En octobre 2016, un développeur suisse connu sous le pseudo swisskyrepo a commencé à compiler ses notes de pentester dans un dépôt GitHub. Rien de révolutionnaire au départ, juste un mec qui en avait marre de chercher la même injection SQL pour la 50ème fois dans ses notes. Mais ce qui est cool c’est qu’au fur et à mesure des années, il a structuré ça proprement avec une section par type de vulnérabilité, des README clairs, des fichiers Intruder pour Burp Suite, des exemples concrets…etc.

Ça s’appelle Payloads All The Things, et c’est accessible ici .

Ce qui était donc au départ un simple carnet de notes personnel est devenu THE référence mondiale en cybersécurité offensive avec des centaines de contributeurs qui ajoutent quotidiennement de nouvelles techniques. C’est devenu la pierre de Rosette (pas la charcuterie, renseignez-vous !! lol) de la sécurité offensive, celle qu’on cite dans tous les cours de certification OSCP, celle qu’on consulte pendant les CTF, celle qu’on recommande aux débutants…

Avant PayloadsAllTheThings, le savoir en cybersécurité offensive était soit verrouillé dans des formations hors de prix à 5 000 boules, soit éparpillé dans des recoins obscurs du web, soit jalousement gardé par des pentesters qui pètent plus haut que leur cul… Des pêt-testeurs quoi…

SwisskyRepo a d’ailleurs fait un choix radical qui est tout mettre en open source, sous licence MIT, accessible à tous. Et le contenu, c’est du lourd !

On y trouve tout ce dont un pentester peut avoir besoin : SQL Injection avec toutes les variantes possibles (MySQL, PostgreSQL, Oracle, MSSQL…), XSS avec les bypasses de filtres, SSRF avec les techniques d’exfiltration, Command Injection, OAuth Misconfiguration, GraphQL Injection, File Inclusion, Authentication Bypasses, API Key Leaks…etc… La liste est hallucinante.

Chaque section est structurée comme un cookbook technique avec le contexte de la vulnérabilité, les payloads classés par type, les bypasses pour contourner les protections, des exemples concrets, et les références vers les CVE ou les articles de recherche.

Par exemple, si vous voulez exploiter un serveur Redis mal configuré, il y a une section pour ça. Si vous voulez comprendre comment contourner un WAF, pareil ! Et si vous cherchez à pivoter dans un réseau interne après avoir compromis une machine, tout est documenté en anglais sur ce site.

Mais swisskyrepo ne s’est pas arrêté là. Son projet a muté en écosystème puisqu’il a aussi créé InternalAllTheThings , un wiki dédié au pentesting interne et aux attaques Active Directory (Certificate Services, Enumeration, Group Policies, Kerberos attacks, Hash manipulation, Roasting techniques…).

Et également HardwareAllTheThings , le même genre de wiki mais sur la sécurité hardware et IoT : JTAG, SWD, UART pour les interfaces de debug, firmware dumping et reverse engineering, Arduino, Raspberry Pi, Flipper Zero pour les gadgets, Bluetooth, CAN, WiFi, RFID/NFC pour les protocoles, SDR et GSM pour la radio, fault injection pour les attaques par canal auxiliaire…

Bref, tout ce qu’il faut savoir pour hacker des objets connectés, des cartes à puce ou des systèmes embarqués.

Du coup, avec cette famille complète de “AllTheThings”, on couvre toute la surface d’attaque moderne, le web, l’infra interne et le hardware. Un pentest complet peut donc se faire avec ces trois ressources comme base de connaissance. Chouette non ?

Bien, sûr c’est à utiliser dans un cadre légal, sinon, vous irez en prison ! C’est pas un forum de script kiddies qui échangent des zero-days volés, c’est une vraie bibliothèque technique pour les professionnels et les étudiants en cybersécurité.

Grâce à ça, un étudiant motivé peut devenir compétent en sécurité offensive en quelques mois juste avec des ressources gratuites : PayloadsAllTheThings pour les techniques, TryHackMe ou HackTheBox pour la pratique, les blogs de chercheurs pour les analyses approfondies, les conférences enregistrées (DEF CON, Black Hat) pour rester à jour.

Le savoir se libère, n’en déplaise aux relous ! Moi je trouve que c’est cool, car ça vulgarise les connaissances, ça les mets à la portée de tous et c’est tant mieux.

Donc un grand merci à SwisskyRepo d’avoir lancé ce projet !

On est en septembre, c’est la rentrée, donc c’est l’occasion pour nous tous, de nous inscrire à ces clubs d’activités qui vous permettent de nous occuper afin de ne pas sombrer dans la dépression. Je pense aux clubs de dessin, de foot, de théâtre, et pour les plus fifous d’entre vous, le club de poterie !

Parce que oui, faire des petits boudins en terre pour les empiler afin d’en faire des vases moches, c’est super rigolo ! En plus si vous savez les émailler, vous pouvez même les vendre une couille dans votre petite boutique artisanale ouverte uniquement de 14h à 16h uniquement les jeudis entre mars et juillet.

Mais vous savez ce qui serait encore plus cool ? Ce serait d’utiliser tout cette argile et ce four incroyable pour réaliser des circuits imprimés capables de faire tourner un Arduino… Hé ouais !

Patrícia J. Reis et Stefanie Wuschitz , deux hackeuses du collectif féministe viennois Mz* Baltazar’s Lab, ont en effet développé une technique pour fabriquer des PCB avec de l’argile ramassée en forêt et de la poudre d’argent recyclée à partir de déchets de bijouterie, tout ça cuit à 700°C au feu de bois.

Je me dis que peut-être que nos ancêtres faisaient déjà du hardware sans le savoir… bah oui, leurs tablettes d’argile étaient quand même les premiers supports de stockage de données de l’humanité. Et aujourd’hui, on boucle la boucle en revenant à ces techniques ancestrales pour créer l’électronique du futur post-apocalyptique qui nous attend…

Leur projet est en réalité parti d’un constat assez brutal, car dans nos smartphones et nos ordinateurs, on trouve beaucoup de minerais issus de conflits. Je pense par exemple au tantale qui vient essentiellement de la République Démocratique du Congo et du Rwanda , où 40 000 enfants travaillent illégalement dans les mines. Je pense aussi aux populations de gorilles des plaines orientales qui ont été décimées à cause de l’exploitation du coltan dans le parc national Kahuzi-Biega… etc., etc.

Alors face à ce désastre, les deux hackeuses ont décidé de tester cette alternative radicale. D’abord, elles sortent se balader dans leur forêt autrichienne avec une bouteille d’eau. Elles ramassent de la terre, y versent un peu d’eau, et si ça devient malléable entre les doigts, bingo, c’est de l’argile.

Ensuite, elles nettoient la terre avec une passoire de cuisine pour enlever les cailloux et les insectes, ajoutent 100ml d’eau par kilo de terre, et pétrissent comme pour faire du pain. Ensuite, pour les pistes conductrices, elles utilisent un genre de tampon imprimé en 3D qu’elles appliquent sur la tuile pour dessiner le circuit, ainsi que de la poudre d’argent récupérée dans des ateliers de bijouterie.

Elles peignent alors à la main les circuits sur l’argile avec un pinceau ultra-fin, comme des enluminures électroniques. C’est un processus lent, méditatif, aux antipodes de la production industrielle frénétique.

Et la forme hexagonale qu’elles ont choisie pour leurs PCB n’est pas anodine puisque c’est la forme optimale dans la nature : les alvéoles des abeilles, les cristaux de basalte, et même la structure du graphène. Elles voulaient en effet pouvoir assembler plusieurs circuits comme des tuiles, afin de créer des réseaux modulaires. Une super idée, mais qu’elles ont du abandonner à cause de la difficulté d’obtenir des bords parfaitement droits avec l’argile naturelle.

Le tutoriel qu’elles ont publié est une mine d’or, car elles y détaillent comment créer un tampon 3D pour imprimer le circuit dans l’argile (1,2mm de profondeur, en tenant compte du rétrécissement de 5% à la cuisson), comment programmer une puce ATmega328 récupérée sur un Arduino défectueux, et même comment souder les composants avec de la pâte à souder sans plomb qui respecte les standards du commerce équitable. Toutes les sources sont même sur Github.

La cuisson au feu de bois est surtout le moment magique. Elles creusent un trou dans leur jardin, construisent un lit de branches sèches pour poser les circuits, ajoutent une deuxième couche de branches fines par-dessus, et laissent le feu faire son œuvre pendant 20 minutes. Les circuits deviennent alors incandescents, puis elles les plongent directement dans l’eau froide. Si l’argile n’a pas de bulles d’air et a bien séché, il résiste au choc thermique.

Ensuite y’a plus qu’à souder les composants et le circuit final peut alors contrôler des capteurs capacitifs, des LEDs, des moteurs, exactement comme un Arduino classique. Elles ont même développé un code open source disponible sur GitHub pour gérer les entrées/sorties.

Alors, faire ses propres PCB avec de l’argile et des matériaux de récup, c’est peut-être utopique, mais face aux 50 millions de tonnes de déchets électroniques produits chaque année et aux ravages des minerais issus de conflit, c’est une jolie forme d’hacktivisme.

Voilà, donc la prochainement que vous aurez envie de vous mettre à la poterie, dites-vous que c’est peut-être plus que ça… Peut-être que vous êtes déjà en train de vous former à une technologie à la fois ancestrale et de pointe qui sera le futur de l’électronique.

Car après tout, entre une tablette d’argile sumérienne et un PCB en terre cuite, il n’y a que 4000 ans et quelques lignes de code Arduino…

Attention, si vous laissez tourner WebGoat sur votre machine, elle sera “extrêmement vulnérable aux attaques”. C’est en tout cas ce qui est écrit en gros sur la page de ce projet OWASP , et c’est pas pour faire joli car WebGoat est une application web délibérément pourrie, truffée de failles de sécurité, créée exprès pour que cous appreniez à les exploiter.

Et c’est génial !!

Car on a enfin un truc qui nous permet d’apprendre vraiment comment les hackers s’infiltrent dans les sites web, sans risquer de finir au tribunal. Parce que bon, scanner le site de votre voisin pour “apprendre”, c’est direct trois ans de prison et 100 000 euros d’amende. Alors qu’avec WebGoat, vous pouvez tout péter tranquille depuis chez vous.

WebGoat , c’est donc un projet open source maintenu par l’OWASP depuis des années qui vous propose uune application web qui ressemble à n’importe quel site lambda, sauf qu’elle est bourrée de vulnérabilités volontaires telles que des injections SQL, XSS, CSRF, contrôle d’accès défaillant… bref, toutes les saloperies du Top 10 OWASP sont là, prêtes à être exploitées.

Et WebGoat fonctionne comme un cours interactif car pour chaque vulnérabilité, vous avez trois étapes : d’abord on vous explique comment ça marche, ensuite vous devez l’exploiter vous-même via des exercices pratiques, et enfin on vous montre comment corriger le problème. On apprend en faisant !

D’après la doc officielle , WebGoat couvre presque toutes les vulnérabilités du Top 10 OWASP. Pour ceux qui ne savent pas, le Top 10 OWASP c’est LA référence mondiale des failles de sécurité web.

Au sein de WebGoat se cache aussi WebWolf, une application séparée qui simule la machine de l’attaquant. Ça tourne sur le port 9090 pendant que WebGoat tourne sur le 8080, comme ça, vous avez vraiment la séparation entre ce qui se passe côté victime et côté attaquant. WebWolf vous permet également d’uploader vos payloads ou outils, de recevoir des données exfiltrées, et même de simuler un serveur mail pour les attaques de phishing.

Et pour installer tout ça, le plus simple c’est Docker :

docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 webgoat/webgoat

Ou si vous préférez la version standalone avec Java :

java -Dfile.encoding=UTF-8 -jar webgoat-2025.3.jar

Une fois lancé, vous accédez à WebGoat sur http://localhost:8080/WebGoat et WebWolf sur http://localhost:9090/WebWolf. Vous vous créez un compte (c’est juste en local, pas de panique) et c’est parti pour les exercices !

Les leçons sont vraiment bien foutues. Prenez l’injection SQL par exemple. D’abord on vous montre comment une requête SQL mal protégée peut être détournée. Ensuite vous devez exploiter la faille pour voler des numéros de cartes bancaires (fausses, hein), et à la fin, on vous explique comment utiliser les prepared statements pour éviter ce genre de conneries.

Et n’allez pas croire que ça s’adresse uniquement aux pro. Non, les débutants ont des exercices guidés avec des indices, et les plus avancés ont des “challenges” sans aucune aide semblables à des CTF (Capture The Flag).

Et pour les développeurs, c’est vraiment un super outil pour comprendre pourquoi votre chef de projet vous casse encore les pieds avec la sécurité ! Car, croyez-moi, une fois que vous avez réussi à dumper toute une base de données avec une simple apostrophe dans un formulaire, vous ne regardez plus jamais les entrées utilisateur de la même façon.

Attention quand même, WebGoat n’est pas un jouet. Les techniques que vous apprenez sont réelles et fonctionneront sur de vrais sites mal sécurisés. D’ailleurs, l’OWASP est très clair là-dessus : “Si vous tentez ces techniques sans autorisation, vous allez très probablement vous faire choper”. Et n’oubliez pas, comme vous ne faites partie d’aucun parti politique, pour vous y’aura vraiment de la zonzon.

D’ailleurs, petite conseil, quand vous faites tourner WebGoat, coupez votre connexion internet ou au moins assurez-vous qu’il n’écoute que sur localhost, parce que si quelqu’un d’autre sur votre réseau découvre que vous avez une application volontairement vulnérable qui tourne… Disons que ça pourrait mal finir ;-).

Ah et WebGoat s’intègre super bien avec d’autres outils de sécurité. Ça permet du coup de se former aussi dans la foulée sur Burp Suite, OWASP ZAP, ou SQLMap.

Bref, installez WebGoat ce weekend et amusez-vous à tout casser. Vous m’en direz des nouvelles !!

Et un grand merci à Letsar pour l’info !

Bon, accrochez-vous bien parce que ce que je vais vous raconter là, c’est du lourd. Des chercheurs britanniques viennent de lancer un projet complètement dingue : créer un génome humain à partir de rien. Genre vraiment à partir de zéro, molécule par molécule. Le truc s’appelle SynHG (Synthetic Human Genome Project) et ils viennent de recevoir 11,7 millions de dollars du Wellcome Trust pour démarrer.

Alors oui, je sais ce que vous pensez. On dirait le début d’un film de science-fiction qui finit mal. Et franchement, vous n’avez pas totalement tort de flipper un peu car jusqu’à maintenant, personne n’osait vraiment se lancer là-dedans à cause des risques évidents : bébés sur mesure, modifications génétiques hasardeuses pour les générations futures, tout ça tout ça.

Les ami(e)s, je vous retrouve dans cette nouvelle vidéo où j’ai été invité par OVHcloud pour visiter un datacenter et étudier de près tous les aspects sécurité. Notamment comment sont protégées des milliards de données, que faire en cas de panne électrique, et comment sont détruites les données de façon certaine. Suivez moi dans cette...

Cet article Immersion dans un datacenter chez OVHcloud (Sécurité des données) est apparu en premier sur Le Blog du Hacker.