Wadih - Consultant cybersécurité / Pentester
Ref : 230126M002-
Domicile
63400 CHAMALIÈRES
-
Profil
Consultant cybersécurité (40 ans)
-
StatutFreelance
-
Tarif Journalier MoyenVoir le tarif

-
Audit sécurité informatique
Michelinjuillet 2022 - aujourd'huiMissions :
Environnement technique : Window, Linux, VMware Checkpoint Firewall, IPAM, ELK Jira, Service Now
Audit de la sécurité informatique des usines Michelin (France, Italie, Angleterre).
Rédaction de prescriptions de sécurité informatique.
Elaboration de plans d'action pour corriger les non-conformités observées. -
Boulanger2016 - aujourd'hui
Missions :
Environnement technique : Linux, Windows, Android, IOS AWS, Akamai Kubernetes, docker, VM Java, Python, HTML, Javascript Nmap, Metasploit, Burp suite, Dirbuster, Github, Cycript, Dex2jar, Drozer, Chrome devtools...
Pentesting blackbox d'applications web et mobile.
Explications des vulnérabilités trouvées via des démonstrations et des formations.
Accompagnement dans la correction des vulnérabilités.
Test de solidité des correctifs appliqués. -
Auchan2013 - aujourd'hui
Missions : Pentesting blackbox d'applications web.
Environnement technique : Linux, Windows Java, Python, HTML, Javascript Nmap, Metasploit, Burp suite, Dirbuster, Github...
Ecriture de rapports en francais.
Réunions de restitution et explications des vulnérabilités trouvées.
Accompagnement dans la correction des vulnérabilités.
Test de solidité des correctifs appliqués. -
Microentreprise spécialisée en cybersécurité ( neverquit.club )2012 - aujourd'hui
Tests d'intrusion effectués pour le compte de clients tels que Boulanger, Auchan, Sanef,
ASP serveur, entre autres.
Création de Challenges et de cyber escape games pour former et sensibiliser les
administrateurs et développeurs de mes clients.
Découvertes de plusieurs vulnérabilités critiques dans Google Chrome qui m'a valu d'être
classé parmi les meilleurs chercheurs en cyber sécurité dans le « Google security reward program » en 2016 et 2017.
Recherche en cybersécurité : Mise au point d’outils et de techniques de tests d’intrusion,
découverte de zero day dans plusieurs plateformes. -
Développement web en freelance
2009 - 2012 -
Stage
LIMOS2009 - aujourd'hui« Développement et mise au point de la synchronisation temporelle des stations du réseau
OCARI»- projet ANR : OCARI.
Attestation de stage et lettre de recommandation :
********-stage/recommandation.jpeg
********-stage/attestation.jpeg -
Sanef, MGI, ASPaujourd'hui
Missions :
Environnement technique : Linux, Windows, Android, IOS Azure, AWS Kubernetes, docker, VM Java, Python, PHP, HTML, Javascript Nmap, Metasploit, Burp suite, Cycript, Hopper, Dex2jar, Drozer, Chrome devtools...
Pentesting blackbox d'applications web et mobile.
Ecriture de rapports en francais.
Explications des vulnérabilités trouvées, via des démonstrations et des formations.
Accompagnement dans la correction des vulnérabilités.
Test de solidité des correctifs appliqués.
Quelques exemples de missions effectuées :
Test d'intrusion effectué pour le compte d'un casino et qui a mené à la découverte et
l'exploitation :
D'une vulnérabilité de type RCE permettant de compromettre les comptes des
joueurs de poker.
D'une vulnérabilité de type de authentication bypass, permettant de prendre le
contrôle à distance des machines à sous.
Création du cyber escape game « Save Neo » pour le besoin d'une formation autour
de docker containers.
Le thème du jeu est inspiré du film « The Matrix » et permet aux développeurs
d'approfondir leurs connaissances, capacités de raisonnement et de recherche.
Test d'intrusion effectué contre un serveur dans azure implémentant des endpoints
API Java. Ce test a mené à la découverte et l'exploitation : D'une vulnérabilité Nginx
de type buffer overrun (même classe de bugs que Heartbleed) D'une vulnérabilité
applicative de type stored XSS, causée par la possibilité de faire des Requêtes CSRL
(CSRF pour le login) et une mauvaise configuration du content-type d'une API.