Episode 32 : Disséquer l’attaque : le métier (réel) du Reverse Engineering avec Xavier Mertens | Compliance Without coma

Description

Êtes-vous prêt à plonger dans l'univers fascinant de la cybersécurité ? Dans cet épisode de Compliance Without Coma, Fabrice De Paepe a le plaisir d'accueillir Xavier Mertens, un expert de renom qui nous éclaire sur un sujet crucial d'actualité : la cybersécurité. Avec l'augmentation des cyberattaques, il est plus important que jamais de comprendre les enjeux et les défis que nous rencontrons aujourd'hui.

Xavier nous raconte son parcours impressionnant, débutant en tant qu'administrateur réseau avant de se spécialiser dans le reverse engineering et l'analyse de malwares. Sa passion pour la cybersécurité est palpable, et il partage avec nous des réflexions précieuses sur les menaces actuelles. Dans un monde où les attaques sont omniprésentes, il souligne l'importance de la défense et de la vigilance constante. Comment se défendre efficacement face à des adversaires toujours plus rusés ? C'est une question à laquelle Xavier répond en nous offrant des conseils pratiques et des stratégies éprouvées.

Au cours de cette conversation, nous abordons l'évolution des malwares et l'importance de comprendre les techniques d'attaque pour mieux se défendre. Xavier, en tant qu'instructeur SANS, joue un rôle clé dans la formation des analystes de sécurité, transmettant des compétences essentielles pour naviguer dans cet environnement complexe. Ses anecdotes personnelles ajoutent une touche humaine à cette discussion technique, rendant la cybersécurité accessible à tous.

Que vous soyez un professionnel de la sécurité, un étudiant aspirant à entrer dans le domaine, ou simplement curieux d'en savoir plus sur la cybersécurité, cet épisode de Compliance Without Coma est fait pour vous. Xavier offre des conseils pratiques et des perspectives uniques qui peuvent vous aider à mieux comprendre ce monde en constante évolution. Vous découvrirez comment améliorer votre posture de sécurité et vous préparer aux défis à venir.

Ne manquez pas cette occasion d'apprendre d'un expert qui a consacré sa carrière à la cybersécurité. Écoutez dès maintenant cet épisode captivant et préparez-vous à transformer votre compréhension de la cybersécurité avec Compliance Without Coma. Ensemble, explorons les mystères de la cybersécurité et armons-nous pour un avenir plus sûr.

https://www.sans.org/emea

https://www.sans.org/profiles/xavier-mertens

https://x.com/xme?s=20

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Certains invités marquent l'univers de la cybersécurité depuis des années et tu les croises toujours entre deux couloirs, chez un partenaire ou sur un projet client, sans jamais avoir l'occasion de vraiment bosser ensemble. Aujourd'hui, j'ai enfin ce privilège. Mon invité, c'est un pilier de la scène cyber européenne et mondiale, instructor SANS depuis plus de dix ans et aussi handler de l'Internet Storm Center, ce radar mondial qui capte les signaux faibles avant qu'ils ne deviennent des tempêtes numériques, co-organisateur de la conférence Bruconne, l'un des rendez-vous les plus respectés en Belgique. Il a formé des centaines de professionnels à travers le monde. Il a probablement donné plus de fois le cours Malware Analysis et Reverse Engineering que toi tu n'as entendu prononcer le mot 0D dans ta vie. Bref, aujourd'hui, on parle passion, pédagogie, menaces et surtout, comment rester lucide dans un monde où l'attaque est souvent plus visible que la défense. Bienvenue dans Compliance Without Coma avec un invité hors normes, Xavier Mertens. Accrochez-vous, j'ai un invité aujourd'hui qu'on ne présente plus dans la communauté et qui va nous embarquer avant tout dans l'analyse des malwares et le reverse engineering. Lui, c'est plutôt un code breaker. Bonjour Xavier, je suis vraiment ravi de t'avoir au micro. On s'est croisés plusieurs fois dans l'écosystème, mais là en fait, on va pouvoir prendre le temps d'échanger vraiment et ça, ça me fait vraiment très plaisir.
Speaker #1
Bonjour Fabrice, même chose. Ça fait qu'on se connaît depuis quelques temps virtuellement, ça fait un petit bout de temps qu'on s'est pu croiser, mais je suis vraiment enchanté d'être sur le podcast aujourd'hui.
Speaker #0
Ok. Je commence toujours par la même question. Comment t'en es arrivé là ? Je parle dans la cyber. Tu te souviens du moment où tu t'es dit « Ok, la cyber, c'est mon truc » .
Speaker #1
Alors, j'ai quelques heures de vol. J'ai fait beaucoup de consultances. J'étais employé comme pas mal de monde. Et puis, je suis devenu employé consultant. Finalement, je suis devenu employé consultant freelance. Et en fait, le déclic, ça a eu lieu chez un de mes clients. où j'étais network admin et je voyais des consultants débarquer toute la journée qui faisaient des trucs super sympas. Je ne comprenais pas tout avec des logiciels ou des boîtiers qui me semblaient assez merveilleux. Et en fait, j'ai eu l'idée, je me disais, je veux faire comme eux et je veux comprendre ce qu'il y a dans ces boîtiers et je veux faire des choses qui soient un petit peu plus fun que le sysadmin classique, etc. C'est comme ça que tout a commencé.
Speaker #0
Ok. J'ai fait ci sur du Sun. pendant une bonne partie de ma carrière. Oui,
Speaker #1
Sun aussi.
Speaker #0
J'ai fait un shift left. J'ai eu ce wake-up call comme ça. À force de patcher des systèmes, je me dis que c'est toujours la même chose et je n'apprends plus. C'était toujours le même style d'émission. Je me dis, tiens, est-ce qu'il n'y a pas moyen d'être un peu plus pompier ? Et puis là, j'ai bifurqué.
Speaker #1
La frustration. Les consultants arrivaient et faisaient tous les trucs sympas, fun. Et moi, j'avais la frustration. de juste répondre à leurs questions ou leur créer un compte, leur donner accès à telle application, telle application, et voilà.
Speaker #0
Aussi, une des promesses du podcast, c'est également de montrer aux jeunes qu'il n'y a pas qu'une seule voie tracée pour arriver dans la cyber. Et peux-tu présenter ton parcours en quelques grandes étapes, ce qui t'a permis de bifurquer ? Tu es devenu presque même un hacker éthique, entre autres.
Speaker #1
Alors, j'ai toujours aimé tout ce qui est bidouillage, ordinateur, etc. Je me souviens, mon tout premier ordinateur, c'était un Z681 de Sinclair. Un kilobyte de mémoire. Un kilobyte de mémoire. Donc, c'était assez sport pour encoder des petits programmes en basique. On encodait le programme en basique pendant 10 minutes. On pouvait jouer un petit peu, puis on l'éteignait. Tout était parti. Pas moyen de sauvegarder, rien du tout.
Speaker #0
Et donc,
Speaker #1
j'ai été intéressé par les ordinateurs. Pardon ?
Speaker #0
Oui, et après, il fallait tout recommencer, tout réencoder.
Speaker #1
Ah, ben voilà, il fallait tout réencoder, parce que je ne savais pas enregistrer sur cassette à ce moment-là. Ça ne marchait pas, je n'avais pas le matériel. Et donc, j'ai fait des études en informatique qui n'ont rien à voir avec la cyber. C'est-à-dire que j'ai fait... En fait, je voulais commencer à travailler avec des ordinateurs, entre guillemets. Et j'ai fait un graduat à ce moment-là. C'était de l'informatique de gestion. aucune cyber sécurité, rien du tout. On ne parlait pas de sécurité à ce moment-là. J'ai fait du Fortran, du Cobol, du C, du Lisp, du Pascal, plein de langages. Et en fait, quand je suis sorti, j'ai juste travaillé, je crois, six mois en tant que développeur. Et puis, j'ai tout de suite trouvé quelque chose d'autre. Et en fait, je suis arrivé, je pense que c'était le bon moment, parce que la bulle Internet explosait en Belgique. Et donc, j'ai commencé à travailler chez un ISP. Et donc là, c'était les systèmes UNIX, TCPIP, les modems, les réseaux, connexion internationale, etc. Et puis, toujours le bon moment, la bulle Internet est tombée en Belgique. Donc, tout s'est terminé. Il a fallu trouver autre chose. Et donc là, j'ai continué en tant que système admin, système network admin pour une ou deux boîtes. Et puis, comme j'expliquais, j'ai vu des... J'avais toujours un petit peu de... La sécurité me semblait intéressante, mais ça semblait très, très loin de moi et très, très inaccessible. Et en voyant les consultants qui venaient travailler sur des projets dans la boîte où je travaillais aussi, c'était une frustration et je me suis dit, c'est vers ça que je veux me lancer. Et de nouveau, une bonne opportunité, c'est que la société qui venait placer les consultants, quand je discutais avec eux, en fait, ils m'ont récupéré. Ils m'ont engagé. Au coup, j'ai continué à travailler chez mon employeur. Il y avait un agreement. Dès que j'ai continué à travailler en tant que consultant pour leur projet en sécurité, et puis je ne suis pas devenu consultant. Et puis, une autre boîte, une autre boîte. Et puis, je me suis mis finalement en freelance. Et voilà.
Speaker #0
Ah ouais ? Comme quoi. C'est vrai que quand on démarre avec ce que nous, on appelait à l'époque un graduat. Maintenant, c'est un bachelier. il y avait deux options. On avait gestion, et moi j'ai fait l'autre, j'ai fait industriel. Donc j'ai programmé, mais en assembleur, en Pascal, en C, on faisait des drivers, et nous le but était de programmer des automates, et je n'ai jamais fait ça en fait. Dès que je suis sorti, j'ai fait tout à fait autre chose, j'ai démarré sur mainframe, et puis directement chez Sun, quasiment deux ans après. Et puis, ma carrière chez Sun sur Unix. Et puis là où j'ai fait le shift-left vraiment pour dire, tiens, je vais faire autre chose. Maintenant que j'ai vu des data centers, des grosses machines, du Unix, du réseau, j'aimerais bien faire autre chose. Et c'est là au moins où j'ai bifurqué. Mais en fait, dans mon cursus, on ne parlait pas. On ne parlait même pas de chiffrement. Je pense que tous les deux, on a connu avant Internet. Et donc, j'allais lire des bouquins sur le Fortran dans une bibliothèque. J'avais rien.
Speaker #1
Moi j'ai connu les BDS j'avais un point chidonnette c'était du UUCP il n'y avait pas encore TCPIP il n'y avait pas tout ça, c'était gay
Speaker #0
J'ai connu SNA et X25 avant TCPIP, t'imagines et c'est pas à l'école qu'on nous apprend et donc ce que j'ai envie de dire aux jeunes aujourd'hui, ne vous contentez pas de ce qu'on vous apprend à l'école on vous apprend à apprendre et ça bouge tellement vite Alors, j'ai sorti récemment un podcast sur Sun Tzu. Et sur tes comptes de réseaux sociaux, j'ai découvert ceci. Si l'ennemi laisse une porte ouverte, il faut s'y précipiter. Peux-tu développer ? Est-ce que tu entends par là ? C'est-à-dire que tu attaques ou tu défends ?
Speaker #1
Alors, j'ai attaqué beaucoup. J'attaque un petit peu moins maintenant. Je le fais encore pour certains clients. Je fais encore un peu de pen test. Mais je ne le fais pas. plus j'essaye, je préfère défendre que d'attaquer. C'est pour ça qu'aujourd'hui, en fait, si je devais remplacer, je suppose que tu as vu ça sur mon blog, si je devais remplacer l'entête de mon blog ou sur le sable, oui, voilà. Si je devais remplacer ça par une autre formule, je dirais plutôt aujourd'hui celui qui veut la paix prépare la guerre. Parce que c'est vraiment ce que j'aime bien faire aujourd'hui. En fait, on a toute une série d'attaquants qui sont là à nos portes. Ils sont là pour essayer de rentrer dans les sociétés qu'on veut, qu'on essaye de protéger tant mieux que mieux. Et donc, il faut se préparer. Il faut savoir comment ils fonctionnent, comment qu'elles sont leurs technologies, quelles sont leurs techniques, leurs pratiques, etc. pour pouvoir mieux se défendre. C'est plutôt vers ça que j'irai aujourd'hui.
Speaker #0
Et qu'est-ce qui t'a poussé à te spécialiser, entre autres, en reverse engineering ? Puisque c'est l'un des cours que tu donnes.
Speaker #1
Oui, tout à fait. En fait, je suis souvent, c'est drôle à dire, mais je suis souvent impressionné par la qualité du produit, du malware, du logiciel, la qualité du programme qui est parfois généré par les attaquants. Et donc, c'est vraiment ça qui m'intéresse parce que je me dis parfois, si ces développeurs, entre guillemets, ce sont développeurs qui écrivent du code malveillant, si... à un moment donné est tombé du bon côté et pas du côté obscur de la chose, si on peut dire, on aurait des solutions logicielles qui tourneraient, mais alors qui seraient magnifiques. Voilà, donc c'est vraiment cet aspect technique qui est très intéressant de voir les idées de génie parfois, ou le petit truc bête et méchant qu'ils peuvent mettre en place pour contourner un contrôle de sécurité, ou bien pour pouvoir exfiltrer des données ou des choses comme ça. C'est ça qui est vraiment très intéressant pour ma part.
Speaker #0
Mais donc, en fait, tu as l'air de dire qu'ils seraient plus malins que les développeurs logiciels. Je mets ça au conditionnel. mais que les développeurs logiciels lambda d'aujourd'hui, qui eux ne sont pas du tout conscients ni même de la cybersécurité, qui codent comme ça, qui ne font pas de lien entre les microservices, et j'en entends souvent et de plus en plus, ils seront donc meilleurs qu'eux et leur produit est meilleur. C'est ça que tu es en train de dire ?
Speaker #1
Alors, je ne dis pas meilleur, parce que ça reste aussi des développeurs comme tout le monde et donc il faut aller grappiller aussi des bouts à gauche, à droite. pour ne pas réinventer la roue. Et donc, s'il y a un attaquant qui a trouvé une petite routine bien spécifique pour faire des choses très, très bien, elle va être réutilisée, clairement. Ou alors, ils réutilisent aussi des bouquins à la barre, ils ne sont pas malicieux. Ils vont faire leur marché sur GitHub, etc. Et récupèrent des outils qui peuvent les aider. Donc, ils ne sont pas meilleurs à ce niveau-là, mais je dirais que là où ils sont meilleurs, ce sont les manières de contourner. Malheureusement, ce qu'un développeur ne peut pas, un développeur tout à fait normal ne peut pas faire. mais la manière de contourner des systèmes qui sont mis en place au niveau du réseau pour pouvoir vraiment atteindre leur but. Et c'est ça qui est, entre guillemets, je prends toujours des guillemets, mais qui est génial, bien entendu. Toujours entre guillemets.
Speaker #0
Oui, parce qu'il faut rester prudent. Mais comment tu pourrais expliquer ton métier à quelqu'un qui n'a jamais entendu parler de malware analysis ou de reverse engineering. Donc, pas forcément quelqu'un de l'IT, ta voisine ou ton épouse. Est-ce qu'elle comprend ce que tu sais ?
Speaker #1
C'est difficile, c'est difficile. Ce que j'aime bien de dire avec les métiers de l'IT, par rapport à des métiers plus classiques ou plus manuels, tu prends un maçon qui arrive le matin sur le chantier, à la fin de la journée, le mur est monté de deux mètres. tu vois ce qu'il a travaillé, tu vois ce qu'il a réalisé. Dans notre domaine, moi, je passe mes journées devant un clavier. Pour ma femme, mes enfants, des amis, mes parents, etc., je joue avec des ordinateurs. Donc, on ne voit pas la fin de la journée, il n'y a pas un résultat pratique qui te dit, le mur est monté ou j'ai construit quelque chose. Tout est virtuel à 100%. Donc, ça, c'est déjà la difficulté d'expliquer. Maintenant, pour expliquer le reverse engineering à quelqu'un qui n'y connaît rien du tout, je dirais... Tu prends une boîte de Lego technique, pas citée de marque, mais bon, voilà, ou un mécano. Mais la boîte contient le jeu déjà monté, il est déjà assemblé. Et toi, tu retires toutes les pièces, tu fais l'inverse pour essayer de comprendre comment les pièces ont été assemblées les unes avec les autres.
Speaker #0
C'est ça.
Speaker #1
Voilà, c'est le meilleur exemple que je peux donner.
Speaker #0
Et on peut imaginer comme c'est profond parce que tu as des gros Lego techniques où tu as 4000 ou 40000 pièces. des trucs de Star Wars ou autre, ou même un airbus.
Speaker #1
Tu auras la petite boîte de 500 pièces. Exactement. Et tu as une petite boîte que tu vas pouvoir, tu vas comprendre tout de suite comment c'est fait. Ça va prendre 30 minutes, une heure. Ou alors tu vas tomber sur le gros set qui contient des milliers de pièces. Et là, tu en as un petit bout de temps à t'amuser avec. C'est vraiment ça. C'est comprendre comment les différents Legos sont interconnectés, comment tel engrenage fait tourner tel autre engrenage au bout de la grue, etc. C'est vraiment le meilleur exemple que j'ai pu trouver.
Speaker #0
Ok. Et du coup, parce que moi, je n'en ai jamais fait du reverse engineering. Tu descends au niveau de l'assembleur aussi ou c'est du bytecode ? Alors,
Speaker #1
ça dépend. Au niveau du reverse engineering, il y a beaucoup de gens qui, donc pour ceux qui connaissent, qui pensent que le reverse engineering, c'est directement sauter dans un débuggeur. jouer de l'assembleur à longueur de journée, etc. Pas du tout. Parce que tu peux faire du reverse engineering de plein de langages. Et par exemple, tu peux faire du reverse engineering de Python, de PowerShell, de JavaScript. Tu tombes sur un site web malicieux, tu essaies de comprendre le JavaScript qui est chargé dans la page web. Et donc, ce n'est pas forcément le haut du panier. Tout le monde pense que l'assembleur, je passe mes journées dans un débuggeur, etc. Pas du tout. Je trouve que c'est tout aussi gratifiant de faire du Réduction Engineering d'un petit script sous Unix ou sous Windows que de sauter directement dans un vrai malware qui est inexécutable, Windows, etc. Mais c'est toujours la même approche, c'est comprendre ce qu'il y a derrière et comment il fonctionne.
Speaker #0
Tu es entre autres instructeur SANS, peux-tu nous présenter le SANS globalement ?
Speaker #1
Oui, tout à fait. Le SANS est une institution qui est basée aux États-Unis, donc ils sont très américains. Ça fonctionne de la manière des États-Unis au niveau des process, etc., comme tu peux t'imaginer. Mais c'est une institution qui donne des cours de cybersécurité, mais au niveau mondial. Ils ont un statut d'université. Donc, un de leurs noms de domaines est sense.edu. Donc, ça dit tout. Et Secu couvre tous les domaines de la cyber security, que ce soit le forensic. Donc, moi, je donne compte principalement dans la branche forensic. Il y a les branches security, qui est plus sécurité offensive. Il y a le leadership. Il y a ICS. Il y a, bref, tous les domaines qui peuvent intéresser les gens à la cyber security qui sont donnés. En général, ils donnent des formations au niveau mondial. Donc, on peut avoir des formations en présentiel, on peut avoir des formations on-demand, des formations online. Et oui, je dirais, voilà, c'est un petit peu comme toutes les formations qu'on peut avoir. Il faut voir ce qui vous intéresse, ce qui peut être utile. Et je pense que c'est une organisation qui permet aussi d'avoir un pied dans la cybersécurité. ce que j'aime bien chez eux, c'est que il y a aussi ce qu'ils appellent le career path c'est à dire qu'il y a un grand poster qu'ils ont émis et en fait en choisissant, on dit voilà moi je suis intéressé plutôt par le forensic par le défensif et alors il y a vraiment le career path, on commence par tel type de training et puis en fonction de ses affinités on va plus aller vers la gauche vers la droite et on choisit vraiment ce qui est intéressant pour pouvoir augmenter ses compétences ça c'est génial ce qu'ils font parce que ça permet de vraiment visualiser je ne sais pas si tu sais mais moi je suis plongeur
Speaker #0
Et il y a aussi plusieurs religions dans la plongée. Il y a PADI et SSI. Et ils ont aussi ton career pass, c'est-à-dire que tu passes d'amateur à plongeur ou plongeur tech ou plongeur divemaster. Et là, tu vois un petit peu, OK, si je veux aller à tel endroit, je vais suivre ce career pass-là aussi. Donc, tu sais l'investissement, tu connais le budget.
Speaker #1
Voilà, exactement.
Speaker #0
Je trouve que c'est très bien parce que ça augmente ta motivation intrinsèque. Le fait de dire, OK, je veux être là dans trois ans ou dans deux ans ou dans six mois. Qu'est-ce que je dois faire par où je commence ? Ce que certains ne font pas forcément. Quand on commence sur des cours de middle management, on n'a pas forcément ça. Parce que le champ, le spectre pour moi est beaucoup plus réduit. Et donc, on passe d'une religion à l'autre à ce moment-là. OK, super. Bon, entrons dans le vif du sujet. Du coup. Quelles sont les compétences requises pour participer à ton cours sur le Malware Analysis et Reverse Engineering ? Quel est le genre de profil de participants qui va suivre ton cours ?
Speaker #1
Alors, les participants, j'ai donné le cours sur les trois grandes régions du monde. Donc, j'ai donné le cours côté Amérique, en Europe et en Asie. Donc, les profils sont plus ou moins les mêmes. On a des gens qui sont freelance. On a des gens qui travaillent pour des petites boîtes. des très grosses boîtes. On a des gens qui travaillent pour des three-letter agencies, comme on dit aussi, donc qui doivent vraiment avoir des compétences bien spécifiques. Donc, il y a vraiment, il y a de tout. Au niveau des compétences requises, là aussi, on essaye d'être très ouvert. Il y a beaucoup d'étudiants qui stressent un petit peu au niveau de l'assembleur. Par exemple, je ne vais pas décrire le cours, ce n'est pas le but, mais il y a une journée qui est dédiée à l'assembleur. Le but est d'arriver à mettre tout le monde au même niveau. pour ensuite continuer sur le cours. Et au niveau de l'assembleur, ce que je dis toujours, c'est que vous ne devez pas être un gourou en assembleur. Il n'y a pas de compétences requises. Ne me demandez pas d'écrire un programme en assembleur ou de connaître tout en assembleur. Je ne prétends pas être un gourou en assembleur, loin de là. Donc, c'est ouvert à beaucoup de monde. Maintenant, il ne faut pas se leurrer. un petit peu de connaissance Windows, un petit peu de connaissance Linux, un petit peu de connaissance TCP, IP, etc., un petit peu de connaissance programmation, ça sera beaucoup plus facile que la personne qui part de zéro, forcément. C'est-à-dire que la personne qui part avec un bagage beaucoup plus léger, elle devra mettre des gaz à fond pour pouvoir arriver au même niveau que les autres étudiants pour qu'ensuite on puisse tous aller vers le haut. Mais pas spécialement prérequis en malware analysis, etc. C'est vraiment ouvert à tous. Maintenant, je donne deux cours. Là, je parle du cours qui est l'introduction. Et forcément, il y a le deuxième cours qui est la suite logique, qui est lui le advanced. Et là, forcément, pour te donner une idée, quand on commence le lundi matin... Premier lab, c'est directement dans un débogueur, tirer votre plan, en fait, pour aider les étudiants et ils doivent commencer à résoudre eux-mêmes des labos.
Speaker #0
Ok. Et donc, quelles sont les compétences qu'eux vont développer tout au long de la formation ? Parce que là, tu as parlé de l'introduction et puis du cours advanced. Donc, celui qui termine le cours advanced, qu'est-ce qu'il peut devenir ? Analyste SOC niveau 1, niveau 2, niveau 3 ? Est-ce qu'il peut...
Speaker #1
Contrer vraiment les malheurs ? Il y a beaucoup d'analystes SOC. Beaucoup de gens travaillent dans des SOC. Les compétences qu'ils vont développer, c'est vraiment pouvoir... En fait, le training se fait dans un focus forensic. Qu'est-ce que ça veut dire ? Je vais raconter une petite histoire. J'aimerais donner cette anecdote. Pour moi, il y a deux types de reverse engineer. Il y a ce que j'appelle les lucky et unlucky ones. Les reverse engineers qui sont lucky, comme j'aime bien le dire, ce sont des gens qui travaillent pour une grosse boîte, qui sont par exemple Unit 42 Palo Alto, Checkpoint Research, Cisco Talos, i7, etc. Eux, ce qu'ils font, ils font du hunting, ils trouvent un nouveau malware, ils l'analysent de A à Z et ils génèrent un papier. Et ils génèrent du bruit pour la société. Et donc, ils ne font que ça. Ils font du reverse engineering full time. Moi, je fais du reverse engineering. et c'est ce que j'apprends aussi aux étudiants dans un contexte forensic. C'est-à-dire que nous sommes les unlucky, tu n'as pas de temps. Tu n'as pas le temps pour faire ton reverse engineering. Ton malware, tu vas le trouver pendant un incident et donc tu vas travailler sur ton incident et pendant que tu vas vouloir travailler, tu vas voir le client ou le boss qui va derrière toi qui va te dire, Xavier, tu as deux heures pour faire le reverse engineering parce qu'ensuite, on va redémarrer le serveur et la production va redémarrer.
Speaker #0
Le but,
Speaker #1
c'est d'aller le plus vite possible au niveau de l'analyse, de trouver la passe pour pouvoir ensuite communiquer les informations que l'on a découvertes sur le malware vers les autres équipes pour améliorer la sécurité. Ah, mais le malware, il fait ça, il fait ça, il fait ça. Donc, on bloque ça dans le firewall, on déploie tel outil pour qu'il ne puisse plus se déployer et se répand sur le réseau, etc. Voilà, on fait ça dans un contexte forensic. C'est très important.
Speaker #0
Ok, et du coup ? Au niveau ransomware, tu as déjà eu un client qui a été confronté à un ransomware où tu as pu faire un reverse engineering de la clé, la retrouver ?
Speaker #1
Juste quelques-uns. Au niveau ransomware, c'est très compliqué. En fait, ce que beaucoup de gens pensent, c'est qu'un ransomware est un malware très complexe, très vicieux, etc. En fait, pas du tout. Le ransomware en lui-même, souvent, c'est un outil en ligne de commande. qui est lancé manuellement par l'attaquant, à partir du moment où il a compromis complètement le réseau. Donc, ce qu'ils font, c'est qu'ils rentrent dans le réseau, par les trucs classiques, un serveur RDP exposé sur Internet, un VPN mal configuré, pas de MFA. Ils sont sur le réseau, ils font leur petite reconnaissance, ils voient où sont les serveurs, les données sympas, ils exfiltrent. Et la dernière étape, ce n'est vraiment que l'encryption des données. C'est un command line tool, c'est un bête. tools que tu lances depuis ton shell, bien ton command line Windows, et qui encrit des fichiers. Donc, voilà, c'est un outil bête et méchant, le ransomware. C'est l'attaque qui est, en général, très intéressante à analyser. Le chemin, le cheminement complet de l'attaque.
Speaker #0
Oui, parce qu'ils ont tout ce qui est dans les attaques au niveau militaire, au niveau des mitraillettes attaques, des defend. Ils peuvent... Ils sont déjà rentrés, comme tu dis. Ils sont déjà rentrés et après... Ils ont déjà énuméré, ils connaissent les faiblesses et après ils se rendent dans le réseau.
Speaker #1
Parfois, entre le moment où ils pénètrent le réseau pour la première fois et le déploiement, donc la dernière étape du ransomware, il peut se passer plusieurs semaines, voire plusieurs mois. Le temps de faire le reconnaissant, de savoir où sont les serveurs intéressants, etc. Pour la petite histoire, une anecdote assez fun. Il y a quelques années, un groupe de ransomware... ils ont publié une espèce de presse release en disant voilà nous avons infecté nous avons pénétré le réseau de telle société et en fait au bout de quelques temps la société c'était tellement je vais parler en termes propres etc parce qu'on a été écouté par pas mal de monde mais c'était tellement le boxon pour parler d'une manière propre qu'ils ont décidé d'arrêter l'attaque et de dire on arrête Merci. On n'arrive pas à retrouver nos jeunes au niveau du réseau. Et donc, on a décidé d'arrêter parce que c'était vraiment impossible de savoir où étaient les serveurs. Aucun réseau bien défini, rien du tout. Et ils ont communiqué sur cette société-là. Je trouve que c'est vraiment…
Speaker #0
Ils ont arrêté quoi du coup la société ? Ils ont coupé ?
Speaker #1
Ils ont arrêté l'infection, ils ont arrêté l'attaque. Ils ont dit, on n'a pas réussi à trouver où étaient les données intéressantes. C'était tellement réparti n'importe quand, n'importe comment. aucune gestion interne, il n'y avait aucune segmentation dans les réseaux, c'était vraiment le B, trois petits points, pour ne pas dire le mot, qu'ils ont décidé, on arrête l'attaque.
Speaker #0
Et du coup, tu donnes le cours depuis plusieurs années maintenant, comment tu as vu le malware, entre guillemets, évoluer ?
Speaker #1
Alors, le malware évolue. Aujourd'hui, un des types de malware qui a le plus de... On met du côté le ransomware, qui est évidemment l'attaque classique. Le malware qui a vraiment le vent en coupe et qui est très utilisé aujourd'hui, c'est tout ce qu'on appelle les infostyleurs. Et c'est là, justement, le nerf de la guerre, c'est la donnée. Donc, les sociétés gèrent énormément de données. Même M. Tout-le-Monde, sur son PC, on a ses photos de famille, on a ses factures, on a toute sa vie qui est digitalisée. Et donc, les malwares, aujourd'hui, font vraiment un focus sur les données. le vol des données, et ensuite ces données sont exfiltrées et ces données sont forcément revendues à d'autres attaquants qui eux peuvent réutiliser les cookies, les credentials qui ont été volés, etc. pour d'autres faits plus, en général, qui sont à ce moment-là plus ciblés. Donc c'est toujours comme ça que ça commence. Première étape, on capture des données, on les revend. Ensuite, un autre groupe prend ces données et a un accès en interne au niveau de la société. C'est ce groupe-là. revend l'accès à la société à un autre groupe qui lui va déployer le ransomware et au passage monétise et reprend un petit peu de son investissement en temps et bien il s'avise comme ça donc les infosteiners ont vraiment le vent en poupe maintenant ce qu'on voit aussi c'est que il y a beaucoup de malheurs qui sont vraiment très très très vicieux en termes de protection tout ce qu'on appelle le anti-debugging etc Et alors, il y a aussi une industrialisation du ransomware, c'est-à-dire que maintenant, je suis un attaquant, je ne vais pas passer mon temps à développer un ransomware, je vais le louer. C'est un ransomware ou un malware, c'est du malware as a service, c'est M-A-S-S, on loue un botnet, on loue un malware, le malware, il va être rebrandé avec mon nom, etc. Et je vais payer à l'utilisation, je vais payer à la victime, je vais payer, etc. Il n'y a pas forcément, chaque groupe d'attaquants n'a pas forcément des développeurs qui vont développer leur propre ransomware. C'est une industrie qui tombe derrière.
Speaker #0
C'est même encore plus dangereux en termes de risque parce qu'il n'y a plus besoin de connaissances. Il ne faut même plus être ce qu'on appelait, nous, il y a 10-15 ans, un script qui dit. À la limite, ils savent comment arriver sur la table. Ils commandent, ransomware as a service et c'est terminé.
Speaker #1
Et je peux te dire que le support qui est donné... par ces groupes-là est parfois meilleure que des sociétés professionnelles. Tu as un problème pour déployer ton ransomware, il les prend en chat, etc. Ils t'aident et tout, c'est du 24x7 et c'est meilleur que du support professionnel. C'est un boîte, c'est impressionnant. Par exemple, dans le cadre des ransomware, ils vendent du logiciel. Enfin, ce n'est pas du business, on reste dans le dark side, mais ils revendent des solutions de malware. qui sont robustes, qui fonctionnent, parce que c'est dans leur intérêt de fournir des bons services, parce qu'ils ont une bonne presse, une bonne cotation, parce qu'on va pouvoir les coter à la fin de l'attaque, etc. Et donc, eux, améliorent leur visibilité. On peut faire confiance à ceux-là parce qu'ils ont un super ensemble, ils ont un bon support, leur logiciel est sans bug, fonctionne bien, etc. C'est comme dans la vie normale, mais du côté obscur.
Speaker #0
Marketing.
Speaker #1
C'est vraiment un monde à part.
Speaker #0
Ça marche comme ça.
Speaker #1
Oui, tout à fait.
Speaker #0
Est-ce qu'il y a des techniques d'analyse qui sont, du coup, devenues obsolètes ?
Speaker #1
Oui et non. En fait, sans rentrer dans les détails techniques, il y a différentes manières de commencer à analyser un malware. Et je ne sais pas si tu as déjà certainement vu ce qu'on appelle la pyramide of pain que tu peux appliquer dans plein de domaines. Donc, tu as une pyramide avec différents niveaux. Tu pars de la base qui est très facile et plus tu montes de niveau pour essayer d'atteindre le sommet de la pyramide, ça devient de plus en plus compliqué. Tu peux appliquer la même chose au niveau de l'analyse de malware. Mais souvent, la première couche, elle ne sert plus à grand-chose parce que, par exemple, tout est encrypté, tout est offusqué, et donc tu ne sais plus trouver d'informations très facilement et en quelques minutes. Mais malgré ça, je recommande toujours de le faire parce que parfois, l'attaquant, c'est un petit peu comme nous, il fait des erreurs, et on va trouver quelque chose très rapidement qui va pouvoir permettre de détecter le malware à plus grande échelle, etc. Donc, voilà, les techniques évoluent, clairement. Mais c'est toujours bon de respecter un schéma, comment c'est l'analyse et de faire step by step.
Speaker #0
Sachant aujourd'hui qu'il y a énormément de malware, et ce que tout le monde fait, et moi aussi, j'ai de l'automatisation partout. Donc, lorsque j'ai de nouveaux samples qui sont détectés, ils sont envoyés dans un framework, c'est envoyé dans des sandboxes, c'est analysé automatiquement. Si le malware est détecté dans la sandbox comme étant de la famille A, B ou C, c'est un nouveau sample, mais c'est plus intéressant pour moi. Par contre, s'il n'est pas détecté, là, ça me dit, celui-là... Peut-être qu'il nécessite un petit peu plus d'attention et on va trouver des choses plus intéressantes. Voilà c'est comment ça fonctionne en général.
Speaker #1
Il peut y avoir des signatures, une sorte de trame de signatures qui fait que tu sais les catégoriser dans certaines familles.
Speaker #0
Très très loin au niveau d'indices du code, tu peux détecter, de nouveau sans rentrer, sans descendre vraiment trop trop bas au niveau des technologies, tu peux détecter que, par exemple, 70% du corps de... de ce malware et partager avec ce malware. Et donc, forcément, ils sont de la même famille ou ils ont été développés par le même gars derrière.
Speaker #1
Tout à l'heure, tu as parlé d'infostealer. Est-ce que c'est ton malware préféré ou tu en as un autre que tu cites souvent en formation pour marquer les esprits ?
Speaker #0
Alors, j'aime bien les infostealer parce que souvent sur Windows, ça peut paraître un peu bizarre, mais il y en a beaucoup qui sont écrits en Python sur Windows. Et ce qui peut paraître un peu... Oui, un peu bizarre parce que Windows vient déjà avec toute une série de scripts. Sur une machine Windows standard, on a du PowerShell, du VBA, du VBS, du JavaScript, etc. Mais ils préfèrent Python parce qu'en fait, Python est moins détecté que les scripts classiques. Et si maintenant, les gens pourraient dire, « Voilà, moi, je n'ai pas Python installé sur mon machine Windows, donc je suis protégé. » Mais pas forcément parce que le premier stage du malware va installer un Python. Et puis, déployer l'infostealer et l'exécuter via le Python qu'on a installé. Donc, c'est pour ça que j'aime bien cela. Sinon, un des malwares que j'aime bien citer dans le cours, c'est un très vieux malware. Probablement, quand je vais te dire le nom, tu vas dire, ah oui, je m'en souviens. Mais je l'aime bien pour quelque chose de bien précis. Le malware en question, c'est WannaCry, un des premiers ransomware qui est sorti en 2017, je pense. Et en fait, je l'aime bien parce qu'il décrit vraiment ce que l'on doit. arriver à faire quand on fait de l'analyse de malware. Je ne sais pas si tu te souviens, WannaCry, il avait le fameux kill switch. Donc, qu'est-ce qu'un kill switch ? C'est un paramètre au niveau du malware qui, si la condition est valide, va empêcher le malware de continuer d'infecter une machine. Et le fameux kill switch au niveau de WannaCry, c'était un nom de domaine monstrueux qui faisait je ne sais pas combien de caractères. Et si le malware réussissait à résoudre le nom de domaine, le malware s'arrêtait. Et pour moi, c'est un exemple classique de kill switch et un exemple classique pour montrer aux étudiants, mais voilà, vous analysez le malware et si vous trouvez un kill switch de cette manière-là, vous le communiquez à tout le monde et le malware, automatiquement, il va se stopper tout seul parce que sur, par exemple, sur votre réseau, tu contactes ton sysadmin et tu dis, écoute, dans le domaine contrôleur, maintenant, tu crées un faux domaine qui est long comme ça, les PC vont pouvoir le résoudre et ton WannaCry va plus continuer de tourner, va être stoppé automatiquement sur l'infrastructure. C'est pour ça que j'aime bien, c'est un très vieux malware, mais j'aime bien citer dans ce cadre-là.
Speaker #1
Malware Analysis, Reverse Engineering, qu'est-ce qu'on y voit en gros ? Est-ce qu'il y a une sorte de capture de flac à la fin ?
Speaker #0
Alors, ça part toujours light, et plus on monte dans les jours, et plus on va loin dans les techniques. En fait, le premier jour, on met tout le monde au même niveau. Parce que, comme je disais tout à l'heure, il n'y a pas vraiment de prérequis. La première question que je pose, c'est qui a déjà analysé un malware ? Certains étudiants l'ont déjà fait, certains hésitent un petit peu de lever le bras. Oui, j'ai un peu regardé de temps en temps, mais le jour 1, on amène tout le monde au même niveau. Le jour 2, ce sont les bases, l'assembleur. Et donc, à la fin de la deuxième journée, en assembleur, ça reste très soft, c'est-à-dire qu'on peut identifier des fonctions, des boucles, des conditions, des systems calls, des API calls, etc. Et en fait, ce qu'on fait pour le reste de la semaine, on réapplique les techniques qu'on a vues, mais en allant toujours un petit peu plus loin et en apprenant, par exemple, vous savez que Microsoft, il a un API call pour faire ça. Et les étudiants ouvrent des yeux comme ça en disant, mais pourquoi est-ce que Microsoft a un API call qui permet de faire ça ? Parce qu'ils en ont besoin dans certains cas bien précis et les malwares utilisent ces API calls à mauvais escient. Et je pense que c'est le jour numéro 4. On parle de code injection. Quand les étudiants n'ont pas d'expérience là-dedans, quand tu leur expliques qu'un programme peut allouer de la mémoire dans un autre programme. et peut copier du code malaisant dans un autre programme et démarrer un trade à distance dans un autre programme, mais pourquoi ? Microsoft permet de faire ce genre de choses. Et voilà. Et donc, on voit toutes des techniques comme ça et on termine le vendredi avec des techniques de self-defense parce que là, on voit vraiment comment le malware peut détecter qu'il tourne dans une sandbox, qu'il peut détecter l'environnement dans lequel il se trouve. Et alors, il y a toutes des techniques qui sont super fun, mais si l'étudiant, si on ne les connaît pas... on va passer à côté de choses très intéressantes. Et donc, voilà un petit peu ce qu'on voit. Et la journée se termine le samedi par un capture de flag, qui est en fait une espèce de challenge. Et donc, les étudiants doivent faire du malware analysis. Et donc, ça leur permet de mettre en pratique directement ce qu'ils ont appris pendant la semaine.
Speaker #1
Le gagnant y reçoit quelque chose ou quelque chose de gratifiant ?
Speaker #0
Le gagnant y reçoit... Attends, j'ai... Le gagnant y reçoit quelque chose, en fait, ce qu'on appelle un coin. C'est ce genre de choses. Ici, ce n'est pas le coin. Oui, c'est un du 710. Donc, en fait, c'est une espèce de médaille comme ça. Et donc, voilà, c'est le coin qui, entre guillemets, ne vaut rien du tout. Je crois que ça vaut 5 dollars. Même pour les étudiants, c'est...
Speaker #1
Il y a une rareté derrière. Tous les étudiants ne vont pas le recevoir. Donc, ils se battent. C'est du serious game. Voilà,
Speaker #0
et quand l'étudiant dit... Moi, j'ai gagné le coin du 610, du 710, etc. Ils sont tous contents, ils sont tous fous parce que c'est une belle récompense.
Speaker #1
Oui, et puis au niveau marketing, c'est assez puissant. C'est assez puissant et c'est intéressant.
Speaker #0
Ensuite, il y a forcément la certification que tu peux passer. Donc, il y a le training. Et alors, si tu veux ensuite la certification, là, tu as quelques mois pour préparer l'examen. Et donc, l'examen, dans le cadre du malware analysis, ça revient à répondre aux questions au niveau des malwares, au niveau de l'analyse, etc. Et là, tu es certifié comme tout enrène de certification. Tu reçois un beau diplôme, etc. Tu es certifié pour X années, pour 4 ans. Et donc, ça te prouve que tu peux analyser du malware.
Speaker #1
Ils doivent aussi, du coup, s'ils sont certifiés, déclarer des Continuous Professional Education ou développement.
Speaker #0
C'est exactement le même principe que tous les grands organismes que l'on connaît, ISACA, IC Square, etc. Donc, en fait, tu es certifié pour 4 ans. au bout de tes 4 années, ce que tu fais, si tu as suffisamment de CPE que tu peux réassigner, tu ne dois pas repasser l'examen, mais si tu n'as pas suffisamment de CPE, tu dois repasser l'examen. Si tu veux continuer forcément dans ta carrière, certains étudiants, ils le font une fois et puis ils font autre chose, ils ne poursuivent pas dans cette carrière-là. Mais c'est exactement le même principe. Quelque part, donc moi je donne cours. Je suis instructeur SANS, mais j'ai suivi et je continue de suivre des trainings SANS. Donc, je passe aussi les certifications. Et étant freelance, pour moi, c'est le meilleur moyen de prouver à mes clients que, regardez, j'ai la certification. Je sais faire des incident handling, je sais faire X, Y ou Z. J'en ai besoin pour mon boulot.
Speaker #1
Comme il y a ce maintien de la certification, le fait de continuer à démontrer qu'on reste, peu importe la forme, mais qu'on reste à jour. Ce n'est pas juste une certification. Après, par expérience, je n'ai jamais fait de cours SANS, mais j'en connais quelques-uns. La barre est assez haute par rapport aux autres certifications. Peut-être pas le CISSP, parce que le CISSP, c'est la Bible de 1200 pages où tu as un centimètre d'épaisseur et un kilomètre de large. Moi, je ne suis pas dans un univers qui est grandif. C'est l'univers, et donc, je l'ai passé en 2009, je n'aimerais pas devoir le repasser en 2025. Ça, c'est une certif qui a... aujourd'hui est très difficile. Le SANS, moi, je le mets à ce niveau-là, voire même plus haut. Mais du coup, pour être instructeur SANS, c'est combien de pourcents ? 90%, 90% de réussite ?
Speaker #0
Pour revenir à la certification, j'ai aussi le CSSP depuis, je crois, 15 ans, si pas plus, enfin, une X années. Quand je l'ai passé, je me souviens que... Oh purée, c'est LA certification ! Et maintenant, avec le recul et un peu plus de bouteilles, je me souviens des questions que j'avais. Quelle est la hauteur minimum d'une enceinte ou d'un datacenter pour éteindre un insomnie de tel type ? Est-ce qu'il faut un instincteur ? Il faut de la pousse ? Il faut des trucs ?
Speaker #1
No way.
Speaker #0
Et retenir les surlulents en sous-scandale.
Speaker #1
Je devais retenir ça par cœur, les forums.
Speaker #0
C'est-à-dire,
Speaker #1
c'est leur système métrique. Ce n'est même pas un système métrique européen compliqué. Mais oui,
Speaker #0
et maintenant, voilà, ma 6D SPIE, je la maintiens parce que c'est aussi une référence quand on dit, voilà, je l'ai et elle est là. Mais au niveau des formes, des certifications SANS, oui, je pense qu'elles sont de très bon niveau. ce qu'il faut savoir, c'est que maintenant, de plus en plus, ils passent vers des questions pratiques. Donc, ce n'est plus vraiment du multiple choice et un petit bonheur la chance, tu fais du Vogelpick, tu vas peut-être réussir à passer la certification. Tu as du practice, tu as une VM qui démarre, tu dois vraiment taper les lignes de commande, les investigations, etc. Maintenant, est-ce qu'elles sont vraiment difficiles ou pas ? J'en discute encore la semaine dernière. J'ai certains étudiants qui me disaient « Ah oui, celle-là, elle était vraiment, vraiment dure. » et un autre disait moi je l'ai passé les deux doigts dans le nez ça dépend des gens voilà si c'est vraiment ton domaine c'est un petit peu comme quand tu expliques à des enfants à l'école pourquoi est-ce que certains aiment bien les maths d'autres préfèrent les géographies etc c'est exactement la même chose c'est les
Speaker #1
goûts les couleurs c'est quoi être un bon instructeur sans pour toi qu'est-ce qu'il faut comme qualité de manière globale pas forcément sur ton cours mais vraiment de manière globale
Speaker #0
Robert Alors, je dirais que là où je pense que beaucoup d'instructeurs sont très, très bons, c'est que ce n'est pas un boulot full-time. C'est-à-dire que moi, je donne cours X semaines par an, mais j'ai mon boulot à côté et dans mon boulot, je pratique. Donc, je mets en pratique ce que je donne dans mon cours. Donc, les gens qui viennent suivre le cours, forcément, si la bus, je suis un timekeeper, j'ai mon planning à voir, etc. Mais j'ai plein d'anecdotes que j'ai vécues. Je peux donner des exemples qui ne sont pas dans les bouquins. Je cite des outils qui ne sont pas dans les bouquins ou des choses comme ça, parce que ça fait partie de... La majorité des instructeurs sont dans ce domaine-là. Et on fait souvent la comparaison avec les profs du NIF. Je ne dénigre pas les profs du NIF, pas du tout. Mais souvent, le prof du NIF, il a fait son cours. Le cours est là. Il l'a réalisé. Il le donne, certains sont un peu détachés de la vie réelle parfois. Ici, on est vraiment les mains dans le cambouis. Donc voilà, moi, je suis donné cours la semaine dernière. Cette semaine-ci, je bosse pour des clients. Je suis vraiment dedans. Et puis, je vais apprendre de nouvelles choses que je pourrais peut-être éventuellement mentionner la prochaine. Je vais donner cours. Donc, le cours évolue comme ça en termes d'anecdotes, etc. Ce qu'il y a aussi, c'est que je pense qu'une des qualités importantes, c'est de pouvoir d'écrire des choses très, très, très, très, très techniques en français ou en anglais. Donc, c'est-à-dire de pouvoir vulgariser un maximum. Parce que quand tu commences à parler de l'assembleur avec, oui, mais tu as les registres au niveau du CPU, les adresses mémoires, etc. Mais si tu arrives à vulgariser et à remplacer ça par, j'invente, c'est un petit peu comme le TCPIP, tu as les paquets, tu peux dire, voilà, j'ai un routeur, j'arrive à un rond-point, j'ai différentes routes qui arrivent, j'ai toutes les voitures. Les voitures s'organisent et puis les voitures partent vers la gauche, vers la droite. Et le routeur est un peu comme le gestionnaire du rond-point. Tu vois, tu vulgarises comme ça. Donc, je pense que c'est aussi une des grandes qualités. Voilà, je n'en vois pas d'autres. Être un bon timekeeper, pouvoir gérer les gens.
Speaker #1
Surtout s'il y a des lab.
Speaker #0
Parce que parfois, tu as des questions qui sont très pertinentes et très intéressantes. Mais à un moment donné, il faut dire, écoutez, stop. On va en discuter peut-être ce soir en buvant un verre ou un truc comme ça ou en aparté. Mais là, moi, j'ai mon planning, j'ai mon cours à voir. Et donc, si vous ne voulez pas qu'on termine tous les jours à 19h, on va continuer le cours. Sinon, on est parti dans toutes les directions. Donc, c'est être un bon timekeeper et pouvoir garder les gens sous contrôle.
Speaker #1
Tu as une anecdote ou un moment marquant dans un de tes cours à partager avec nous pour les auditeurs ?
Speaker #0
Oui, j'en ai un qui est vraiment, vraiment bien. J'étais à Singapour il y a deux ans. je donnais cours, j'avais quoi, une trentaine d'étudiants et il y avait un petit bout de femme, mais elle était toute petite, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, Et elle posait des questions. À un moment donné, je lui dis, mais c'est pas possible. Elle a vraiment du mal, quoi. Et elle posait des questions tout le temps, tout le temps, tout le temps. Et des questions qui me paraissaient basiques. Enfin, basiques, tu vois, je me dis, elle a du mal. Et elle surlignait tout. Elle notait à longueur du temps. Elle surlignait. Elle mettait des post-it dans le cours, etc. Wow. Elle a du mal. Le sixième jour, le CTF, elle a gagné. Et je dis, wow. Et alors, j'ai eu un autre exemple aussi. Mais ça, c'est un petit peu… Ce n'était pas vraiment direct. Oui. L'autre exemple, ça va peut-être plus te parler. À côté des cours, donc quand il y a une semaine de Training Science, à côté des cours il y a plein d'activités il y a des talks qui se donnent le soir etc et alors en général le jeudi le vendredi on fait ce qu'on appelle le NetWars qui est un autre CTF où tu dois résoudre des challenges tu fais du forensic tu dois trouver des trucs dans les logs faire un peu de pain de test etc et j'organisais un NetWars à ce moment là Et il y a une personne qui arrive et elle me dit, ben voilà, je vais jouer, j'aimerais bien jouer un petit peu, mais je n'ai pas beaucoup de connaissances techniques. Est-ce que vous pouvez m'aider ? Oui, bien sûr, bienvenue. Justement, le but, c'est d'avoir du fun, de passer un bon moment. Il y a à manger, il y a de la musique et tout, une chouette ambiance. Et la personne me dit, ben voilà, moi, je gère une équipe technique. Ce n'est pas un ciseau, mais je gère une équipe technique. elle me posait des questions, rien que pour déployer la VM et déployer les outils pour commencer avec le challenge elle a souffert, mais elle a vraiment souffert et ça a duré deux jours et le deuxième jour, elle est revenue me voir en me disant j'ai pas marqué beaucoup de points, j'ai pas gagné beaucoup de challenges, mais en fait maintenant je comprends comment mes équipes parfois, ils ont du mal à trouver les trucs et c'est pas aussi facile que ça ça leur a vraiment ouvert les yeux parce qu'il y avait par exemple, j'ai un ventre une question tiens, sur tel système infecté, quelle est l'activité qui s'est passée, tel jour, quelle heure, comment on peut tout remonter, telle info, il y avait une analyse forensic à faire. Et ça lui a vraiment ouvert les yeux. Et elle dit, mais maintenant, je comprends pourquoi ça peut être difficile parfois et mes gens ont besoin de plus de temps. C'est un whim, quoi. C'est génial, ce genre de réaction. Voilà, c'est deux anecdotes comme ça, quoi.
Speaker #1
Oui. Quand tu disais avec la première, je pensais que du coup, c'était une auditrice sans qui vérifiait comment le cours était donné, tellement... elle pointait tout, mais non, en fait, elle l'a fait, elle a eu le CTF.
Speaker #0
Ça peut arriver, ce genre de choses, parfois, quand tu donnes le cours online, en fait, on a des éditions Zoom, tu sais, on donne le cours online, et parfois, pendant que tu donnes le cours, tu vois, pouf, une nouvelle personne qui vient, qui rejoint le call, qui reste pendant une demi-heure, et puis, pouf, qui s'en va, c'est juste pour voir si tout se passe bien, oui, on est audité, on a des évaluations, etc., il y a tout un processus comme ça derrière, bien sûr.
Speaker #1
Ok, super ! En tout cas, merci beaucoup à toi, Xavier, d'avoir pris le temps de venir partager ton parcours et surtout ta vision. J'espère que ça t'a plu.
Speaker #0
Tout à fait. C'est toujours intéressant d'être de l'autre côté parce que j'écoute le podcast en général. Donc ici, j'ai vu comment tu le préparais. J'ai vu comment ça se passe, toute la machinerie qu'il y a derrière. Donc, un grand merci de m'avoir invité de nouveau. J'espère que j'ai pu peut-être ouvrir des possibilités carrières à des auditeurs, etc. Je suis quelqu'un qui est en général très joignable sur les réseaux sociaux. Donc, si quelqu'un a des questions suite au podcast, n'hésitez pas à venir me faire un petit coucou. Je suis sur LinkedIn, X, Twitter, etc. C'est avec plaisir. Merci beaucoup.
Speaker #1
En fait, c'est exactement pour ça qu'on a lancé Compliance with Autcoma. Pour entendre des voix comme la tienne et à toi comme un breaker qui nous écoute, si cet épisode t'a appris un truc, fait sourire ou juste bousculé une idée reçue, pense à le partager, à t'abonner et à faire tourner l'info. Si tu débutes, j'espère que tu as au moins appris ce que se cachait derrière le malware analysis et le reverse engineering, mais pas que. Et on se retrouve déjà vendredi prochain pour un autre épisode. D'ici là, restez curieux, restez critiques et surtout restez éveillés.

Chapters

Introduction à Xavier Mertens et à la cybersécurité
0sec
Le parcours de Xavier Mertens dans la cybersécurité
50sec
Les menaces actuelles et l'importance de la défense
2min
Spécialisation en reverse engineering et malware analysis
9min
Présentation de SANS et des cours de cybersécurité
15min
Compétences requises pour l'analyse de malwares
17min
Techniques d'analyse et évolution des malwares
33min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

https://www.sans.org/emea

https://www.sans.org/profiles/xavier-mertens

https://x.com/xme?s=20

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Certains invités marquent l'univers de la cybersécurité depuis des années et tu les croises toujours entre deux couloirs, chez un partenaire ou sur un projet client, sans jamais avoir l'occasion de vraiment bosser ensemble. Aujourd'hui, j'ai enfin ce privilège. Mon invité, c'est un pilier de la scène cyber européenne et mondiale, instructor SANS depuis plus de dix ans et aussi handler de l'Internet Storm Center, ce radar mondial qui capte les signaux faibles avant qu'ils ne deviennent des tempêtes numériques, co-organisateur de la conférence Bruconne, l'un des rendez-vous les plus respectés en Belgique. Il a formé des centaines de professionnels à travers le monde. Il a probablement donné plus de fois le cours Malware Analysis et Reverse Engineering que toi tu n'as entendu prononcer le mot 0D dans ta vie. Bref, aujourd'hui, on parle passion, pédagogie, menaces et surtout, comment rester lucide dans un monde où l'attaque est souvent plus visible que la défense. Bienvenue dans Compliance Without Coma avec un invité hors normes, Xavier Mertens. Accrochez-vous, j'ai un invité aujourd'hui qu'on ne présente plus dans la communauté et qui va nous embarquer avant tout dans l'analyse des malwares et le reverse engineering. Lui, c'est plutôt un code breaker. Bonjour Xavier, je suis vraiment ravi de t'avoir au micro. On s'est croisés plusieurs fois dans l'écosystème, mais là en fait, on va pouvoir prendre le temps d'échanger vraiment et ça, ça me fait vraiment très plaisir.
Speaker #1
Bonjour Fabrice, même chose. Ça fait qu'on se connaît depuis quelques temps virtuellement, ça fait un petit bout de temps qu'on s'est pu croiser, mais je suis vraiment enchanté d'être sur le podcast aujourd'hui.
Speaker #0
Ok. Je commence toujours par la même question. Comment t'en es arrivé là ? Je parle dans la cyber. Tu te souviens du moment où tu t'es dit « Ok, la cyber, c'est mon truc » .
Speaker #1
Alors, j'ai quelques heures de vol. J'ai fait beaucoup de consultances. J'étais employé comme pas mal de monde. Et puis, je suis devenu employé consultant. Finalement, je suis devenu employé consultant freelance. Et en fait, le déclic, ça a eu lieu chez un de mes clients. où j'étais network admin et je voyais des consultants débarquer toute la journée qui faisaient des trucs super sympas. Je ne comprenais pas tout avec des logiciels ou des boîtiers qui me semblaient assez merveilleux. Et en fait, j'ai eu l'idée, je me disais, je veux faire comme eux et je veux comprendre ce qu'il y a dans ces boîtiers et je veux faire des choses qui soient un petit peu plus fun que le sysadmin classique, etc. C'est comme ça que tout a commencé.
Speaker #0
Ok. J'ai fait ci sur du Sun. pendant une bonne partie de ma carrière. Oui,
Speaker #1
Sun aussi.
Speaker #0
J'ai fait un shift left. J'ai eu ce wake-up call comme ça. À force de patcher des systèmes, je me dis que c'est toujours la même chose et je n'apprends plus. C'était toujours le même style d'émission. Je me dis, tiens, est-ce qu'il n'y a pas moyen d'être un peu plus pompier ? Et puis là, j'ai bifurqué.
Speaker #1
La frustration. Les consultants arrivaient et faisaient tous les trucs sympas, fun. Et moi, j'avais la frustration. de juste répondre à leurs questions ou leur créer un compte, leur donner accès à telle application, telle application, et voilà.
Speaker #0
Aussi, une des promesses du podcast, c'est également de montrer aux jeunes qu'il n'y a pas qu'une seule voie tracée pour arriver dans la cyber. Et peux-tu présenter ton parcours en quelques grandes étapes, ce qui t'a permis de bifurquer ? Tu es devenu presque même un hacker éthique, entre autres.
Speaker #1
Alors, j'ai toujours aimé tout ce qui est bidouillage, ordinateur, etc. Je me souviens, mon tout premier ordinateur, c'était un Z681 de Sinclair. Un kilobyte de mémoire. Un kilobyte de mémoire. Donc, c'était assez sport pour encoder des petits programmes en basique. On encodait le programme en basique pendant 10 minutes. On pouvait jouer un petit peu, puis on l'éteignait. Tout était parti. Pas moyen de sauvegarder, rien du tout.
Speaker #0
Et donc,
Speaker #1
j'ai été intéressé par les ordinateurs. Pardon ?
Speaker #0
Oui, et après, il fallait tout recommencer, tout réencoder.
Speaker #1
Ah, ben voilà, il fallait tout réencoder, parce que je ne savais pas enregistrer sur cassette à ce moment-là. Ça ne marchait pas, je n'avais pas le matériel. Et donc, j'ai fait des études en informatique qui n'ont rien à voir avec la cyber. C'est-à-dire que j'ai fait... En fait, je voulais commencer à travailler avec des ordinateurs, entre guillemets. Et j'ai fait un graduat à ce moment-là. C'était de l'informatique de gestion. aucune cyber sécurité, rien du tout. On ne parlait pas de sécurité à ce moment-là. J'ai fait du Fortran, du Cobol, du C, du Lisp, du Pascal, plein de langages. Et en fait, quand je suis sorti, j'ai juste travaillé, je crois, six mois en tant que développeur. Et puis, j'ai tout de suite trouvé quelque chose d'autre. Et en fait, je suis arrivé, je pense que c'était le bon moment, parce que la bulle Internet explosait en Belgique. Et donc, j'ai commencé à travailler chez un ISP. Et donc là, c'était les systèmes UNIX, TCPIP, les modems, les réseaux, connexion internationale, etc. Et puis, toujours le bon moment, la bulle Internet est tombée en Belgique. Donc, tout s'est terminé. Il a fallu trouver autre chose. Et donc là, j'ai continué en tant que système admin, système network admin pour une ou deux boîtes. Et puis, comme j'expliquais, j'ai vu des... J'avais toujours un petit peu de... La sécurité me semblait intéressante, mais ça semblait très, très loin de moi et très, très inaccessible. Et en voyant les consultants qui venaient travailler sur des projets dans la boîte où je travaillais aussi, c'était une frustration et je me suis dit, c'est vers ça que je veux me lancer. Et de nouveau, une bonne opportunité, c'est que la société qui venait placer les consultants, quand je discutais avec eux, en fait, ils m'ont récupéré. Ils m'ont engagé. Au coup, j'ai continué à travailler chez mon employeur. Il y avait un agreement. Dès que j'ai continué à travailler en tant que consultant pour leur projet en sécurité, et puis je ne suis pas devenu consultant. Et puis, une autre boîte, une autre boîte. Et puis, je me suis mis finalement en freelance. Et voilà.
Speaker #0
Ah ouais ? Comme quoi. C'est vrai que quand on démarre avec ce que nous, on appelait à l'époque un graduat. Maintenant, c'est un bachelier. il y avait deux options. On avait gestion, et moi j'ai fait l'autre, j'ai fait industriel. Donc j'ai programmé, mais en assembleur, en Pascal, en C, on faisait des drivers, et nous le but était de programmer des automates, et je n'ai jamais fait ça en fait. Dès que je suis sorti, j'ai fait tout à fait autre chose, j'ai démarré sur mainframe, et puis directement chez Sun, quasiment deux ans après. Et puis, ma carrière chez Sun sur Unix. Et puis là où j'ai fait le shift-left vraiment pour dire, tiens, je vais faire autre chose. Maintenant que j'ai vu des data centers, des grosses machines, du Unix, du réseau, j'aimerais bien faire autre chose. Et c'est là au moins où j'ai bifurqué. Mais en fait, dans mon cursus, on ne parlait pas. On ne parlait même pas de chiffrement. Je pense que tous les deux, on a connu avant Internet. Et donc, j'allais lire des bouquins sur le Fortran dans une bibliothèque. J'avais rien.
Speaker #1
Moi j'ai connu les BDS j'avais un point chidonnette c'était du UUCP il n'y avait pas encore TCPIP il n'y avait pas tout ça, c'était gay
Speaker #0
J'ai connu SNA et X25 avant TCPIP, t'imagines et c'est pas à l'école qu'on nous apprend et donc ce que j'ai envie de dire aux jeunes aujourd'hui, ne vous contentez pas de ce qu'on vous apprend à l'école on vous apprend à apprendre et ça bouge tellement vite Alors, j'ai sorti récemment un podcast sur Sun Tzu. Et sur tes comptes de réseaux sociaux, j'ai découvert ceci. Si l'ennemi laisse une porte ouverte, il faut s'y précipiter. Peux-tu développer ? Est-ce que tu entends par là ? C'est-à-dire que tu attaques ou tu défends ?
Speaker #1
Alors, j'ai attaqué beaucoup. J'attaque un petit peu moins maintenant. Je le fais encore pour certains clients. Je fais encore un peu de pen test. Mais je ne le fais pas. plus j'essaye, je préfère défendre que d'attaquer. C'est pour ça qu'aujourd'hui, en fait, si je devais remplacer, je suppose que tu as vu ça sur mon blog, si je devais remplacer l'entête de mon blog ou sur le sable, oui, voilà. Si je devais remplacer ça par une autre formule, je dirais plutôt aujourd'hui celui qui veut la paix prépare la guerre. Parce que c'est vraiment ce que j'aime bien faire aujourd'hui. En fait, on a toute une série d'attaquants qui sont là à nos portes. Ils sont là pour essayer de rentrer dans les sociétés qu'on veut, qu'on essaye de protéger tant mieux que mieux. Et donc, il faut se préparer. Il faut savoir comment ils fonctionnent, comment qu'elles sont leurs technologies, quelles sont leurs techniques, leurs pratiques, etc. pour pouvoir mieux se défendre. C'est plutôt vers ça que j'irai aujourd'hui.
Speaker #0
Et qu'est-ce qui t'a poussé à te spécialiser, entre autres, en reverse engineering ? Puisque c'est l'un des cours que tu donnes.
Speaker #1
Oui, tout à fait. En fait, je suis souvent, c'est drôle à dire, mais je suis souvent impressionné par la qualité du produit, du malware, du logiciel, la qualité du programme qui est parfois généré par les attaquants. Et donc, c'est vraiment ça qui m'intéresse parce que je me dis parfois, si ces développeurs, entre guillemets, ce sont développeurs qui écrivent du code malveillant, si... à un moment donné est tombé du bon côté et pas du côté obscur de la chose, si on peut dire, on aurait des solutions logicielles qui tourneraient, mais alors qui seraient magnifiques. Voilà, donc c'est vraiment cet aspect technique qui est très intéressant de voir les idées de génie parfois, ou le petit truc bête et méchant qu'ils peuvent mettre en place pour contourner un contrôle de sécurité, ou bien pour pouvoir exfiltrer des données ou des choses comme ça. C'est ça qui est vraiment très intéressant pour ma part.
Speaker #0
Mais donc, en fait, tu as l'air de dire qu'ils seraient plus malins que les développeurs logiciels. Je mets ça au conditionnel. mais que les développeurs logiciels lambda d'aujourd'hui, qui eux ne sont pas du tout conscients ni même de la cybersécurité, qui codent comme ça, qui ne font pas de lien entre les microservices, et j'en entends souvent et de plus en plus, ils seront donc meilleurs qu'eux et leur produit est meilleur. C'est ça que tu es en train de dire ?
Speaker #1
Alors, je ne dis pas meilleur, parce que ça reste aussi des développeurs comme tout le monde et donc il faut aller grappiller aussi des bouts à gauche, à droite. pour ne pas réinventer la roue. Et donc, s'il y a un attaquant qui a trouvé une petite routine bien spécifique pour faire des choses très, très bien, elle va être réutilisée, clairement. Ou alors, ils réutilisent aussi des bouquins à la barre, ils ne sont pas malicieux. Ils vont faire leur marché sur GitHub, etc. Et récupèrent des outils qui peuvent les aider. Donc, ils ne sont pas meilleurs à ce niveau-là, mais je dirais que là où ils sont meilleurs, ce sont les manières de contourner. Malheureusement, ce qu'un développeur ne peut pas, un développeur tout à fait normal ne peut pas faire. mais la manière de contourner des systèmes qui sont mis en place au niveau du réseau pour pouvoir vraiment atteindre leur but. Et c'est ça qui est, entre guillemets, je prends toujours des guillemets, mais qui est génial, bien entendu. Toujours entre guillemets.
Speaker #0
Oui, parce qu'il faut rester prudent. Mais comment tu pourrais expliquer ton métier à quelqu'un qui n'a jamais entendu parler de malware analysis ou de reverse engineering. Donc, pas forcément quelqu'un de l'IT, ta voisine ou ton épouse. Est-ce qu'elle comprend ce que tu sais ?
Speaker #1
C'est difficile, c'est difficile. Ce que j'aime bien de dire avec les métiers de l'IT, par rapport à des métiers plus classiques ou plus manuels, tu prends un maçon qui arrive le matin sur le chantier, à la fin de la journée, le mur est monté de deux mètres. tu vois ce qu'il a travaillé, tu vois ce qu'il a réalisé. Dans notre domaine, moi, je passe mes journées devant un clavier. Pour ma femme, mes enfants, des amis, mes parents, etc., je joue avec des ordinateurs. Donc, on ne voit pas la fin de la journée, il n'y a pas un résultat pratique qui te dit, le mur est monté ou j'ai construit quelque chose. Tout est virtuel à 100%. Donc, ça, c'est déjà la difficulté d'expliquer. Maintenant, pour expliquer le reverse engineering à quelqu'un qui n'y connaît rien du tout, je dirais... Tu prends une boîte de Lego technique, pas citée de marque, mais bon, voilà, ou un mécano. Mais la boîte contient le jeu déjà monté, il est déjà assemblé. Et toi, tu retires toutes les pièces, tu fais l'inverse pour essayer de comprendre comment les pièces ont été assemblées les unes avec les autres.
Speaker #0
C'est ça.
Speaker #1
Voilà, c'est le meilleur exemple que je peux donner.
Speaker #0
Et on peut imaginer comme c'est profond parce que tu as des gros Lego techniques où tu as 4000 ou 40000 pièces. des trucs de Star Wars ou autre, ou même un airbus.
Speaker #1
Tu auras la petite boîte de 500 pièces. Exactement. Et tu as une petite boîte que tu vas pouvoir, tu vas comprendre tout de suite comment c'est fait. Ça va prendre 30 minutes, une heure. Ou alors tu vas tomber sur le gros set qui contient des milliers de pièces. Et là, tu en as un petit bout de temps à t'amuser avec. C'est vraiment ça. C'est comprendre comment les différents Legos sont interconnectés, comment tel engrenage fait tourner tel autre engrenage au bout de la grue, etc. C'est vraiment le meilleur exemple que j'ai pu trouver.
Speaker #0
Ok. Et du coup, parce que moi, je n'en ai jamais fait du reverse engineering. Tu descends au niveau de l'assembleur aussi ou c'est du bytecode ? Alors,
Speaker #1
ça dépend. Au niveau du reverse engineering, il y a beaucoup de gens qui, donc pour ceux qui connaissent, qui pensent que le reverse engineering, c'est directement sauter dans un débuggeur. jouer de l'assembleur à longueur de journée, etc. Pas du tout. Parce que tu peux faire du reverse engineering de plein de langages. Et par exemple, tu peux faire du reverse engineering de Python, de PowerShell, de JavaScript. Tu tombes sur un site web malicieux, tu essaies de comprendre le JavaScript qui est chargé dans la page web. Et donc, ce n'est pas forcément le haut du panier. Tout le monde pense que l'assembleur, je passe mes journées dans un débuggeur, etc. Pas du tout. Je trouve que c'est tout aussi gratifiant de faire du Réduction Engineering d'un petit script sous Unix ou sous Windows que de sauter directement dans un vrai malware qui est inexécutable, Windows, etc. Mais c'est toujours la même approche, c'est comprendre ce qu'il y a derrière et comment il fonctionne.
Speaker #0
Tu es entre autres instructeur SANS, peux-tu nous présenter le SANS globalement ?
Speaker #1
Oui, tout à fait. Le SANS est une institution qui est basée aux États-Unis, donc ils sont très américains. Ça fonctionne de la manière des États-Unis au niveau des process, etc., comme tu peux t'imaginer. Mais c'est une institution qui donne des cours de cybersécurité, mais au niveau mondial. Ils ont un statut d'université. Donc, un de leurs noms de domaines est sense.edu. Donc, ça dit tout. Et Secu couvre tous les domaines de la cyber security, que ce soit le forensic. Donc, moi, je donne compte principalement dans la branche forensic. Il y a les branches security, qui est plus sécurité offensive. Il y a le leadership. Il y a ICS. Il y a, bref, tous les domaines qui peuvent intéresser les gens à la cyber security qui sont donnés. En général, ils donnent des formations au niveau mondial. Donc, on peut avoir des formations en présentiel, on peut avoir des formations on-demand, des formations online. Et oui, je dirais, voilà, c'est un petit peu comme toutes les formations qu'on peut avoir. Il faut voir ce qui vous intéresse, ce qui peut être utile. Et je pense que c'est une organisation qui permet aussi d'avoir un pied dans la cybersécurité. ce que j'aime bien chez eux, c'est que il y a aussi ce qu'ils appellent le career path c'est à dire qu'il y a un grand poster qu'ils ont émis et en fait en choisissant, on dit voilà moi je suis intéressé plutôt par le forensic par le défensif et alors il y a vraiment le career path, on commence par tel type de training et puis en fonction de ses affinités on va plus aller vers la gauche vers la droite et on choisit vraiment ce qui est intéressant pour pouvoir augmenter ses compétences ça c'est génial ce qu'ils font parce que ça permet de vraiment visualiser je ne sais pas si tu sais mais moi je suis plongeur
Speaker #0
Et il y a aussi plusieurs religions dans la plongée. Il y a PADI et SSI. Et ils ont aussi ton career pass, c'est-à-dire que tu passes d'amateur à plongeur ou plongeur tech ou plongeur divemaster. Et là, tu vois un petit peu, OK, si je veux aller à tel endroit, je vais suivre ce career pass-là aussi. Donc, tu sais l'investissement, tu connais le budget.
Speaker #1
Voilà, exactement.
Speaker #0
Je trouve que c'est très bien parce que ça augmente ta motivation intrinsèque. Le fait de dire, OK, je veux être là dans trois ans ou dans deux ans ou dans six mois. Qu'est-ce que je dois faire par où je commence ? Ce que certains ne font pas forcément. Quand on commence sur des cours de middle management, on n'a pas forcément ça. Parce que le champ, le spectre pour moi est beaucoup plus réduit. Et donc, on passe d'une religion à l'autre à ce moment-là. OK, super. Bon, entrons dans le vif du sujet. Du coup. Quelles sont les compétences requises pour participer à ton cours sur le Malware Analysis et Reverse Engineering ? Quel est le genre de profil de participants qui va suivre ton cours ?
Speaker #1
Alors, les participants, j'ai donné le cours sur les trois grandes régions du monde. Donc, j'ai donné le cours côté Amérique, en Europe et en Asie. Donc, les profils sont plus ou moins les mêmes. On a des gens qui sont freelance. On a des gens qui travaillent pour des petites boîtes. des très grosses boîtes. On a des gens qui travaillent pour des three-letter agencies, comme on dit aussi, donc qui doivent vraiment avoir des compétences bien spécifiques. Donc, il y a vraiment, il y a de tout. Au niveau des compétences requises, là aussi, on essaye d'être très ouvert. Il y a beaucoup d'étudiants qui stressent un petit peu au niveau de l'assembleur. Par exemple, je ne vais pas décrire le cours, ce n'est pas le but, mais il y a une journée qui est dédiée à l'assembleur. Le but est d'arriver à mettre tout le monde au même niveau. pour ensuite continuer sur le cours. Et au niveau de l'assembleur, ce que je dis toujours, c'est que vous ne devez pas être un gourou en assembleur. Il n'y a pas de compétences requises. Ne me demandez pas d'écrire un programme en assembleur ou de connaître tout en assembleur. Je ne prétends pas être un gourou en assembleur, loin de là. Donc, c'est ouvert à beaucoup de monde. Maintenant, il ne faut pas se leurrer. un petit peu de connaissance Windows, un petit peu de connaissance Linux, un petit peu de connaissance TCP, IP, etc., un petit peu de connaissance programmation, ça sera beaucoup plus facile que la personne qui part de zéro, forcément. C'est-à-dire que la personne qui part avec un bagage beaucoup plus léger, elle devra mettre des gaz à fond pour pouvoir arriver au même niveau que les autres étudiants pour qu'ensuite on puisse tous aller vers le haut. Mais pas spécialement prérequis en malware analysis, etc. C'est vraiment ouvert à tous. Maintenant, je donne deux cours. Là, je parle du cours qui est l'introduction. Et forcément, il y a le deuxième cours qui est la suite logique, qui est lui le advanced. Et là, forcément, pour te donner une idée, quand on commence le lundi matin... Premier lab, c'est directement dans un débogueur, tirer votre plan, en fait, pour aider les étudiants et ils doivent commencer à résoudre eux-mêmes des labos.
Speaker #0
Ok. Et donc, quelles sont les compétences qu'eux vont développer tout au long de la formation ? Parce que là, tu as parlé de l'introduction et puis du cours advanced. Donc, celui qui termine le cours advanced, qu'est-ce qu'il peut devenir ? Analyste SOC niveau 1, niveau 2, niveau 3 ? Est-ce qu'il peut...
Speaker #1
Contrer vraiment les malheurs ? Il y a beaucoup d'analystes SOC. Beaucoup de gens travaillent dans des SOC. Les compétences qu'ils vont développer, c'est vraiment pouvoir... En fait, le training se fait dans un focus forensic. Qu'est-ce que ça veut dire ? Je vais raconter une petite histoire. J'aimerais donner cette anecdote. Pour moi, il y a deux types de reverse engineer. Il y a ce que j'appelle les lucky et unlucky ones. Les reverse engineers qui sont lucky, comme j'aime bien le dire, ce sont des gens qui travaillent pour une grosse boîte, qui sont par exemple Unit 42 Palo Alto, Checkpoint Research, Cisco Talos, i7, etc. Eux, ce qu'ils font, ils font du hunting, ils trouvent un nouveau malware, ils l'analysent de A à Z et ils génèrent un papier. Et ils génèrent du bruit pour la société. Et donc, ils ne font que ça. Ils font du reverse engineering full time. Moi, je fais du reverse engineering. et c'est ce que j'apprends aussi aux étudiants dans un contexte forensic. C'est-à-dire que nous sommes les unlucky, tu n'as pas de temps. Tu n'as pas le temps pour faire ton reverse engineering. Ton malware, tu vas le trouver pendant un incident et donc tu vas travailler sur ton incident et pendant que tu vas vouloir travailler, tu vas voir le client ou le boss qui va derrière toi qui va te dire, Xavier, tu as deux heures pour faire le reverse engineering parce qu'ensuite, on va redémarrer le serveur et la production va redémarrer.
Speaker #0
Le but,
Speaker #1
c'est d'aller le plus vite possible au niveau de l'analyse, de trouver la passe pour pouvoir ensuite communiquer les informations que l'on a découvertes sur le malware vers les autres équipes pour améliorer la sécurité. Ah, mais le malware, il fait ça, il fait ça, il fait ça. Donc, on bloque ça dans le firewall, on déploie tel outil pour qu'il ne puisse plus se déployer et se répand sur le réseau, etc. Voilà, on fait ça dans un contexte forensic. C'est très important.
Speaker #0
Ok, et du coup ? Au niveau ransomware, tu as déjà eu un client qui a été confronté à un ransomware où tu as pu faire un reverse engineering de la clé, la retrouver ?
Speaker #1
Juste quelques-uns. Au niveau ransomware, c'est très compliqué. En fait, ce que beaucoup de gens pensent, c'est qu'un ransomware est un malware très complexe, très vicieux, etc. En fait, pas du tout. Le ransomware en lui-même, souvent, c'est un outil en ligne de commande. qui est lancé manuellement par l'attaquant, à partir du moment où il a compromis complètement le réseau. Donc, ce qu'ils font, c'est qu'ils rentrent dans le réseau, par les trucs classiques, un serveur RDP exposé sur Internet, un VPN mal configuré, pas de MFA. Ils sont sur le réseau, ils font leur petite reconnaissance, ils voient où sont les serveurs, les données sympas, ils exfiltrent. Et la dernière étape, ce n'est vraiment que l'encryption des données. C'est un command line tool, c'est un bête. tools que tu lances depuis ton shell, bien ton command line Windows, et qui encrit des fichiers. Donc, voilà, c'est un outil bête et méchant, le ransomware. C'est l'attaque qui est, en général, très intéressante à analyser. Le chemin, le cheminement complet de l'attaque.
Speaker #0
Oui, parce qu'ils ont tout ce qui est dans les attaques au niveau militaire, au niveau des mitraillettes attaques, des defend. Ils peuvent... Ils sont déjà rentrés, comme tu dis. Ils sont déjà rentrés et après... Ils ont déjà énuméré, ils connaissent les faiblesses et après ils se rendent dans le réseau.
Speaker #1
Parfois, entre le moment où ils pénètrent le réseau pour la première fois et le déploiement, donc la dernière étape du ransomware, il peut se passer plusieurs semaines, voire plusieurs mois. Le temps de faire le reconnaissant, de savoir où sont les serveurs intéressants, etc. Pour la petite histoire, une anecdote assez fun. Il y a quelques années, un groupe de ransomware... ils ont publié une espèce de presse release en disant voilà nous avons infecté nous avons pénétré le réseau de telle société et en fait au bout de quelques temps la société c'était tellement je vais parler en termes propres etc parce qu'on a été écouté par pas mal de monde mais c'était tellement le boxon pour parler d'une manière propre qu'ils ont décidé d'arrêter l'attaque et de dire on arrête Merci. On n'arrive pas à retrouver nos jeunes au niveau du réseau. Et donc, on a décidé d'arrêter parce que c'était vraiment impossible de savoir où étaient les serveurs. Aucun réseau bien défini, rien du tout. Et ils ont communiqué sur cette société-là. Je trouve que c'est vraiment…
Speaker #0
Ils ont arrêté quoi du coup la société ? Ils ont coupé ?
Speaker #1
Ils ont arrêté l'infection, ils ont arrêté l'attaque. Ils ont dit, on n'a pas réussi à trouver où étaient les données intéressantes. C'était tellement réparti n'importe quand, n'importe comment. aucune gestion interne, il n'y avait aucune segmentation dans les réseaux, c'était vraiment le B, trois petits points, pour ne pas dire le mot, qu'ils ont décidé, on arrête l'attaque.
Speaker #0
Et du coup, tu donnes le cours depuis plusieurs années maintenant, comment tu as vu le malware, entre guillemets, évoluer ?
Speaker #1
Alors, le malware évolue. Aujourd'hui, un des types de malware qui a le plus de... On met du côté le ransomware, qui est évidemment l'attaque classique. Le malware qui a vraiment le vent en coupe et qui est très utilisé aujourd'hui, c'est tout ce qu'on appelle les infostyleurs. Et c'est là, justement, le nerf de la guerre, c'est la donnée. Donc, les sociétés gèrent énormément de données. Même M. Tout-le-Monde, sur son PC, on a ses photos de famille, on a ses factures, on a toute sa vie qui est digitalisée. Et donc, les malwares, aujourd'hui, font vraiment un focus sur les données. le vol des données, et ensuite ces données sont exfiltrées et ces données sont forcément revendues à d'autres attaquants qui eux peuvent réutiliser les cookies, les credentials qui ont été volés, etc. pour d'autres faits plus, en général, qui sont à ce moment-là plus ciblés. Donc c'est toujours comme ça que ça commence. Première étape, on capture des données, on les revend. Ensuite, un autre groupe prend ces données et a un accès en interne au niveau de la société. C'est ce groupe-là. revend l'accès à la société à un autre groupe qui lui va déployer le ransomware et au passage monétise et reprend un petit peu de son investissement en temps et bien il s'avise comme ça donc les infosteiners ont vraiment le vent en poupe maintenant ce qu'on voit aussi c'est que il y a beaucoup de malheurs qui sont vraiment très très très vicieux en termes de protection tout ce qu'on appelle le anti-debugging etc Et alors, il y a aussi une industrialisation du ransomware, c'est-à-dire que maintenant, je suis un attaquant, je ne vais pas passer mon temps à développer un ransomware, je vais le louer. C'est un ransomware ou un malware, c'est du malware as a service, c'est M-A-S-S, on loue un botnet, on loue un malware, le malware, il va être rebrandé avec mon nom, etc. Et je vais payer à l'utilisation, je vais payer à la victime, je vais payer, etc. Il n'y a pas forcément, chaque groupe d'attaquants n'a pas forcément des développeurs qui vont développer leur propre ransomware. C'est une industrie qui tombe derrière.
Speaker #0
C'est même encore plus dangereux en termes de risque parce qu'il n'y a plus besoin de connaissances. Il ne faut même plus être ce qu'on appelait, nous, il y a 10-15 ans, un script qui dit. À la limite, ils savent comment arriver sur la table. Ils commandent, ransomware as a service et c'est terminé.
Speaker #1
Et je peux te dire que le support qui est donné... par ces groupes-là est parfois meilleure que des sociétés professionnelles. Tu as un problème pour déployer ton ransomware, il les prend en chat, etc. Ils t'aident et tout, c'est du 24x7 et c'est meilleur que du support professionnel. C'est un boîte, c'est impressionnant. Par exemple, dans le cadre des ransomware, ils vendent du logiciel. Enfin, ce n'est pas du business, on reste dans le dark side, mais ils revendent des solutions de malware. qui sont robustes, qui fonctionnent, parce que c'est dans leur intérêt de fournir des bons services, parce qu'ils ont une bonne presse, une bonne cotation, parce qu'on va pouvoir les coter à la fin de l'attaque, etc. Et donc, eux, améliorent leur visibilité. On peut faire confiance à ceux-là parce qu'ils ont un super ensemble, ils ont un bon support, leur logiciel est sans bug, fonctionne bien, etc. C'est comme dans la vie normale, mais du côté obscur.
Speaker #0
Marketing.
Speaker #1
C'est vraiment un monde à part.
Speaker #0
Ça marche comme ça.
Speaker #1
Oui, tout à fait.
Speaker #0
Est-ce qu'il y a des techniques d'analyse qui sont, du coup, devenues obsolètes ?
Speaker #1
Oui et non. En fait, sans rentrer dans les détails techniques, il y a différentes manières de commencer à analyser un malware. Et je ne sais pas si tu as déjà certainement vu ce qu'on appelle la pyramide of pain que tu peux appliquer dans plein de domaines. Donc, tu as une pyramide avec différents niveaux. Tu pars de la base qui est très facile et plus tu montes de niveau pour essayer d'atteindre le sommet de la pyramide, ça devient de plus en plus compliqué. Tu peux appliquer la même chose au niveau de l'analyse de malware. Mais souvent, la première couche, elle ne sert plus à grand-chose parce que, par exemple, tout est encrypté, tout est offusqué, et donc tu ne sais plus trouver d'informations très facilement et en quelques minutes. Mais malgré ça, je recommande toujours de le faire parce que parfois, l'attaquant, c'est un petit peu comme nous, il fait des erreurs, et on va trouver quelque chose très rapidement qui va pouvoir permettre de détecter le malware à plus grande échelle, etc. Donc, voilà, les techniques évoluent, clairement. Mais c'est toujours bon de respecter un schéma, comment c'est l'analyse et de faire step by step.
Speaker #0
Sachant aujourd'hui qu'il y a énormément de malware, et ce que tout le monde fait, et moi aussi, j'ai de l'automatisation partout. Donc, lorsque j'ai de nouveaux samples qui sont détectés, ils sont envoyés dans un framework, c'est envoyé dans des sandboxes, c'est analysé automatiquement. Si le malware est détecté dans la sandbox comme étant de la famille A, B ou C, c'est un nouveau sample, mais c'est plus intéressant pour moi. Par contre, s'il n'est pas détecté, là, ça me dit, celui-là... Peut-être qu'il nécessite un petit peu plus d'attention et on va trouver des choses plus intéressantes. Voilà c'est comment ça fonctionne en général.
Speaker #1
Il peut y avoir des signatures, une sorte de trame de signatures qui fait que tu sais les catégoriser dans certaines familles.
Speaker #0
Très très loin au niveau d'indices du code, tu peux détecter, de nouveau sans rentrer, sans descendre vraiment trop trop bas au niveau des technologies, tu peux détecter que, par exemple, 70% du corps de... de ce malware et partager avec ce malware. Et donc, forcément, ils sont de la même famille ou ils ont été développés par le même gars derrière.
Speaker #1
Tout à l'heure, tu as parlé d'infostealer. Est-ce que c'est ton malware préféré ou tu en as un autre que tu cites souvent en formation pour marquer les esprits ?
Speaker #0
Alors, j'aime bien les infostealer parce que souvent sur Windows, ça peut paraître un peu bizarre, mais il y en a beaucoup qui sont écrits en Python sur Windows. Et ce qui peut paraître un peu... Oui, un peu bizarre parce que Windows vient déjà avec toute une série de scripts. Sur une machine Windows standard, on a du PowerShell, du VBA, du VBS, du JavaScript, etc. Mais ils préfèrent Python parce qu'en fait, Python est moins détecté que les scripts classiques. Et si maintenant, les gens pourraient dire, « Voilà, moi, je n'ai pas Python installé sur mon machine Windows, donc je suis protégé. » Mais pas forcément parce que le premier stage du malware va installer un Python. Et puis, déployer l'infostealer et l'exécuter via le Python qu'on a installé. Donc, c'est pour ça que j'aime bien cela. Sinon, un des malwares que j'aime bien citer dans le cours, c'est un très vieux malware. Probablement, quand je vais te dire le nom, tu vas dire, ah oui, je m'en souviens. Mais je l'aime bien pour quelque chose de bien précis. Le malware en question, c'est WannaCry, un des premiers ransomware qui est sorti en 2017, je pense. Et en fait, je l'aime bien parce qu'il décrit vraiment ce que l'on doit. arriver à faire quand on fait de l'analyse de malware. Je ne sais pas si tu te souviens, WannaCry, il avait le fameux kill switch. Donc, qu'est-ce qu'un kill switch ? C'est un paramètre au niveau du malware qui, si la condition est valide, va empêcher le malware de continuer d'infecter une machine. Et le fameux kill switch au niveau de WannaCry, c'était un nom de domaine monstrueux qui faisait je ne sais pas combien de caractères. Et si le malware réussissait à résoudre le nom de domaine, le malware s'arrêtait. Et pour moi, c'est un exemple classique de kill switch et un exemple classique pour montrer aux étudiants, mais voilà, vous analysez le malware et si vous trouvez un kill switch de cette manière-là, vous le communiquez à tout le monde et le malware, automatiquement, il va se stopper tout seul parce que sur, par exemple, sur votre réseau, tu contactes ton sysadmin et tu dis, écoute, dans le domaine contrôleur, maintenant, tu crées un faux domaine qui est long comme ça, les PC vont pouvoir le résoudre et ton WannaCry va plus continuer de tourner, va être stoppé automatiquement sur l'infrastructure. C'est pour ça que j'aime bien, c'est un très vieux malware, mais j'aime bien citer dans ce cadre-là.
Speaker #1
Malware Analysis, Reverse Engineering, qu'est-ce qu'on y voit en gros ? Est-ce qu'il y a une sorte de capture de flac à la fin ?
Speaker #0
Alors, ça part toujours light, et plus on monte dans les jours, et plus on va loin dans les techniques. En fait, le premier jour, on met tout le monde au même niveau. Parce que, comme je disais tout à l'heure, il n'y a pas vraiment de prérequis. La première question que je pose, c'est qui a déjà analysé un malware ? Certains étudiants l'ont déjà fait, certains hésitent un petit peu de lever le bras. Oui, j'ai un peu regardé de temps en temps, mais le jour 1, on amène tout le monde au même niveau. Le jour 2, ce sont les bases, l'assembleur. Et donc, à la fin de la deuxième journée, en assembleur, ça reste très soft, c'est-à-dire qu'on peut identifier des fonctions, des boucles, des conditions, des systems calls, des API calls, etc. Et en fait, ce qu'on fait pour le reste de la semaine, on réapplique les techniques qu'on a vues, mais en allant toujours un petit peu plus loin et en apprenant, par exemple, vous savez que Microsoft, il a un API call pour faire ça. Et les étudiants ouvrent des yeux comme ça en disant, mais pourquoi est-ce que Microsoft a un API call qui permet de faire ça ? Parce qu'ils en ont besoin dans certains cas bien précis et les malwares utilisent ces API calls à mauvais escient. Et je pense que c'est le jour numéro 4. On parle de code injection. Quand les étudiants n'ont pas d'expérience là-dedans, quand tu leur expliques qu'un programme peut allouer de la mémoire dans un autre programme. et peut copier du code malaisant dans un autre programme et démarrer un trade à distance dans un autre programme, mais pourquoi ? Microsoft permet de faire ce genre de choses. Et voilà. Et donc, on voit toutes des techniques comme ça et on termine le vendredi avec des techniques de self-defense parce que là, on voit vraiment comment le malware peut détecter qu'il tourne dans une sandbox, qu'il peut détecter l'environnement dans lequel il se trouve. Et alors, il y a toutes des techniques qui sont super fun, mais si l'étudiant, si on ne les connaît pas... on va passer à côté de choses très intéressantes. Et donc, voilà un petit peu ce qu'on voit. Et la journée se termine le samedi par un capture de flag, qui est en fait une espèce de challenge. Et donc, les étudiants doivent faire du malware analysis. Et donc, ça leur permet de mettre en pratique directement ce qu'ils ont appris pendant la semaine.
Speaker #1
Le gagnant y reçoit quelque chose ou quelque chose de gratifiant ?
Speaker #0
Le gagnant y reçoit... Attends, j'ai... Le gagnant y reçoit quelque chose, en fait, ce qu'on appelle un coin. C'est ce genre de choses. Ici, ce n'est pas le coin. Oui, c'est un du 710. Donc, en fait, c'est une espèce de médaille comme ça. Et donc, voilà, c'est le coin qui, entre guillemets, ne vaut rien du tout. Je crois que ça vaut 5 dollars. Même pour les étudiants, c'est...
Speaker #1
Il y a une rareté derrière. Tous les étudiants ne vont pas le recevoir. Donc, ils se battent. C'est du serious game. Voilà,
Speaker #0
et quand l'étudiant dit... Moi, j'ai gagné le coin du 610, du 710, etc. Ils sont tous contents, ils sont tous fous parce que c'est une belle récompense.
Speaker #1
Oui, et puis au niveau marketing, c'est assez puissant. C'est assez puissant et c'est intéressant.
Speaker #0
Ensuite, il y a forcément la certification que tu peux passer. Donc, il y a le training. Et alors, si tu veux ensuite la certification, là, tu as quelques mois pour préparer l'examen. Et donc, l'examen, dans le cadre du malware analysis, ça revient à répondre aux questions au niveau des malwares, au niveau de l'analyse, etc. Et là, tu es certifié comme tout enrène de certification. Tu reçois un beau diplôme, etc. Tu es certifié pour X années, pour 4 ans. Et donc, ça te prouve que tu peux analyser du malware.
Speaker #1
Ils doivent aussi, du coup, s'ils sont certifiés, déclarer des Continuous Professional Education ou développement.
Speaker #0
C'est exactement le même principe que tous les grands organismes que l'on connaît, ISACA, IC Square, etc. Donc, en fait, tu es certifié pour 4 ans. au bout de tes 4 années, ce que tu fais, si tu as suffisamment de CPE que tu peux réassigner, tu ne dois pas repasser l'examen, mais si tu n'as pas suffisamment de CPE, tu dois repasser l'examen. Si tu veux continuer forcément dans ta carrière, certains étudiants, ils le font une fois et puis ils font autre chose, ils ne poursuivent pas dans cette carrière-là. Mais c'est exactement le même principe. Quelque part, donc moi je donne cours. Je suis instructeur SANS, mais j'ai suivi et je continue de suivre des trainings SANS. Donc, je passe aussi les certifications. Et étant freelance, pour moi, c'est le meilleur moyen de prouver à mes clients que, regardez, j'ai la certification. Je sais faire des incident handling, je sais faire X, Y ou Z. J'en ai besoin pour mon boulot.
Speaker #1
Comme il y a ce maintien de la certification, le fait de continuer à démontrer qu'on reste, peu importe la forme, mais qu'on reste à jour. Ce n'est pas juste une certification. Après, par expérience, je n'ai jamais fait de cours SANS, mais j'en connais quelques-uns. La barre est assez haute par rapport aux autres certifications. Peut-être pas le CISSP, parce que le CISSP, c'est la Bible de 1200 pages où tu as un centimètre d'épaisseur et un kilomètre de large. Moi, je ne suis pas dans un univers qui est grandif. C'est l'univers, et donc, je l'ai passé en 2009, je n'aimerais pas devoir le repasser en 2025. Ça, c'est une certif qui a... aujourd'hui est très difficile. Le SANS, moi, je le mets à ce niveau-là, voire même plus haut. Mais du coup, pour être instructeur SANS, c'est combien de pourcents ? 90%, 90% de réussite ?
Speaker #0
Pour revenir à la certification, j'ai aussi le CSSP depuis, je crois, 15 ans, si pas plus, enfin, une X années. Quand je l'ai passé, je me souviens que... Oh purée, c'est LA certification ! Et maintenant, avec le recul et un peu plus de bouteilles, je me souviens des questions que j'avais. Quelle est la hauteur minimum d'une enceinte ou d'un datacenter pour éteindre un insomnie de tel type ? Est-ce qu'il faut un instincteur ? Il faut de la pousse ? Il faut des trucs ?
Speaker #1
No way.
Speaker #0
Et retenir les surlulents en sous-scandale.
Speaker #1
Je devais retenir ça par cœur, les forums.
Speaker #0
C'est-à-dire,
Speaker #1
c'est leur système métrique. Ce n'est même pas un système métrique européen compliqué. Mais oui,
Speaker #0
et maintenant, voilà, ma 6D SPIE, je la maintiens parce que c'est aussi une référence quand on dit, voilà, je l'ai et elle est là. Mais au niveau des formes, des certifications SANS, oui, je pense qu'elles sont de très bon niveau. ce qu'il faut savoir, c'est que maintenant, de plus en plus, ils passent vers des questions pratiques. Donc, ce n'est plus vraiment du multiple choice et un petit bonheur la chance, tu fais du Vogelpick, tu vas peut-être réussir à passer la certification. Tu as du practice, tu as une VM qui démarre, tu dois vraiment taper les lignes de commande, les investigations, etc. Maintenant, est-ce qu'elles sont vraiment difficiles ou pas ? J'en discute encore la semaine dernière. J'ai certains étudiants qui me disaient « Ah oui, celle-là, elle était vraiment, vraiment dure. » et un autre disait moi je l'ai passé les deux doigts dans le nez ça dépend des gens voilà si c'est vraiment ton domaine c'est un petit peu comme quand tu expliques à des enfants à l'école pourquoi est-ce que certains aiment bien les maths d'autres préfèrent les géographies etc c'est exactement la même chose c'est les
Speaker #1
goûts les couleurs c'est quoi être un bon instructeur sans pour toi qu'est-ce qu'il faut comme qualité de manière globale pas forcément sur ton cours mais vraiment de manière globale
Speaker #0
Robert Alors, je dirais que là où je pense que beaucoup d'instructeurs sont très, très bons, c'est que ce n'est pas un boulot full-time. C'est-à-dire que moi, je donne cours X semaines par an, mais j'ai mon boulot à côté et dans mon boulot, je pratique. Donc, je mets en pratique ce que je donne dans mon cours. Donc, les gens qui viennent suivre le cours, forcément, si la bus, je suis un timekeeper, j'ai mon planning à voir, etc. Mais j'ai plein d'anecdotes que j'ai vécues. Je peux donner des exemples qui ne sont pas dans les bouquins. Je cite des outils qui ne sont pas dans les bouquins ou des choses comme ça, parce que ça fait partie de... La majorité des instructeurs sont dans ce domaine-là. Et on fait souvent la comparaison avec les profs du NIF. Je ne dénigre pas les profs du NIF, pas du tout. Mais souvent, le prof du NIF, il a fait son cours. Le cours est là. Il l'a réalisé. Il le donne, certains sont un peu détachés de la vie réelle parfois. Ici, on est vraiment les mains dans le cambouis. Donc voilà, moi, je suis donné cours la semaine dernière. Cette semaine-ci, je bosse pour des clients. Je suis vraiment dedans. Et puis, je vais apprendre de nouvelles choses que je pourrais peut-être éventuellement mentionner la prochaine. Je vais donner cours. Donc, le cours évolue comme ça en termes d'anecdotes, etc. Ce qu'il y a aussi, c'est que je pense qu'une des qualités importantes, c'est de pouvoir d'écrire des choses très, très, très, très, très techniques en français ou en anglais. Donc, c'est-à-dire de pouvoir vulgariser un maximum. Parce que quand tu commences à parler de l'assembleur avec, oui, mais tu as les registres au niveau du CPU, les adresses mémoires, etc. Mais si tu arrives à vulgariser et à remplacer ça par, j'invente, c'est un petit peu comme le TCPIP, tu as les paquets, tu peux dire, voilà, j'ai un routeur, j'arrive à un rond-point, j'ai différentes routes qui arrivent, j'ai toutes les voitures. Les voitures s'organisent et puis les voitures partent vers la gauche, vers la droite. Et le routeur est un peu comme le gestionnaire du rond-point. Tu vois, tu vulgarises comme ça. Donc, je pense que c'est aussi une des grandes qualités. Voilà, je n'en vois pas d'autres. Être un bon timekeeper, pouvoir gérer les gens.
Speaker #1
Surtout s'il y a des lab.
Speaker #0
Parce que parfois, tu as des questions qui sont très pertinentes et très intéressantes. Mais à un moment donné, il faut dire, écoutez, stop. On va en discuter peut-être ce soir en buvant un verre ou un truc comme ça ou en aparté. Mais là, moi, j'ai mon planning, j'ai mon cours à voir. Et donc, si vous ne voulez pas qu'on termine tous les jours à 19h, on va continuer le cours. Sinon, on est parti dans toutes les directions. Donc, c'est être un bon timekeeper et pouvoir garder les gens sous contrôle.
Speaker #1
Tu as une anecdote ou un moment marquant dans un de tes cours à partager avec nous pour les auditeurs ?
Speaker #0
Oui, j'en ai un qui est vraiment, vraiment bien. J'étais à Singapour il y a deux ans. je donnais cours, j'avais quoi, une trentaine d'étudiants et il y avait un petit bout de femme, mais elle était toute petite, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, toute, Et elle posait des questions. À un moment donné, je lui dis, mais c'est pas possible. Elle a vraiment du mal, quoi. Et elle posait des questions tout le temps, tout le temps, tout le temps. Et des questions qui me paraissaient basiques. Enfin, basiques, tu vois, je me dis, elle a du mal. Et elle surlignait tout. Elle notait à longueur du temps. Elle surlignait. Elle mettait des post-it dans le cours, etc. Wow. Elle a du mal. Le sixième jour, le CTF, elle a gagné. Et je dis, wow. Et alors, j'ai eu un autre exemple aussi. Mais ça, c'est un petit peu… Ce n'était pas vraiment direct. Oui. L'autre exemple, ça va peut-être plus te parler. À côté des cours, donc quand il y a une semaine de Training Science, à côté des cours il y a plein d'activités il y a des talks qui se donnent le soir etc et alors en général le jeudi le vendredi on fait ce qu'on appelle le NetWars qui est un autre CTF où tu dois résoudre des challenges tu fais du forensic tu dois trouver des trucs dans les logs faire un peu de pain de test etc et j'organisais un NetWars à ce moment là Et il y a une personne qui arrive et elle me dit, ben voilà, je vais jouer, j'aimerais bien jouer un petit peu, mais je n'ai pas beaucoup de connaissances techniques. Est-ce que vous pouvez m'aider ? Oui, bien sûr, bienvenue. Justement, le but, c'est d'avoir du fun, de passer un bon moment. Il y a à manger, il y a de la musique et tout, une chouette ambiance. Et la personne me dit, ben voilà, moi, je gère une équipe technique. Ce n'est pas un ciseau, mais je gère une équipe technique. elle me posait des questions, rien que pour déployer la VM et déployer les outils pour commencer avec le challenge elle a souffert, mais elle a vraiment souffert et ça a duré deux jours et le deuxième jour, elle est revenue me voir en me disant j'ai pas marqué beaucoup de points, j'ai pas gagné beaucoup de challenges, mais en fait maintenant je comprends comment mes équipes parfois, ils ont du mal à trouver les trucs et c'est pas aussi facile que ça ça leur a vraiment ouvert les yeux parce qu'il y avait par exemple, j'ai un ventre une question tiens, sur tel système infecté, quelle est l'activité qui s'est passée, tel jour, quelle heure, comment on peut tout remonter, telle info, il y avait une analyse forensic à faire. Et ça lui a vraiment ouvert les yeux. Et elle dit, mais maintenant, je comprends pourquoi ça peut être difficile parfois et mes gens ont besoin de plus de temps. C'est un whim, quoi. C'est génial, ce genre de réaction. Voilà, c'est deux anecdotes comme ça, quoi.
Speaker #1
Oui. Quand tu disais avec la première, je pensais que du coup, c'était une auditrice sans qui vérifiait comment le cours était donné, tellement... elle pointait tout, mais non, en fait, elle l'a fait, elle a eu le CTF.
Speaker #0
Ça peut arriver, ce genre de choses, parfois, quand tu donnes le cours online, en fait, on a des éditions Zoom, tu sais, on donne le cours online, et parfois, pendant que tu donnes le cours, tu vois, pouf, une nouvelle personne qui vient, qui rejoint le call, qui reste pendant une demi-heure, et puis, pouf, qui s'en va, c'est juste pour voir si tout se passe bien, oui, on est audité, on a des évaluations, etc., il y a tout un processus comme ça derrière, bien sûr.
Speaker #1
Ok, super ! En tout cas, merci beaucoup à toi, Xavier, d'avoir pris le temps de venir partager ton parcours et surtout ta vision. J'espère que ça t'a plu.
Speaker #0
Tout à fait. C'est toujours intéressant d'être de l'autre côté parce que j'écoute le podcast en général. Donc ici, j'ai vu comment tu le préparais. J'ai vu comment ça se passe, toute la machinerie qu'il y a derrière. Donc, un grand merci de m'avoir invité de nouveau. J'espère que j'ai pu peut-être ouvrir des possibilités carrières à des auditeurs, etc. Je suis quelqu'un qui est en général très joignable sur les réseaux sociaux. Donc, si quelqu'un a des questions suite au podcast, n'hésitez pas à venir me faire un petit coucou. Je suis sur LinkedIn, X, Twitter, etc. C'est avec plaisir. Merci beaucoup.
Speaker #1
En fait, c'est exactement pour ça qu'on a lancé Compliance with Autcoma. Pour entendre des voix comme la tienne et à toi comme un breaker qui nous écoute, si cet épisode t'a appris un truc, fait sourire ou juste bousculé une idée reçue, pense à le partager, à t'abonner et à faire tourner l'info. Si tu débutes, j'espère que tu as au moins appris ce que se cachait derrière le malware analysis et le reverse engineering, mais pas que. Et on se retrouve déjà vendredi prochain pour un autre épisode. D'ici là, restez curieux, restez critiques et surtout restez éveillés.

Chapters

Introduction à Xavier Mertens et à la cybersécurité
0sec
Le parcours de Xavier Mertens dans la cybersécurité
50sec
Les menaces actuelles et l'importance de la défense
2min
Spécialisation en reverse engineering et malware analysis
9min
Présentation de SANS et des cours de cybersécurité
15min
Compétences requises pour l'analyse de malwares
17min
Techniques d'analyse et évolution des malwares
33min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Introduction à Xavier Mertens et à la cybersécurité

0sec

Le parcours de Xavier Mertens dans la cybersécurité

50sec

Les menaces actuelles et l'importance de la défense

2min

Spécialisation en reverse engineering et malware analysis

9min

Présentation de SANS et des cours de cybersécurité

15min

Compétences requises pour l'analyse de malwares

17min

Techniques d'analyse et évolution des malwares

33min

Chapters

Introduction à Xavier Mertens et à la cybersécurité

0sec

Le parcours de Xavier Mertens dans la cybersécurité

50sec

Les menaces actuelles et l'importance de la défense

2min

Spécialisation en reverse engineering et malware analysis

9min

Présentation de SANS et des cours de cybersécurité

15min

Compétences requises pour l'analyse de malwares

17min

Techniques d'analyse et évolution des malwares

33min