Fuzzy system : infrastructure de fuzzing

Au sein de Synacktiv, le pôle infra est en charge de fournir aux autres ninjas l'assistance technique et les moyens informatiques nécessaires à leurs missions : infrastructures d'intrusion "jetables", serveurs survitaminés de crackage de mots de passe, hyperviseurs de maquettage, ERP interne... ainsi que de protéger ce système d'information contre les menaces externes... et internes :)

Dans le cadre de cette mission, le pôle infra recherche un stagiaire (H/F) pour améliorer la plateforme de fuzzing interne de Synacktiv, utilisée dans le cadre de recherches de vulnérabilités par le pôle reverse.

Synacktiv a développé un moteur de fuzzing interne, dont la dernière itération repose sur des conteneurs (type Docker). Chaque pôle géographique de Synacktiv dispose d'un serveur local dédié pour lancer une campagne de fuzzing. Avec le développement de Synacktiv, il peut y avoir de la concurrence locale pour l'utilisation d'un serveur s'il y a plusieurs campagnes de fuzzing en cours sur le même site. Par ailleurs, les technologies de conteneurisation maintenant employées par l'outil permettent d'envisager de nombreuses évolutions en terme de lancement à la demande, d'ordonnancement et de mutualisation des ressources.

L'objectif de ce stage est la conception puis le déploiement d'une nouvelle génération d'infastructure de fuzzing permettant les améliorations suivantes par rapport à l'existant :

• Permettre aux coordinateurs de pôle de définir des projets/campagnes de fuzzing "étanches" les uns par rapport aux autres, avec une gestion des droits d'accès par consultant
• Permettre une distribution / priorisation des ressources matérielles des serveurs de fuzz en fonction de l'importance des projets, idéalement "à chaud" (sans devoir interrompre une campagne en cours)
• Disposer d'une plate-forme d'exécution de conteneur à l'état de l'art en terme de performance et de sécurité

    

Les axes de travail suivants sont à considérer :

• Prise en main de l'outil de fuzzing pour comprendre son fonctionnement
• Etude de marché et choix d'une stack technologique pour l'exécution de conteneurs répondant aux besoins
• Durcissement de toute la stack logicielle pour une sécurité optimale par rapport aux enjeux
• Etude de marché et choix du matériel serveur pour déployer le proof-of-concept et le valider avec les utilisateurs cibles
• Réalisation de "glue code" (typiquement : scripts shell, Python) pour permettre la gestion de campagnes de fuzzing
• Propositions d'amélioration de l'existant

    

Le stagiaire peut espérer trouver des tâches d'administration système et réseau et de durcissement de systèmes Linux, ainsi que de scripting/développement (Shell, Python...).

Il est attendu que le stage débouche sur un CDI d’administrateur réseau et systèmes chez Synacktiv.