Skip to main content

Dans cet article, nous allons vous montrer comment Youssef Samouda a réussi à gagner 42 000 $ USD grâce à ChatGPT, un outil d’intelligence artificielle (IA) développé par OpenAI. Nous expliquerons en détail comment il a utilisé cet outil pour identifier les failles de sécurité dans les systèmes informatiques et comment vous pouvez également en tirer profit.

ChatGPT et la pénétration en boîte blanche en bug bounty

Qu’est-ce que la pénétration en boîte blanche ?

La pénétration en boîte blanche est une méthode d’analyse de sécurité qui consiste à étudier directement le code source d’un système informatique pour identifier les failles de sécurité. Cette méthode est également appelée « white-box testing » ou « code review », et est utilisée pour comprendre comment un système est construit et fonctionne, et comment il peut être exploité par des pirates informatiques.

Comment Youssef Samouda a-t-il utilisé ChatGPT ?

Youssef Samouda a utilisé la méthode de pénétration en boîte blanche en utilisant ChatGPT pour analyser directement le code source de Facebook. Samouda a utilisé ChatGPT pour l’aider dans son processus de hacking en utilisant une méthode appelée « hacking assisté par IA ». Le hacker éthique a donné des morceaux de code à ChatGPT pour qu’elle lui explique le fonctionnement du code et pour trouver les failles potentielles de Facebook. Il a également pu utiliser ChatGPT pour identifier les actions utilisateur qui pouvaient être manipulées pour exploiter les failles de sécurité.

Cette méthode automatisée lui a permis de trouver une faille de sécurité qui permettait d’avoir accès à n’importe quel compte Facebook qui utilise une adresse courriel Gmail. Tout cela, grâce à une injection SQL (Structured Query Language), une technique d’attaque qui permet à un pirate informatique d’exécuter des commandes dans la base de données du système, en l’occurence, Facebook.

screenshot youssef samouda
Youssef Samouda, consulté le 24 janvier 2023.

Qui est Youssef Samouda ?

J’ai 21 ans. J’ai grandi en Tunisie. J’ai toujours aimé tout ce qui concerne les ordinateurs depuis mon plus jeune âge. J’ai commencé à programmer à 12 ans et ma curiosité m’a finalement conduit au hacking. D’abord, j’ai appris à « hacker », des techniques pour accéder aux systèmes, comment escalader les privilèges et comment obtenir une persistance. Un meilleur nom que la piraterie est le test d’intrusion. Après cela, j’ai mis l’accent sur la sécurité des applications Web et j’ai beaucoup appris des forums et des salons de discussion IRC. Plus tard, j’ai entendu parler de bug bounty par hasard et j’ai commencé à le faire.

Malwarebytes, consulté le 24 janvier 2023.
Découvrez un entretien de Youssef Sammouda.

ChatGPT et les programmes de bug bounty

Un bug bounty, c’est quoi ?

Un programme de bug bounty est un système mis en place par les entreprises pour récompenser les chercheurs de sécurité qui découvrent des vulnérabilités dans leurs systèmes ou produits. Les entreprises offrent généralement une récompense financière aux chercheurs qui découvrent des bugs et les signalent de manière responsable.

Les programmes de bug bounty sont devenus de plus en plus populaires ces dernières années, car ils permettent aux entreprises de bénéficier d’un examen de la sécurité de leurs systèmes par des experts indépendants, tout en protégeant leurs clients contre les attaques de cybercriminels.

Il existe de nombreux programmes de bug bounty, et de nombreuses entreprises de différents secteurs y participent. Par exemple, Facebook, Google, Uber et Microsoft ont tous des programmes de bug bounty en place. Ces programmes offrent des récompenses allant de quelques centaines à plusieurs milliers de dollars pour les bugs signalés.

Quelles sont les plateformes de bug bounty ?

HackerOne et Bugcrowd sont deux des principales plateformes de bug bounty, ou programmes de reconnaissance des failles de sécurité. Ces plateformes permettent aux entreprises et aux organisations de recruter des hackers éthiques pour tester leur sécurité informatique et identifier les vulnérabilités. Les hackers éthiques qui trouvent des failles peuvent alors être récompensés pour leur travail.

HackerOne est l’une des plateformes les plus populaires pour les programmes de bug bounty. Il a été lancé en 2012 et compte aujourd’hui plus de 1 000 clients, dont GitHub, Shopify, et la NASA. HackerOne permet aux entreprises de lancer des programmes de bug bounty publics ou privés, et de récompenser les hackers qui trouvent des failles en utilisant une plateforme de paiement intégrée.

Capture d'écran du site web HackerOne

Bugcrowd est une autre plateforme populaire de bug bounty qui a été lancée en 2012. Il a un grand nombre de clients, notamment Western Union, FitBit, et Adobe. Bugcrowd offre une variété de programmes de bug bounty, y compris des programmes publics, privés et de partenariat. Il propose également des services de gestion de la vulnérabilité et de la conformité pour les entreprises.

Capture d'écran du site web Bugcrowd

Pour participer à un programme de bug bounty, il est nécessaire de respecter les termes et conditions de l’entreprise et de signaler les bugs de manière responsable, sans causer de dommages ou de perturbations aux utilisateurs finaux. Les hackers éthiques sont ceux qui respectent ces règles.

Est-il illégal d’utiliser ChatGPT pour du hacking ?

L’utilisation de ChatGPT ou tout autre outil de hacking doit se faire dans le cadre légal et éthique. Le hacking éthique implique de ne pas causer de dommages aux systèmes informatiques et aux données des utilisateurs, de respecter les termes et conditions d’utilisation de l’outil utilisé, et de ne pas utiliser l’outil à des fins illégales. Il est crucial de mettre en place des mesures de sécurité pour prévenir les attaques d’injection SQL et d’autres types d’attaques.

Les chercheurs en sécurité de hacking éthiques travaillent en étroite collaboration avec les entreprises pour identifier et corriger les failles de sécurité, plutôt que de les exploiter à des fins malveillantes. Toutes les découvertes de failles de sécurité sont rapportées aux entreprises concernées de manière responsable et en respectant les normes éthiques en matière de sécurité informatique.

Les limites de ChatGPT

Logo de OpenAI - ChatGPT

Il y a plusieurs limites de ChatGPT, qui est encore perfectible selon OpenAI. Bien qu’il soit un outil puissant pour les tâches de traitement de langage naturel, il y a encore des améliorations à apporter pour qu’il soit encore plus précis et efficace.

Capture d'écran de ChatGPT

Par exemple, OpenAI travaille actuellement sur une version payante de ChatGPT qui offrira des fonctionnalités supplémentaires pour les utilisateurs professionnels. Il est également prévu une mise à jour majeure de ChatGPT en 2023, qui devrait voir le jour sous forme de ChatGPT 4, capable de tenir en compte pas moins de 3 trillions de facteurs, contre « seulement » 175 milliards actuellement. La base de données sera également mise à jour pour améliorer les résultats de l’IA. Les développeurs pensent même que l’IA sera capable de détecter la désinformation.

Graphique représentant le nombre de données de ChatGPT3 vs ChatGPT4

L’IA n’est pas encore capable de comprendre les nuances de la langue humaine, il y a donc des limites dans l’interprétation de certaines phrases et contextes. Bien que ChatGPT soit un outil performant, il est encore perfectible et OpenAI travaille continuellement pour l’améliorer.

Conclusion sur Youssef Samouda et ChatGPT

En résumé, cet article décrit comment Youssef Samouda a réussi à gagner 42 000 $ en utilisant ChatGPT pour identifier les failles de sécurité de Facebook, grâce à des vulnérabilités d’injection SQL. Cela permet à Facebook d’améliorer la sécurité de leurs systèmes informatiques et permet à Youssef Samouda d’être récompensé financièrement, au travers sa participation à des programmes de bug bounty. À noter que l’utilisation de ChatGPT doit se faire dans le cadre légal et éthique.