Durant mon parcours professionnel, j'ai accumulé diverses expériences en test d'intrusion, principalement sur des applications web, mais aussi sur des applications mobiles et infrastructures réseau et cloud. J'ai réalisé quelques campagnes d'hameçonnage. J'ai aussi de l'expérience en développement Web, principalement avec Drupal, Wordpress, PHP et Django. Bien qu'ayant un plus grand intérêt pour les tests d'intrusions, je suis intéressé par tout type d'emploi relié à la sécurité informatique.
J'ai obtenu les certifications suivantes:
J'ai obtenu une maîtrise en informatique avec mémoire à l'université Laval depuis 2018. J'ai aussi un baccalauréat en informatique depuis 2012 obtenu à l'Université du Québec à Chicoutimi ainsi qu'un diplôme universitaire technologique spécialité Réseaux et Télécoms (obtenu en France en 2010). Lors de mes études à l'Université Laval, je me suis occupé du club de hacking de l'université. J'y ai maintenu le laboratoire du club ainsi qu'organisé plusieurs ateliers. Mon mémoire de recherche porte sur l'anonymat sur internet. J'y ai étudié les réseaux anonymes TOR, I2P et JAP. Vous pouvez consulter mon mémoire en cliquant ici.
Vous pouvez télécharger mon curriculum vitæ au format PDF en cliquant sur le bouton suivant:
Chez CGI, j'ai réalisé plusieurs tests d'intrusion. En grande majorité sur des applications web mais quelquefois sur des applications mobiles. J'ai commencé à développer une expertise dans les tests d'intrusions sur la plate-forme cloud Azure.
Chez GoSecure, j'ai réalisé plusieurs tests d'intrusion ainsi que quelques campagnes de phishing. La plupart de mes tests portés sur des applications web, mais aussi sur réseaux.
Savoir Faire Linux est une entreprise qui promeut les logiciels libres. J'y ai développé plusieurs sites web avec les technologies Wordpress et Django.
Je me suis occupé du club de hacking de l'Université Laval ainsi que de la délégation CFI (Compétitions et Formations Informatiques) durant ma maîtrise en informatique. J'y ai animé le club, présenté des failles et outils reliés au hacking. J'ai administré et maintenu l'infrastructure de notre laboratoire. J'ai installé et configuré un hyperviseur Proxmox où j'ai installé plusieurs machines virtuelles vulnérables. J'ai aussi mis en place des points d’accès WiFi vulnérables.
Le site web de la délégation est accessible à l'adresse suivante: https://cfiul.ca/.
Plusieurs ateliers ont été enregistrés et sont accessibles sur notre chaîne YouTube.
Voici une liste de quelques ateliers que j'ai réalisés:
La majorité des étudiants en informatique sont débutants dans le domaine du hacking. Cet atelier a pour but de les mettre en selle pour qu'ils puissent progresser par eux-mêmes par la suite. J'y montre comment installer le système d'exploitation Kali Linux et je présente brièvement quelques outils de sécurité connus.
Première étape d'un test d'intrusion, la reconnaissance est souvent négligée. Pourtant c'est l'étape la plus importante! Plusieurs outils et techniques sont présentés dans cet atelier comme les Google dork, HTTrack, Dig, Metagoofil et Maltego.
L’étape de reconnaissance a permis essentiellement de collecter une liste d’adresses IP. Celle des scans permet d’associer des adresses IP à des ports et à des services ouverts comme le HTTP ou SSH. Dans cet atelier les outils nmap, Nessus et nikto sont présentés.
Cet atelier débute avec les notions importantes du web tel que le HTML, le Javascript, les différents encodages et le HTTP. Ensuite, le proxy Burpsuite y est présenté ainsi que les injections SQL et les failles XSS.
L'étape d'exploitation est la partie la plus plaisante puisqu'elle consiste à exploiter les vulnérabilités décelées. Le plus souvent, cela consiste à prendre le contrôle de la machine ciblé. La postexploitation est la dernière étape d'un test d'intrusion. Elle consiste à maintenir un accès à la machine compromise. Les outils Metasploit, SET, Hydra et hashcat y sont présentés.
Je m'entraîne de temps en temps sur des sites de challenges de sécurité informatique type CTF (Capture The Flag). Je me concentre essentiellement sur root-me et Ringzer0.
J'ai mis en ligne un blogue minimaliste où je publie des write-ups de challenge que j'ai résolu ou réalisé lors de CTF ou d'exercices en ligne. Vous pouvez y accéder à cette adresse: https://www.salt-hacking-blog.com/
Mon mémoire consiste en un état de l'art des technologies permettant de protéger son anonymat et sa vie privée sur internet. J'y ai étudié les réseaux anonymes TOR, I2P et JAP. Ma contribution consiste à adapter un protocole de rémunération existant sur TOR sur I2P.
J'ai effectué une présentation pour QuébecSec sur ce sujet. La description de la présentation est disponible ici.
Dans le cadre du cours INSE 6140 Malware Defenses and Application Security que j'ai effectué en échange à l'université Concordia, j'ai réalisé une étude sur les attaques de type Return Oriented Programming.
Maîtrise en informatique avec mémoire
Baccalauréat en informatique
Diplôme universitaire de technologie spécialité réseaux et télécommunications
Seuls les modules de réseaux et d'informatique sont énumérés ci-dessous.
(Des cours de mathématiques, de télécommunication et d'électronique ont été complétés)