Un fil de discussion intitulé "*Hacking for Profit. Working method*" offre un aperçu rare de la manière dont les communautés clandestines transmettent des informations sur l'exploitation des vulnérabilités et les techniques de piratage sous forme de tutoriel. Le message, écrit par un acteur utilisant le nom de "**Hercules**", n'est ni particulièrement long ni technique. Sa valeur réside dans la décomposition d'un processus complexe en étapes claires et exploitables, couvrant la manière de scanner, détecter, évaluer, exploiter et monétiser les vulnérabilités dans la nature, tout en offrant un aperçu rare de l'importance des programmes de divulgation des vulnérabilités. Les chercheurs de **Flare** ont analysé le message original ainsi que les réponses sur une période de quelques mois. L'activité autour du fil de discussion a montré que son influence ne se limitait pas au message original ; plusieurs utilisateurs ont remercié "**Hercules**", ont demandé à se connecter en privé, se sont décrits comme des débutants ou ont cherché des conseils pour passer de l'apprentissage théorique au piratage pratique. Ce message a été si populaire que la même méthode a été repostée et discutée sur quatre forums supplémentaires, offrant aux acteurs malveillants novices un cadre simple pour comprendre l'exploitation des vulnérabilités et comment en tirer profit.   ## Ce que montre le tutoriel "**Hercules**" explique comment monétiser la découverte d'une vulnérabilité. Il commence par des conseils sur la manière de rechercher les vulnérabilités nouvellement divulguées, en particulier les classes à fort impact telles que l'exécution de code à distance, le contournement d'authentification, la prise de contrôle de compte, l'IDOR et l'exposition de données. Il passe ensuite à l'identification des systèmes exposés, à la validation de la vulnérabilité potentielle de ces systèmes et à la décision de signaler, vendre ou exploiter les résultats.  Trois aspects ressortent du tutoriel de l'acteur malveillant : 1. L'utilisation du framework **Nuclei** de **ProjectDiscovery.io**, très populaire auprès des professionnels de la sécurité offensive. 2. La compréhension des défis auxquels sont confrontés les défenseurs lorsqu'ils corrigent les vulnérabilités nouvellement découvertes. Ces sujets sont abordés plus en détail dans un article de blog éducatif de **Yakir Kadkoda** et **Ilay Goldman** intitulé "50 shades of vulnerabilities: Uncovering Flaws in Open-Source Vulnerability Disclosure" sur le blog d'**Aqua Security**. 3. Le tutoriel est divisé en parties "légales" et "illégales", ce qui signifie que le lecteur peut s'arrêter à n'importe quelle étape et décider de passer de la divulgation de vulnérabilité au piratage. ## L'accessibilité comme principal argument de vente La partie la plus efficace du tutoriel n'est pas une astuce technique ; c'est le ton. "**Hercules**" écrit dans un langage simple et présente le processus comme quelque chose qui peut être appris par l'action. Il soutient que de nombreux tutoriels se concentrent trop sur l'informatique, les systèmes d'exploitation, la programmation ou les paramètres des scanners, alors que les débutants veulent "hacker", "pénétrer" et "obtenir l'accès". Il suggère également que les utilisateurs n'ont pas besoin d'être des ingénieurs logiciels avancés pour commencer. Les outils publics, les modèles communautaires, l'automatisation et même l'assistance par IA sont présentés comme des moyens de réduire la barrière, tandis que les compétences en programmation sont décrites comme utiles mais non obligatoires. Le message sous-jacent est simple : l'écart technique est plus petit que ce que pensent les débutants. Ce message explique une grande partie de la réaction du forum. Un utilisateur a déclaré avoir suivi de nombreux cours de piratage mais ne pas pouvoir les appliquer dans le monde réel. Un autre a dit qu'il ne savait même pas programmer et a demandé si cela poserait un problème. D'autres ont demandé à "**Hercules**" de les contacter en privé, ont dit vouloir apprendre sous sa direction ou ont loué le message comme étant clair et bien structuré.  ## La couche de monétisation La partie la plus intrigante de la méthode est la logique de monétisation. "**Hercules**" décrit plusieurs actions que ses "élèves" peuvent entreprendre une fois qu'une vulnérabilité est découverte : 1. Approcher le propriétaire du serveur/site web ou de la société d'hébergement et demander un paiement en échange d'informations sur la vulnérabilité. **Hercules** note même que certaines personnes paieront pour la divulgation de vulnérabilités, en déclarant : "... vous pouvez ramener votre argent à la maison et être fier de vous." 2. Offrir la découverte sur les marchés clandestins. **Hercules** suggère même qu'un acteur pourrait approcher la victime et vendre les informations ailleurs en même temps. 3. Exploiter la vulnérabilité et détecter ce qui se trouve sur le serveur. L'exécution de code à distance peut devenir un accès vendu à des opérateurs de botnet, utilisé pour des abus de ressources illicites ou exploité pour le vol de données. Les vulnérabilités de prise de contrôle de compte, d'IDOR et de fuite de données sont présentées comme des actifs qui peuvent être vendus rapidement. "**Hercules**" se décrit comme un hacker plutôt qu'un fraudeur, préférant vendre rapidement plutôt que de mener des fraudes en aval. ## La réaction du forum : demande de mentorat pratique Les réponses montrent que le message a résonné car il offrait de l'expérience et de la confiance, pas seulement des informations. Les utilisateurs ont demandé à plusieurs reprises un contact privé, un mentorat et des conseils supplémentaires. Certains ont été bloqués par les limitations du forum et ont déclaré ne pas pouvoir encore envoyer de messages privés. D'autres ont décrit le message comme un point de départ utile et ont attendu du matériel de suivi. Voici quelques réponses du fil de discussion :   Cette longue traîne d'engagement est significative. Un rapport d'exploit sophistiqué peut attirer des lecteurs techniques, mais un flux de travail simple et motivant peut attirer un public plus large. Il peut rester pertinent pendant des mois car il ne dépend pas d'une vulnérabilité spécifique. Il enseigne un état d'esprit réutilisable : surveiller les nouvelles failles, trouver les systèmes exposés, valider, monétiser et répéter. Du point de vue de la threat intelligence, cela rend le fil de discussion précieux même sans indicateurs uniques. Il révèle comment les nouveaux acteurs sont formés à penser, quelles classes de vulnérabilités ils sont encouragés à prioriser, et comment les membres expérimentés du forum transforment la curiosité en participation. Le message est également un canal de recrutement discret, "**Hercules**" invitant à plusieurs reprises les utilisateurs à le contacter en privé. ## Pourquoi c'est important pour les défenseurs Ce tutoriel met en évidence plusieurs aspects critiques pour des programmes de gestion des vulnérabilités efficaces : 1. **Priorisation des vulnérabilités critiques** : L'accent mis par les hackers en herbe sur les vulnérabilités à fort impact telles que RCE, le contournement d'authentification et la prise de contrôle de compte souligne la nécessité pour les organisations de prioriser la correction et l'atténuation de ces types de failles spécifiques. 2. **Compréhension de l'état d'esprit de l'attaquant** : Le tutoriel offre un aperçu précieux de la manière dont les nouveaux acteurs malveillants sont formés, des outils (**Nuclei**) qu'ils utilisent et de la manière dont ils identifient et exploitent les vulnérabilités. Ces connaissances peuvent éclairer les stratégies défensives et les efforts de threat intelligence. 3. **La transition "légal" vs "illégal"** : La distinction claire entre la divulgation responsable et l'exploitation pure et simple au sein du tutoriel sert de rappel brutal que même la recherche de vulnérabilités bien intentionnée peut rapidement basculer vers une activité malveillante, soulignant l'importance de mesures de sécurité et de surveillance robustes.