Recrutement

XMCO recherche en permanence de nouveaux talents. Nous recrutons des profils juniors, expérimentés, stagiaires Bac+4, +5 (Ingénieur ou Master universitaire) et alternants :

Pourquoi travailler chez XMCO ?

  • Partage des connaissances et des expertises de passionnés
  • Esprit de groupe / d’équipe
  • Locaux au coeur de Paris
  • Temps alloué aux travaux R&D
  • Management situationnel / personnalisé pour chaque consultant
  • Formations internes hebdomadaires (XMCON)
  • Participation aux conférences nationales et européennes
  • Intégrer une aventure humaine

Vous pouvez soumettre votre candidature par email : recrutement at xmco.fr

Joignez votre CV et lettre de motivation en PDF, ainsi que vos éventuelles références (blog, site web, publications…).

20180621-2227

20171121-6377

20171121-6389 2

Pentesteurs juniors et confirmés

XMCO recrute des pentesteurs, possédant une première expérience, afin de renforcer notre pôle Audit.

Au sein d’une équipe de 25 consultants, vous serez chargé(e) :

  • de réaliser des tests d’intrusion externes et internes, web, infrastructure, mobile, SAP, Red-team, Cloud, etc. en binôme avec un consultant expérimenté
  • de participer aux travaux R&D du cabinet (développement d’outils Redteam et de threat-intelligence, plateforme de phishing, méthodologies internes, rédaction d’articles pour l’ActuSécu, reverse, etc.)
  • de participer aux conférences internes (XMCon) et externes (HITB, Blackhat, SSTIC, HIP, BruCon, Hack.lu, etc.)

Compétences requises :

  • Passionné(e) par la sécurité offensive
  • Connaissances techniques en sécurité (réseau, système et applications)
  • Maîtrise des meilleures pratiques de sécurité pour les systèmes d’exploitation Windows/Unix et les équipements réseau
  • Maîtrise d’un langage de programmation (Java, C) et d’un langage de scripting (Perl, Ruby, Python) et des méthodes de développement sécurisé OWASP
  • Envie d’apprendre, d’évoluer et de partager ses connaissances au sein d’une équipe de 25 pentesteurs expérimentés
  • Forte capacité d’analyse et de synthèse pour s’adapter aux contextes et métiers de nos clients
  • Capacités relationnelles et rédactionnelles importantes

Les consultants travaillent en équipe et en mode « projet ». La rémunération est de type fixe + variable.

Consultant sécurité PCI DSS QSA

XMCO recrute des consultants qui souhaitent se spécialiser dans les audits PCI DSS.

En tant que consultant au sein de l’équipe QSA, vous serez chargé(e) :

  • d’accompagner les clients dans leur projet de mise en conformité
  • de réaliser des analyses d’écart PCI DSS
  • d’accompagner les QSA sur des projets de certification d’environnements variés (monétiques, centre d’appels, ecommerce, retails, hôtellerie…)
  • d’encadrer des consultants lors de la réalisation de tests d’intrusion d’environnements certifiés
  • d’améliorer/développer nos outils internes
  • de rédiger des documentations
  • de participer à la rédaction des publications du cabinet (ActuSecu)

Compétences requises :

  • Profil ingénieur
  • Maitrise du standard PCI DSS
  • Expérience dans les audits techniques
  • Certifié(e) QSA ou possédant une expérience significative dans la mise en conformité PCI DSS (accompagnement, conseil, rédaction de documentations, mise en place de processus)
  • Capacités relationnelles et rédactionnelles importantes

Les consultants travaillent en équipe et en mode « projet ». La rémunération est de type fixe + variable.

Consultant sécurité junior et confirmé (CERT)

XMCO recrute des consultants juniors et des consultants dotés d’une première expérience significative pour renforcer notre CERT et pour participer aux différentes missions qui lui incombent.

Le CERT-XMCO est l’entité en charge de la surveillance et de la prévention des menaces impactant les systèmes et applications de nos clients.

Au sein d’une équipe jeune, dynamique et riche en compétences, vous partagerez votre temps entre trois activités complémentaires :

  • La veille en vulnérabilités
  • La protection de nos clients (par la surveillance de leur exposition sur Internet via notre service de Cyber-Surveillance Serenety),
  • Le développement de nouveaux outils permettant de développer nos services (R&D).

Concrètement, votre quotidien sera rythmé par les activités suivantes :

  • Qualifier les vulnérabilités, évaluer leurs impacts et leur criticité, et synthétiser ces analyses sous forme de bulletins
  • Analyser l’actualité de la sécurité et participer à la production des publications du cabinet (Blog, ActuSecu)
  •  Analyser les événements remontés par notre service de Cyber-surveillance, et faire des recherches manuelles ciblées (approche « Pentest ») pour aider nos clients à anticiper des attaques (Threat-Intel)
  • Imaginer les pistes d’amélioration de nos différents services et outils (intégration de nouvelles sources et de nouvelles méthodes de recherche)Développer de nouveaux outils innovants permettant de répondre aux besoins de nos clients

Profil recherché :

  • Ingénieur, Master 2, Mastère spécialisé ou équivalent.
  • Curieux, motivé et passionné par la sécurité informatique (en particulier « sécurité défensive »)
  • De 0 à 3 ans d’expérience professionnelle
  • Envie d’apprendre, d’évoluer et de partager ses connaissances au sein d’une équipe de 10 consultants experts dans leur domaine

Compétences requises :

  • Forte capacité d’analyse et de synthèse
  • Bonne qualité rédactionnelle (français et anglais)
  • Connaissances techniques en sécurité (système, réseau et applications)
  • Connaissances des Meilleures Pratiques en matière de sécurité (Système, réseau, applications)
  • Maîtrise du Shell Unix et du Python (ou tout autre langage de Scripting)
  • Rigueur et curiosité, esprit d’équipe
  • Capacités relationnelles importantes

Le stage est prévu pour une durée de 5 mois minimum.

Stagiaire sécurité Pentest

Le test d’intrusion est le coeur de métier d’XMCO depuis 15 ans.

Le cabinet XMCO propose un stage de fin d’études (5e année) sur le thème de la sécurité informatique et des tests d’intrusion.

Si vous souhaitez devenir un expert de l’intrusion au travers de formations techniques abordant des sujets divers et variés, dans un cadre sympathique et encadré par une équipe motivée, ce stage est fait pour vous !
Le/La candidat(e) retenu(e) aura pour mission de :

  • Réaliser une veille quotidienne sur les nouvelles vulnérabilités et leurs correctifs ;
  • Comprendre et être en mesure d’identifier des failles dans les applications Web (pentests) et des applications mobiles (iOS et Android) ;
  • Appréhender les vulnérabilités impactant des équipements et des infrastructures critiques ;
  • Se former à réalisation des missions d’audit et de tests d’intrusion menées par le cabinet ;
  • Produire une analyse d’une vulnérabilité technique ou d’attaque en cours qui sera publié au sein de notre magazine « ActuSécu ».

Prérequis & compétences attendues :

  • Stage de fin d’études Ingénieur ou Master 1/2, Mastère spécialisé ;
  • Vif intérêt/passionné par la sécurité informatique (challenge, CTF, etc.) ;
  • Connaissances en Shell Unix, C, un langage de scripting (Perl, Ruby, Python, etc..), Java, JavaScript, SQL ;
  • Connaissances des environnements Linux et Windows ;
  • Connaissances de l’OWASP est un plus ;
  • Méthodologique, rigoureux, organisé et avoir le sens des responsabilités ;
  • Rédactionnel en français et anglais de qualité ;
  • Bonne présentation et aptitudes aux présentations orales.

Le stage est prévu pour une durée de 5 mois minimum.

Stage CERT-XMCO

Le CERT-XMCO, entité en charge de la surveillance et de la prévention des menaces impactant les systèmes et applications de nos clients, propose des stages de fin d’études (5ème année).

Au sein d’une équipe jeune, dynamique et riche en compétences, vous partagerez votre temps entre trois activités complémentaires :

  • La veille en vulnérabilités
  • La protection de nos clients (par la surveillance de leur exposition sur Internet via notre service de Cyber-Surveillance Serenety),
  • Le développement de nouveaux outils permettant de développer nos services (R&D).

Concrètement, durant la durée de votre stage, votre quotidien sera rythmé par les activités suivantes :

  • Qualifier les vulnérabilités, évaluer leurs impacts et leur criticité, et synthétiser ces analyses sous forme de bulletins
  • Analyser l’actualité de la sécurité et participer à la production des publications du cabinet (Blog, ActuSecu)
  • Analyser les événements remontés par notre service de Cyber-surveillance, et faire des recherches manuelles ciblées (approche « Pentest ») pour aider nos clients à anticiper des attaques
  • Chercher en permanence des pistes d’amélioration pour nos différents services et outils (intégration de nouvelles sources et de nouvelles méthodes de recherche)
  • Développer de nouveaux outils innovants permettant de répondre aux besoins de nos clients

Compétences requises :

  • Stage de fin d’études Ingénieur ou Master 2, Mastère spécialisé.
  • Bonne qualité rédactionnelle (français et anglais)
  • Rigueur et curiosité, esprit d’équipe
  • Connaissances techniques sécurité, réseau, système et applications sont un plus
  • Maîtrise du Shell Unix et du Python

Le stage est prévu pour une durée de 5 mois minimum.

 

Stagiaire sécurité R&D

XMCO recrute un alternant ou 4ème année afin de participer aux activités de R&D du cabinet.

Encadré(e) par le responsable de chacun des projets, vous aurez pour objectifs de vous approprier et aider au développement d’outils internes :

En tant que stagiaire R&D, vous serez également chargé(e) de :

  • Participer à la veille quotidienne sur les vulnérabilités, les exploits et l’actualité de la sécurité informatique.
  • Contribuer aux travaux de publication R&D du cabinet (blog et ActuSecu).

Crackstation

Description du sujet :

Grâce au GPU, le cassage de mots de passe est entré dans une nouvelle dimension. Néanmoins, contrairement à un processeur, qui peut traiter plusieurs opérations en parallèle (multi-core, multi-thread), le GPU ne peut ainsi réaliser qu’un seul calcul à la fois. Le but est donc d’optimiser et de gérer de manière intelligente et collaborative les différentes tâches de cassage de mots de passe soumises en parallèle par nos consultants.

Vous participerez donc aux optimisations de l’outil déjà en place. Les principaux objectifs seront de :

  • Améliorer l’intégration des 2 principaux outils utilisés (JohnTheRipper et Hashcat) #Parsing #Socket #C #Python #Docker
  • Garantir la sécurité des données identifiées #OWASP #Audit
  • Mettre en place une méthode de file d’attente intelligente #Cellery #RabbitMQ #RQ
  • Automatiser les tâches récursives pour optimiser les processus de cassage de mots de passe
  • Réaliser des tests de performance pour améliorer les templates XMCO #statistiques #Rainbow #Rockyou #Markov #Leaks

Compétences requises ou conseillées :

  • Programmation Python. La majeure partie des outils du cabinet sont développés dans ce langage. Une Pyscine Python (remise à niveau) est programmée au début du stage.
  • Connaissance des outils JohnTheRipper et Hashcat est recommandée.
  • Expérience en programmation orientée file d’attente est un plus.
  • Passion pour la sécurité informatique.
  • Bonne qualité rédactionnelle (français et anglais).
  • Rigueur et curiosité, esprit d’équipe.

BigBuster

Description du sujet :

Notre service de cyber surveillance, nommé Serenety®, utilise des bases de données internes recensant et indexant quotidiennement des milliards d’informations publiques (adresses mail, noms de domaines …). Ces données sont donc analysées et surveillées quotidiennement afin de détecter des menaces potentielles pouvant affecter nos clients.

Ces informations sont également utilisées lors des phases de reconnaissance des tests d’intrusion RedTeam. En effet, la clé de la réussite d’un test d’intrusion Red Team est la discrétion. En cas de détection par les équipes internes de nos clients, la mission s’arrête. Le meilleur moyen de réaliser la cartographie de l’entreprise sans être détecté est donc de réaliser une phase de découverte dite « passive », en s’appuyant sur les données ainsi collectées.

Vous serez donc intégré(e) aux travaux de R&D en cours sur les différents outils orientés OSINT. Les principaux objectifs seront d’ :

  •  Indexer de nouvelles sources d’informations #OSINT #Shodan
  • Optimiser le temps de traitement des phases d’indexation et de recherche des informations #Elasticsearch #Python
  • Agréger toutes les données et améliorer la présentation du résultat de la recherche #Angular #D3JS

Compétences requises ou conseillées :

  • Programmation Python. La majeure partie des outils du cabinet sont développés dans ce langage. Une Pyscine Python (remise à niveau) est prévue au début du stage.
  • Première expérience avec la technologie ElasticSearch appréciée.
  • Passion pour la sécurité informatique.
  • Bonne qualité rédactionnelle (français et anglais).
  • Rigueur et curiosité, esprit d’équipe.

AGILEBuster

Description du sujet :

Dans le cadre de campagnes de tests d’intrusion à grande échelle, XMCO a développé un outil permettant d’automatiser les tâches basiques, lancées au démarrage des tests d’intrusion (scans de port, découverte de services, bruteforce, OSINT …). AGILEBUSTER permet ainsi au consultant de se concentrer sur l’exploitation des vulnérabilités complexes et d’identifier rapidement les sites internet les plus vulnérables.

Ce framework a pour vocation d’être flexible, afin d’intégrer facilement tous les outils préférés des pentesteurs ainsi que les scripts développés par chaque consultant. L’automatisation et l’enchaînement des tâches sont réalisés en fonction des résultats de chaque outil lancé précédemment.

Vous serez donc intégré(e) aux travaux de R&D sur AGILEBUSTER. Les principaux objectifs seront de :

  • Implémenter une interface utilisateur simple permettant un travail collaboratif #Angular #Python
  • Développer une API permettant aux consultants d’ajouter leurs propres résultats #Swagger #Flask
  • Automatiser le déploiement de l’infrastructure utilisée par l’outil #Docker #Kubernetes
  • Optimiser le moteur de l’outil afin de supporter les milliers de scans lancés de manière simultanée #RQ # Python #C #Daemon

Compétences requises ou conseillées :

  • Programmation Python. La majeure partie des outils du cabinet sont développés dans ce langage. Une Pyscine Python (remise à niveau) est prévue au début du stage.
  • Une bonne connaissance des outils du pentester est souhaitée.
  • Une expérience en programmation orientée “file d’attente” est un plus.
  • Passion pour la sécurité informatique.
  • Bonne qualité rédactionnelle (français et anglais).
  • Rigueur et curiosité, esprit d’équipe.

IAMBuster

Description du sujet :

IAMBUSTER est un outil qui automatise l’extraction et l’analyse des mots de passe et des droits des utilisateurs. Le scénario le plus utilisé est l’analyse des Active Directory. Pour ce faire, XMCO a développé (en langage C) son propre extracteur permettant d’extraire, dans un temps limité (quelques minutes), les informations (hashs, groupes, droits utilisateurs, types de compte …) associées aux comptes de plusieurs centaines de milliers d’utilisateurs.

Le consultant peut alors utiliser les sorties des différents extracteurs d’IAMBUSTER afin de lancer l’analyse.

Vous serez donc intégré(e) aux travaux de R&D en cours sur IAMBUSTER. Les principaux objectifs seront d’ :

  • Implémenter les dernières méthodes de chiffrement au sein des modules en charge de l’extraction des données de compte #C #Windows #Crypto
  • Améliorer la gestion des files d’attente permettant le travail collaboratif #RQ #Python
  • Améliorer et produire un Dashboard dynamique #D3JS #Angular
  • Développer de nouveaux extracteurs permettant de supporter de nouvelles technologies #OracleWorld

Compétences requises ou conseillées :

  • Programmation Python. La majeure partie des outils du cabinet sont développés dans ce langage. Une Pyscine Python (remise à niveau) est prévue au début du stage.
  • Des notions de développement web avec des frameworks modernes facilitant la restitution des données sont un plus.
  • Connaissance de l’environnement Windows (Active Directory / GPO)
  • Passion pour la sécurité informatique.
  • Bonne qualité rédactionnelle (français et anglais).
  • Rigueur et curiosité, esprit d’équipe.

Phisherman

Description du sujet :

Le moyen le plus simple et le plus utilisé pour s’introduire au sein d’un système d’information est d’utiliser le facteur humain.

Afin de pouvoir réaliser des tests à grande échelle (plusieurs dizaines de milliers de mails), XMCO a développé une plateforme nommée Phisherman. En complément de l’envoi de mails, l’application permet de réaliser un suivi précis et anonymisé de chaque cible.

Vous serez donc intégré(e) aux travaux de R&D en cours sur Phisherman. Les principaux objectifs seront de :

  • Tester les nouveaux vecteurs d’infection au travers de documents Office #Macro #RTF #Powershell
  • Réduire le temps de déploiement des plateformes #Ansible #Docker #AWS
  • Mettre en place un environnement de test déconnecté d’Internet pour tester les méthodes d’échappement #AV #SOC
  • Améliorer et produire un Dashboard dynamique #D3JS #Angula

Compétences requises ou conseillées :

  • Programmation Python. La majeure partie des outils du cabinet sont développés dans ce langage. Une Pyscine Python (remise à niveau) est prévue au début du stage.
  • Passion pour la sécurité informatique.
  • Bonne qualité rédactionnelle (français et anglais).
  • Rigueur et curiosité, esprit d’équipe.

PANBuster

Description du sujet :

PANBuster est un outil en ligne de commande qui permet de rechercher facilement et rapidement les numéros de cartes bancaires pouvant être présents sur les serveurs utilisés dans l’environnement monétique.

PANBuster a été conçu pour aider les auditeurs, administrateurs système, développeurs et auditeurs à identifier la présence de ces données sensibles avec un taux de faux positifs minimum.

Vous serez donc intégré(e) aux travaux de R&D en cours sur PANBuster. Les principaux objectifs seront d’ :

  • Optimiser les différents algorithmes utilisés pour détecter les numéros de cartes #Luhn #C++ #ASM
  • Trouver de nouveaux algorithmes permettant de réduire le taux de faux positifs #Math
  • Mettre en place un environnement de test des différents OS utilisés #Windows #Linux #FreeBSD #Solaris #HPUX #Oldschool
  • Participer à l’implémentation de nouvelles fonctionnalités #C++

Compétences requises ou conseillées :

  • La maîtrise du C, du C++ ou de l’ASM est souhaitée.
  • Passion pour la sécurité informatique.
  • Bonne qualité rédactionnelle (français et anglais).
  • Rigueur et curiosité, esprit d’équipe.