Jeremy Nedjar est le dirigeant de L-Xploit Cyber Experts, entreprise spécialisée dans la cybersécurité offensive. Il livre pour Vaucluse Info un éclairage sur son métier ainsi que quelques anecdotes…
Vaucluse Info : Jeremy, pouvez-vous nous raconter votre histoire ?
Jeremy NEDJAR : Depuis tout petit, j’ai grandi avec l’ordinateur familial et ma curiosité débordante. Tout a commencé en voulant savoir si ma petite amie m’était infidèle, j’ai piraté l’adresse email de mon concurrent sentimental en piratant au préalable son collège. Il y a prescription mais je tiens à dire que ce n’est pas bien !
J’ai ensuite beaucoup voyagé puis j’ai fait 10 ans de promotion immobilière avec mon père.
Toujours passionné par le hacking éthique et les nouvelles technologies, c’est en 2019 que j’ai voulu faire de ma passion un métier. J’ai passé les certifications nécessaires pour monter en compétences et légitimité. D’abord l’Offensive Security Certified Professional (OSCP) puis le Certified Ethical Hacker (CEH).
« Je continue aujourd’hui à participer à un maximum de concours de hacking »
J’ai été vice-président de l’association Hack In Provence en 2022 où j’ai rencontré de nombreux professionnels de la cybersécurité passionnés de hacking dont certains sont devenus de fidèles collaborateurs.
VI : et aujourd’hui ?
JN : Je continue aujourd’hui à participer à un maximum de concours de hacking CTF (Capture The Flag) afin de me confronter aux nouveaux challenges et nouveaux outils dans ce domaine qui évolue extrêmement vite.
Mon équipe continue à traquer les failles des systèmes informatiques des collectivités et des entreprises pour en détecter les plus grandes faiblesses et en informer les dirigeants qui pourront y remédier avant que des personnes malveillantes ne s’en emparent.
« Autre façon de travailler : le « Bug Bounty ». Il s’agit de la « prime à la faille » ».
VI : comment cela fonctionne ?
JN : Nous avons deux types de méthodes.
Le contrat de « Pentest » ou « Penetration Testing », en français « test d’intrusion » : ce contrat nous lie avec une entreprise en un temps et un périmètre défini. Cette discipline permet d’identifier les vulnérabilités d’un système informatique.
Nos méthodes, alliant tests manuels, outils automatisés et techniques d’ingénierie sociale, permettent de prioriser et corriger ces vulnérabilités, renforçant ainsi la sécurité globale de l’entreprise.
Autre façon de travailler : le « Bug Bounty ». Il s’agit de la « prime à la faille ».
« Lors d’une mission dans un hôpital psychiatrique, nous avons compromis l’intégralité du système »
Une entreprise s’inscrit sur une plateforme, par exemple la plateforme « YesWeHack » qui met en relation des entreprises et des hacker éthiques sur un périmètre donné afin de recenser un maximum de vulnérabilités. Les bug bounty Hunter sont rémunérés en fonction de la criticité de la faille.
VI : pour terminer, une petite anecdote ?
JN : Lors d’une mission dans un hôpital psychiatrique, nous avons compromis l’intégralité du système y compris les serrures connectées, imaginez si j’avais fait sortir tout le monde !
Aussi le coup de la clef USB fonctionne à chaque fois ! La sympathie et la conscience professionnelle des employés les amènent parfois à commettre des erreurs qui peuvent endommager les systèmes d’information (On ne branche jamais une clef USB qui ne nous appartient pas, même pour rendre service).
« En moins de 30 minutes, nous avons compromis les 900 postes »
En effet, je m’intéresse énormément à l’ingénierie sociale qui consiste à manipuler les comportements humains pour obtenir des informations confidentielles, un accès à des système ou des avantages en utilisant la persuasion la ruse ou la tromperie. Nous le savons tous, la plus grande faille est humaine.
Il est essentiel pour les entreprises de challenger régulièrement leur système d’information.
Pour revenir sur l’aéroport, la rapidité de la compromission était effrayante. En moins de 30 minutes, nous avons compromis les 900 postes, tableau d’affichage, station de kérosène, etc. Notre intervention a permis d’informer des vulnérabilités et de les corriger afin de les sécuriser au maximum avant que quelqu’un de mal intentionné ne les trouve avant nous.