Wadih - Consultant cybersécurité / Pentester

Ref : 230126M002

Domicile

63400 CHAMALIÈRES
Profil

Consultant cybersécurité (39 ans)
Statut

Freelance

Compétences

PENTEST

Expériences professionnelles

Audit sécurité informatique

Michelin
Jan 2022 - aujourd'hui
Missions :
Audit de la sécurité informatique des usines Michelin (France, Italie, Angleterre).
Rédaction de prescriptions de sécurité informatique.
Elaboration de plans d'action pour corriger les non-conformités observées.
Environnement technique : Window, Linux, VMware Checkpoint Firewall, IPAM, ELK Jira, Service Now
Boulanger
2016 - aujourd'hui
Missions :
Pentesting blackbox d'applications web et mobile.
Explications des vulnérabilités trouvées via des démonstrations et des formations.
Accompagnement dans la correction des vulnérabilités.
Test de solidité des correctifs appliqués.
Environnement technique : Linux, Windows, Android, IOS AWS, Akamai Kubernetes, docker, VM Java, Python, HTML, Javascript Nmap, Metasploit, Burp suite, Dirbuster, Github, Cycript, Dex2jar, Drozer, Chrome devtools...
Auchan
2013 - aujourd'hui
Missions : Pentesting blackbox d'applications web.
Ecriture de rapports en francais.
Réunions de restitution et explications des vulnérabilités trouvées.
Accompagnement dans la correction des vulnérabilités.
Test de solidité des correctifs appliqués.
Environnement technique : Linux, Windows Java, Python, HTML, Javascript Nmap, Metasploit, Burp suite, Dirbuster, Github...
Microentreprise spécialisée en cybersécurité ( neverquit.club )
2012 - aujourd'hui
Tests d'intrusion effectués pour le compte de clients tels que Boulanger, Auchan, Sanef,
ASP serveur, entre autres.
Création de Challenges et de cyber escape games pour former et sensibiliser les
administrateurs et développeurs de mes clients.
Découvertes de plusieurs vulnérabilités critiques dans Google Chrome qui m'a valu d'être
classé parmi les meilleurs chercheurs en cyber sécurité dans le « Google security reward program » en 2016 et 2017.
Recherche en cybersécurité : Mise au point d’outils et de techniques de tests d’intrusion,
découverte de zero day dans plusieurs plateformes.
Développement web en freelance

2009 - 2012
Stage

LIMOS
2009 - aujourd'hui
« Développement et mise au point de la synchronisation temporelle des stations du réseau
OCARI»- projet ANR : OCARI.
Attestation de stage et lettre de recommandation :
********-stage/recommandation.jpeg
********-stage/attestation.jpeg
Sanef, MGI, ASP
aujourd'hui
Missions :
Pentesting blackbox d'applications web et mobile.
Ecriture de rapports en francais.
Explications des vulnérabilités trouvées, via des démonstrations et des formations.
Accompagnement dans la correction des vulnérabilités.
Test de solidité des correctifs appliqués.

Quelques exemples de missions effectuées :
Test d'intrusion effectué pour le compte d'un casino et qui a mené à la découverte et
l'exploitation :
D'une vulnérabilité de type RCE permettant de compromettre les comptes des
joueurs de poker.
D'une vulnérabilité de type de authentication bypass, permettant de prendre le
contrôle à distance des machines à sous.
Création du cyber escape game « Save Neo » pour le besoin d'une formation autour
de docker containers.
Le thème du jeu est inspiré du film « The Matrix » et permet aux développeurs
d'approfondir leurs connaissances, capacités de raisonnement et de recherche.
Test d'intrusion effectué contre un serveur dans azure implémentant des endpoints
API Java. Ce test a mené à la découverte et l'exploitation : D'une vulnérabilité Nginx
de type buffer overrun (même classe de bugs que Heartbleed) D'une vulnérabilité
applicative de type stored XSS, causée par la possibilité de faire des Requêtes CSRL
(CSRF pour le login) et une mauvaise configuration du content-type d'une API.
Environnement technique : Linux, Windows, Android, IOS Azure, AWS Kubernetes, docker, VM Java, Python, PHP, HTML, Javascript Nmap, Metasploit, Burp suite, Cycript, Hopper, Dex2jar, Drozer, Chrome devtools...