiant en info aurait pu trouver cette vuln, pourtant c'est probablement la vulnérabilité de la décennie ....

Non mais khey... C'est facile de dire "ah ouais mais c'est évident je l'aurais trouvé" sauf que personne ne l'a trouvé ( ou alors elle était exploité par des mecs qui l'ont jamais signalé enfin tu m'as compris)

En vrai y en a tout les jours des exemples comme ça tu suis CVE mitre à chaque minutes t'as des vuln de merde qui ont des conséquences désastreuses ... La semaine dernière chez un client grand compte tu pouvais faire du path traversal et une élévation de privilège locale à l'application et pourtant c'est une entreprise qui investit des millions en cybersécu ... Le problème de la sécu c'est que 1) les devs sont pas formés, 2) Ils ont une pression de malade en terme de livraison et les merge request ne sont pas toujours vérifié comme il faut.

les soft sont pas mis à jour parce que tout se casse la gueule sinon. Après y'a CVE et CVE de là à dire que c'est facile de trouver des RCE, fais du bug bounty tu vas devenir millionnaire

Faire du bug bounty c'est pas que trouver des RCE loin de là, le mec qui gagne le plus d'argent en bug bounty ne fait que des xss, sqli, ...

non mais je parle de toi qui dit que c'est facile de trouver des vuln

Ba une xss c'est une vuln une sqli aussi

je parle de critique quoi

Le 22 mai 2022 à 21:25:34 :

Le 22 mai 2022 à 21:22:42 :

Le 22 mai 2022 à 21:17:19 :

Le 22 mai 2022 à 21:11:38 :

Le 22 mai 2022 à 21:01:06 :

Le 22 mai 2022 à 20:56:45 :

Le 22 mai 2022 à 20:50:20 :

Le 22 mai 2022 à 20:48:07 :

Le 22 mai 2022 à 20:41:37 :

Le 22 mai 2022 à 20:40:14 :
Parce que le hacking c'est pas aussi simple que dans Mr Robot + ils veulent pas finir en prison

Oui, je parle justement de ceux qui ont des compétences

Bah juste pour pas finir en prison, par moral ou par flemme de vivre une vie dangereuse

C'est par exemple à la portée de n'importe qui de se lancer dans le traffic de shit, pourquoi tu te lances pas dans l'aventure ?

Même niveau que le mec qui a dit "t'as deux bras deux jambes va braquer une grand-mère"
Le mec qui fait du carding va voler les banques, ta morale tu peux la ranger autre part, c'est bien plus complexe et bien moins manichéen que ce que tu as l'air de penser
On parle des mecs qui ont des compétences en info, pas de la globalité du monde du crime, arrêtez d'être cons 2 sec svp

Bah non c'est exactement le même principe Célestin. Ton raisonnement c'est "si tu peux faire de la thune dans l'illégalité pourquoi pas tenter ?" Bah c'est le même sens que ma question : tu pourrais toi même tenter de te faire de la thune en faisant pousser de la weed chez toi et en la revendant alors pourquoi tu le fais pas ? Bah parce que t'as peur de te faire chopper par les flics ou de devoir vivre dans l'ombre pour te faire de la thune. Bah c'est pareil pour les infésclaves en cybersécu

Le mec qui a des compétences sait probablement se rendre plus intraçable que le mec qui fait pousser de la weed dans son sous-sol qui finira ultimement par puer. Il va devoir vendre dans la rue ou au minimum vendre en gros à un réseau qui va écouler le stock.
L'expert cybersec est déjà un peu plus en sécurité derrière son pc et sa pléthore de barrières.
Tu fais juste un glissement sémantique mais non je demande pas "si tu peux faire de la thune illégalement pourquoi tu le fais pas?" mais plutôt "si tu as les compétences spécifiques dans un domaine spécifique, pourquoi ne pas les mettre en application pour prendre plus de risques".
Tu laisses répondre ceux qui connaissent le sujet plus que toi maintenant merci

Non tu peux très bien en vendre à tes proches, c'est pas plus dangereux que de faire du carding, et non c'est pas parce que t'es chez toi derrière un pc que t'es intracable, t'as des gros hackers qui se font chopper parfois. T'as même moins de chances de te faire chopper en vendant quelques barrettes à tes potes qu'en faisant du hacking

"Tu fais juste un glissement sémantique mais non je demande pas "si tu peux faire de la thune illégalement pourquoi tu le fais pas?" mais plutôt "si tu as les compétences spécifiques dans un domaine spécifique, pourquoi ne pas les mettre en application pour prendre plus de risques"."

C'est pas une question de sémantique ou alors t'es trop bête ou de mauvaise foi pour voir que prendre des risques via le hacking c'est plus proche de prendre des risques via le traffic de drogues que de prendre des risques en se lançant dans l'entrepreneuriat ?

Et des gens cales t'ont déjà répondu. Tu leur as juste répondu "gneugneu vous manquez de couilles"

Bordel mais c'est que tu reviens à la charge en plus

J'ai jamais dit que t'étais totalement intraçable il me semble avoir précisé que tu étais "plus intraçable" que le mec qui devait sortir physiquement pour son business. J'ai jamais dit que c'était impossible de se faire chopper, va falloir arrêter tes sophismes à deux balles ça devient incommodant
Évidemment que prendre des risques dans le hacking c'est plus dangereux que l'entreprenariat et j'ai jamais dit le contraire, si tu comprends le contraire il va sérieusement falloir revoir ta compréhension écrite

Les mêmes personnes qui connaissent le sujet ont dit qu'effectivement c'était aussi un manque de couilles de la part des personnes qui travaillent dans le domaine, et c'est une réalité, faut des couilles pour mettre ses compétences au service de l'illégal et se montrer gourmand

Tu comprends qu'on parle pas du tout de la même chose quand on parle de mettre des compétences spécifiques au service d'un domaine tout aussi spécifique plutôt que de vendre de la beuh ? C'est grave de penser que ce genre de sophisme bête à crever peut passer

Bah oui faut des couilles pour se lancer dans l'illégal compétences ou pas compétences, d'où le fait que beaucoup ne s'y lancent pas malgré l'appât du gain. T'avais besoin de ce topic pour le savoir ?

Je cherchais justement à savoir si le problème était simplement un manque de couilles ou autre chose bordel arrête d'être débile c'est incommodant

Bah ma réponse était : oui c'est un manque de couilles comme n'importe quelle autre activité illégale. C'est toi qui a commencé à me sortir des énormités comme "gneugneu non le carding c'est c'est moins dangereux que de vendre du shit". Tu te permets de prendre les gens de haut alors que tu ne connais rien au sujet initiale, tu comprends donc mon exaspération le faquin ?