Liam Faucitano - Cybersécurité

Passionné d'informatique et de cybersécurité depuis plus de 10 ans, je m'intéresse particulièrement à la sécurité des systèmes, à l'OSINT et à l'ingénierie sociale. Mes recherches s'inscrivent dans une démarche de responsible disclosure et de sensibilisation. Voici une timeline de mes principales réalisations.

• 2026

  Contre-enquête - Groupe de cybercriminels

  Identification d'un groupe de cybercriminels opérant une infrastructure de phishing couplée à un malware Android (RAT). Découverte de données bancaires de victimes et d'appareils compromis. Analyse technique complète de la chaîne d'attaque et rédaction d'un rapport avec indicateurs de compromission, transmis à l'ANSSI.
  [Voir plus]

  Responsible Disclosure - Plateforme gouvernementale

  Découverte d'une vulnérabilité critique sur une plateforme de collaboration interministérielle du gouvernement français, exposant des données sensibles d'authentification. Rapport de divulgation responsable transmis pour correction.
  [Voir plus]

• 2025

  Responsible Disclosure - E-commerce

  Découverte d'une faille critique sur un site e-commerce générant plus de 100 millions d'euros de chiffre d'affaires, pouvant permettre l'accès aux documents d'identité des clients. En tant que simple client du service, j'ai remarqué des comportements suspects.
  La vulnérabilité concernait l'utilisation d'IDs prédictibles et l'absence de vérification des droits d'accès pour le téléchargement de fichiers sensibles.
  Rédaction d'un rapport complet avec recommandations techniques (UUID, vérification des droits, renommage des fichiers, filigranes, suppression automatique) transmis de manière bienveillante à l'entreprise.
  [Voir plus]

• 2024

  Article - CV

  Rédaction de mon premier article sur le thème de la cybersécurité et de la sensibilisation des utilisateurs. L'article porte sur les bonnes pratiques à adopter lorsqu'on partage son CV sur les réseaux sociaux.
  [Lire l'article]

• 2023

  Cheap Bunny Bash

  Création d'un outil de pentest comme les Bunny Bash (BadUSB) à base d'Arduino pro micro et d'un module Wifi (Wemos D1 Mini).
  Vous pouvez retrouver le projet sur Github.
  [Projet Github]

• 2022

  OSINT

  Analyse de dizaines de bases de données publiquement accessibles contenant de nombreux utilisateurs dans le but de mener des études. Création d'un prototype pour la corrélation de données avec des identités.

• 2020

  Bot

  Bot qui scan des sites web en recherche de CMS obsolètes : Notification à l'ANSSI de 25 sites .gouv.fr possédant des exploits (failles RCE).

  Investigation

  Identification d'un groupe de pirates informatiques opérant du phishing sur Facebook. Analyse de leur infrastructure ayant permis de découvrir des dizaines de milliers de comptes compromis. Notification à Facebook.

• 2019

  Université Lyon 1 - Tous les problèmes ont été remontés au RSSI.

  Caméras IP

  Identification de caméras de vidéosurveillance accessibles sans authentification (INSA Lyon, Rockefeller, etc.).
  [Voir plus]

  Social Engineering

  Exposé sur l'ingénierie sociale (Social Engineering) : test de sensibilisation de la classe dans le cadre de l'exposé, avec un taux de réussite de 73%. Utilisation de l'usurpation d'adresse e-mail (mail spoofing), du phishing et de l'exploitation d'une faille XSS. L'exposé a reçu de très bons retours et les victimes feront preuve d'une vigilance accrue.

  Impression

  Possibilité d'imprimer sur de nombreuses imprimantes du réseau Lyon 1 (ex: CNRS, INSA, etc.).

  Fichiers exposés

  Accès à des fichiers publics du CNRS, Insa, entre autres, représentant un risque de sécurité. Signalé au RSSI.

  Machine à Café

  Identification de vulnérabilités sur les machines à café tactiles Daltys, permettant l'accès à la base de données et la modification des prix. Daltys (Maxi Coffee) n'a jamais donné suite au courrier signalant les problèmes de sécurité.

  XSS

  Identification d'une faille XSS persistante sur le site web de l'université (univ-lyon1.fr). Failles XSS sur ClarolineConnect. Failles XSS sur PoursuiteGEII.

  Vulnérabilité UAC

  Identification d'une possibilité de contournement du Contrôle de compte d'utilisateur (UAC) sur les postes de la bibliothèque universitaire de Lyon 1.

  OSINT

  Découverte de données personnelles exposées publiquement concernant un vidéaste connu (+50 000 abonnés sur YouTube). Contact et accompagnement pour sécuriser et faire retirer ces données.

  NASA.gov

  Notification à NASA.gov d'un sous-domaine avec un CMS obsolète (failles RCE).

• 2018

  Vulnérabilité CMS

  Notification de possibilité d'injection SQL due à un plugin obsolète du CMS Joomla! sur le site du lyceecharliechaplin.com. La lettre du webmaster et du principale du lycée est disponible ici.
  [Voir document]

  Étude RAT & évasion antivirus

  Étude du fonctionnement des RAT et des techniques d'évasion antivirus (FUD).

  XSS

  Diverses notifications pour des failles XSS sur divers sites web.

  Étude SMS Spoofing

  Étude du SMS spoofing via serveur VOIP dans le cadre de recherches sur le Social Engineering.

• 2017

  Vulnérabilité XSS

  Découverte d'une faille XSS sur la page de login du site laclasse.com, pouvant permettre du phishing. Faille signalée.

• 2016

  Vulnérabilité XSS persistante

  Découverte et exploitation d'une faille XSS persistante sur une page annexe du site laclasse.com. Faille signalée.

  RAT

  Apprentissage du fonctionnement des RAT sur Android (AndroidRat, DroidJack etc...).

  Étude Mail Spoofing

  Apprentissage des bases de PHP et découverte du Social Engineering via le mail spoofing.

• 2015

  VBS et Batch

  Création de scripts et d'algorithmes basiques pour automatiser des tâches avec du VBS et du Batch.

  Phishing

  Apprentissage du fonctionnement de phishings "basique" et hébergement web sur Hostinger via FTP.

  RAT

  Apprentissage du fonctionnement des RAT (VantomRAT, Darkcomet, etc.).