Mushroom kingdom

Une plongée dans les pipelines CI/CD avec Mario et Luigi

Une soirée au Bureau Veritas Cybersecurity, pour plonger dans le hacking des pipelines CI/CD.

mouse - simple-line-icons

Pirater le Royaume des champignons : ma soirée au Bureau Veritas Cybersecurity

Bonjour à tous ! Je m'appelle Ilnur, je suis étudiant en 3e année de cyber sécurité à l'Université des sciences appliquées d'Amsterdam (UAAS/HvA), et dans ce post je vais vous parler de mon expérience en aidant Bowser à hacker Mario & Luigi !

Il y a quelques semaines, Sara Busscher m'a contacté pour me demander si j'étais intéressé par le hacking du pipeline CI/CD. Pour être honnête, c'était la première fois que j'entendais parler de CI/CD ou de quelque chose de ce genre, mais sur la base de mon expérience précédente avec la nuit Docker néerlandaise, je n'ai pas hésité à saisir l'opportunité qui m'était offerte.

L'événement a eu lieu dans le nouveau bureau de Bureau Veritas Cybersecurity, juste à côté de la gare Bijlmer Arena, et même si j'ai d'abord eu du mal à trouver le bon ascenseur (le bâtiment est séparé en deux), j'ai fini par me retrouver entre les personnes sympathiques que j'avais rencontrées il y a un an.

Le thème de Mario est indéniable

Avant même que l'événement ne commence, il était clair qu'il avait quelque chose à voir avec "Mario" : les tables étaient couvertes de façon thématique, et il y avait même des jouets disséminés un peu partout ! (Honnêtement, je me demande encore s'ils gardent vraiment des décorations Mario quelque part dans le bureau, ou si c'était juste pour une fois).

Nos hôtes pour la soirée étaient Charleston et George, deux experts en sécurité très expérimentés du Bureau Veritas Cybersecurity. Ils ont rapidement, mais clairement, expliqué ce qu'étaient les pipelines CI/CD, et ont décidé de nous éclairer sur le plan de Bowsers pour les pirater !

Nous nous sommes retrouvés à Devtopia, un paysage plein de tunnels sur le thème de Mario. Ces tunnels étaient des analogies avec les pipelines que nous étions sur le point de pirater.

Foto Ilnur

Ilnur Khakimov

Étudiant en 3ème année de cybersécurité

(UAAS/HvA)

Nous avons passé la soirée à Devtopia, un paysage plein de tunnels sur le thème de Mario. Ces tunnels étaient des analogies avec les pipelines que nous nous apprêtions à pirater.

Pour cela, nous avons obtenu les principes de base du fonctionnement de CI/CD : lorsque Luigi (développeur junior) a travaillé sur son code, il fait une demande d'extraction à travers le pipeline "OnMerge". Avec un peu de chance (pour les hackers professionnels que nous sommes, la "chance" est notre principale arme), nous pourrions être en mesure de voler quelques informations oubliées.

Après avoir complété cet objectif, j'ai appris de nouvelles informations sur le fonctionnement de git. Par exemple, je n'avais aucune idée que les versions précédentes du code étaient accessibles localement (je me voyais facilement faire cette erreur autrement). Heureusement pour nous (je vous l'ai dit, la chance est notre principale arme), George et Charleston avaient préparé quelques commandes utiles dans le bon ordre d'exécution. Cela ne veut pas dire qu'on nous a donné un guide complet pour compléter les défis, puisqu'il faut quand même savoir quand on doit les exécuter.

Malheureusement, j'ai été bloqué pour les deux étapes suivantes (il semblerait que mon git n'était pas configuré correctement ou quelque chose comme ça), et j'ai donc pu regarder ce que les autres faisaient. Heureusement (dois-je me répéter ?), les défis étaient conçus de telle manière que j'ai pu me rattraper lors de la dernière étape ; vous avez besoin des informations de l'étape 1 pour continuer le défi, ce que j'ai réussi à faire.

Une quantité énorme de pizzas

Entre les défis, une énorme quantité de pizzas est arrivée ! Nous avons pu discuter un peu entre nous pendant cette pause, et j'ai rencontré de nouvelles personnes, dont l'une portait un t-shirt récompensant le piratage du gouvernement néerlandais ! C'était très intéressant d'entendre son histoire à ce sujet, et j'ai même pu confirmer ma déclaration sur la chance dans la façon dont il l'a fait (être chanceux doit être un prix pour l'habileté, je suppose).

Malheureusement, j'ai dû partir 30 minutes plus tôt et je n'ai donc pas pu assister à la présentation complète des défis, mais j'ai tout de même reçu un sac à surprises bien pratique pour la maison ! Malgré tout, lorsqu'on m'a raccompagné à la sortie, on m'a demandé si j'avais appris quelque chose de cette soirée. J'ai répondu : "Quelque part à propos de tout, à commencer par l'existence de ces choses".

Pour conclure ce billet, je ne saurais trop recommander aux étudiants de participer aux ateliers de Bureau Veritas Cybersécurité, si l'occasion leur en est donnée ! J'aimerais remercier Charleston et George pour tout ce qu'ils ont fait pour nous ce soir-là, ainsi que Sara pour s'être souvenue de mon type de vin préféré.