Chercheur indépendant en sécurité offensive. Tests d'intrusion sur applications web, code source, iOS et Android, réalisés personnellement, jamais sous-traités. Des engagements réels, des rapports que vos développeurs liront vraiment.
ce que je fais
J'approche vos systèmes comme un vrai attaquant, méthodiquement, créativement, sans raccourcis.
Je lis chaque ligne. Revue manuelle couplée à de l'analyse ciblée pour trouver les failles logiques, vecteurs d'injection, secrets exposés et patterns non sécurisés que vos outils ont manqués.
Test complet en black/grey/white-box des applications web. OWASP Top 10, failles de logique métier, contournements d'authentification, vulnérabilités d'API, et au-delà.
Analyse statique et dynamique de votre app iOS. Rétro-ingénierie d'IPA, interception de trafic, analyse du Keychain, revue des contournements de jailbreak, et revue de code Objective-C/Swift.
Plongée profonde dans les internes d'APK. Décompilation, exposition de composants, vulnérabilités d'intents, stockage de données non sécurisé, et analyse dynamique via hooking et instrumentation.
comment ça marche
Quatre étapes, du premier contact au rapport que vous pouvez vraiment utiliser.
On définit ensemble le périmètre, les objectifs, les règles d'engagement et le planning. Pas de proposition vague. Généralement 30 minutes.
J'attaque votre cible avec les mêmes techniques que de vrais adversaires. Chaque découverte est documentée en temps réel.
Vous recevez un rapport avec chaque vulnérabilité, son impact, la preuve de concept et des étapes concrètes de remédiation. Pas une checklist.
Une fois vos correctifs déployés, je vérifie les corrections. Sans surcoût. Chaque mission inclut une fenêtre de retest gratuit.
pourquoi moi
Je ne lance pas un scanner et je n'appelle pas ça un pentest. Chaque mission implique une analyse humaine. Les scanners ratent la logique métier. Pas moi.
Chaque vulnérabilité dispose d'un chemin de reproduction, d'un extrait de code, de la cause racine et d'un correctif. Vos développeurs peuvent agir immédiatement.
Vous parlez à la personne qui fait l'audit, du cadrage au retest. Pas de chef de projet, pas de junior sous-traité, pas de surprise.
Je signe le NDA avant tout échange. Votre code, vos données, vos résultats, strictement confidentiels. Sans exception.
tarifs
Tarification à périmètre fixe. Missions sur mesure disponibles, contactez-moi pour du multi-cibles ou un retainer mensuel.
Starter
Une cible, périmètre limité. Idéal pour startups, MVP ou fonctionnalités isolées qui ont besoin d'un check sécurité rapide.
Professional
Pentest complet d'une application web ou mobile. Couverture en profondeur, multi-vecteurs, tests de logique métier inclus.
Enterprise
Multi-surfaces, red team, ou code source + web + mobile combinés. Options de retainer mensuel disponibles.
avis clients
Audit clair, rapide et concret. Vulnérabilités identifiées avec des recommandations directement actionnables. Très efficace sur mon application Taskmaster.
Nous avions besoin d'un audit complet de notre app iOS avant lancement. M·SEC a livré en moins d'une semaine, ils ont trouvé des contournements de SSL pinning, du stockage Keychain non sécurisé et deux IDOR critiques dans notre API. Incroyablement rigoureux.
Audit de code source sur notre backend Go et frontend React. Ils ont trouvé des secrets en dur, une faille de désérialisation et plusieurs CVE de dépendances qu'on avait laissé passer. Rapport détaillé et exploitable. J'aurais aimé un délai un peu plus court mais la qualité est là.
Notre app Android gère des données financières sensibles. L'audit de M·SEC a trouvé un path traversal dans la gestion de fichiers et un broadcast receiver exposé qui pouvait fuiter les tokens de session. Le retest était rapide et a confirmé chaque correctif. Hautement recommandé.
On est une petite startup sans équipe sécurité dédiée. M·SEC s'est adapté à notre budget et périmètre, a mené un pentest web ciblé et a expliqué chaque finding sans condescendance. On en est sortis avec une roadmap claire de remédiation. Exactement ce qu'il nous fallait.
Audit full-stack couvrant app web, iOS et Android pour notre produit entreprise. M·SEC a tout coordonné sans accroc, fourni des findings en temps réel pendant l'engagement et le résumé exécutif était prêt pour le board. Pro et rigoureux dès le premier jour.
contact
Dites-moi ce que vous voulez tester via le formulaire ci-dessous, ou appelez-moi directement. Je réponds en quelques heures.