Posted on 2025-03-31 :: 1253 Words :: Tags: cbbh, htb, certification, web

Le 28 mars 2025, j’ai obtenu la certification Certified Bug Bounty Hunter - CBBH de HackTheBox. Une belle étape pour moi, et l’occasion parfaite de partager mon retour d’expérience !

Remise en context

Je suis en 3ᵉ année d’études supérieures, avec un background de développeur, plutôt orienté web. Cette certification, c’était pour moi un moyen de me fixer un objectif à moyen terme, atteignable et motivant.

Après plus d’un an en sécu et un petit échec à l’OSCP en fin d’année 2024, j’avais besoin de retrouver confiance en moi en situation d’examen. Mais au-delà de ça, je voulais aussi m’exercer à produire un vrai rapport professionnel et complet.

On est le 10 Octobre et je démarre l'aventure CBBH.

Ma préparation à l'examen

C’était clair : pas le droit à l’erreur. Même si j’avais pas mal de connaissances en web, dans ma tête, rien n’était vraiment maîtrisé (#LaConfianceDuType). J’ai donc décidé de repartir de zéro.

Côté formation, j’ai doublé chaque module du PATH CBBH avec son équivalent sur PortSwigger. L’idée, c’était de m’obliger à creuser chaque vulnérabilité vue, tout en enchaînant un max de challenges. PortSwigger propose plus de labs et surtout non guidés, alors que HTB ne met à disposition "que" les skill assessments (même si très bons au passage, car ils obligent à bien comprendre les vulnérabilités abordées dans les modules).

Préparation bonus

En bonus, j’ai aussi enchaîné un max de challenges web sur HackTheBox, histoire de rester chaud et de garder la mentalité HTB. J’ai pas cherché loin : j’ai fait tous les very easy. Pas forcément utile, surtout que la moitié des vulnérabilités ne concernaient pas celles attendues à l’exam… Mais bon, j’avais du temps à tuer, et je voulais garder le rythme !

Mon examen

Première chose, délivrance, car j’arrive enfin à me caler une date, entre la formation, l’alternance, la vie perso, et ma holding à plusieurs millions d’euros (bon ok, le dernier est faux), c’était super compliqué de trouver 7 jours entiers pour l’examen.

1er jour : 35/100 points

Super excité, même si je ne suis pas méga confiant (#ToujoursLaConfianceDuType). Au fond, je sais que je suis prêt, alors GO. Premier flag au bout de 2 heures. Je souffle un coup, la machine est lancée. Fin de journée je trouve 2 nouveaux flags. J’ai déjà fait la moitié du chemin, ça commence à sentir bon. Je vais me coucher bien focus.

2ᵉ jour : 75/100 points

Toujours aussi concentré. Même quand je prends des murs, je ne lâche rien. Je trouve de belles chaînes d’exploits, et franchement, je prends du plaisir à faire cet exam.

Je termine tard, après un bon 8h - 23h. J’avais tellement envie de le boucler en deux jours que j’ai enchaîné 20h - 23h sans pause… Inutile, je n’ai rien trouvé de plus. Un peu frustré sur le coup, mais honnêtement, en deux jours, le taf est quasiment fait. Je me couche once again avec le smile.

3ᵉ jour : 95/100 points 🎉

Dernier jour de charbon. Je trouve un entry point à 5 points, ce qui me fait monter à 80 points. L’examen est validé ! Petite célébration derrière mon écran.

Mais pas question de s’arrêter là. Je repère un vecteur potentiel pour gratter 15 points de plus… alors je fonce.

15h, retour de micro-sieste, et là : RCE trouvée, flag capturé. Je décide de m’arrêter là.

Il me reste encore 4 jours pour rédiger un beau rapport, alors je profite de la soirée pour souffler un peu. Après 2 jours et demi de try-hard non-stop, ça commence à tirer. Pause bien méritée avec mes proches.

4ᵉ / 5ᵉ jour : Rédaction et soumission du rapport

C’est presque un second exam pour moi. Je voulais absolument produire un rapport qualitatif, pour me prouver que je pouvais livrer un travail pro de A à Z.

J’ai donc try-hard la rédaction :

✅ Screenshots à gogo

✅ Explications détaillées de chaque vulnérabilité

✅ Remédiations classiques bien formulées

✅ Un rapport clair, concis et détaillé

Au total, 15 bonnes heures de boulot pour 70 pages. Rédigé avec SysReport, le GOAT pour ce genre de taf. Après 27 relectures (#StressPasFrero), j'envoie mon rapport à HTB.

Et 15 jours plus tard…

Après deux semaines d’attente, l’email arrive enfin.

Petite montée d’adrénaline en ouvrant le message… et c’est bon, je suis officiellement Certified Bug Bounty Hunter (à moi les open-redirect à 50e 😍).

Bonus : Commentaire du correcteur

Sacré smile derrière mon écran en lisant le commentaire du correcteur de mon rapport, qui me dit :

"La manière dont vous avez documenté l’identification et l’exploitation des vulnérabilités était remarquable et facile à suivre. Votre rapport était également bien structuré. Excellent travail !"

TL;DR

6 Conseils pour réussir la CBBH

Faire un maximum de pauses. Sept jours, c’est long, alors il faut en profiter : prendre du recul, c’est super important, et ça permet de se débloquer dans de nombreuses situations.
Ne pas hésiter à changer de cible quand vous êtes trop bloqué : Mieux vaut passer à autre chose, grappiller quelques points, puis revenir plus tard avec un regard neuf.
Réinitialiser le lab de temps en temps : il est top, mais rester sept jours sur la même instance, c’est pas dinguo, vaut mieux reset de temps en temps histoire de pas rater quelque chose.
Prendre son temps pour l’énumération : En voulant aller trop vite vers l'exploit, on peut facilement zapper des infos essentielles.
Bien maîtriser le cours (obligatoire).
Utiliser la fonction de recherche sur l’Academy pendant l’examen.

5 Questions concernant la certification

La certification vaut-elle vraiment son prix ?

Oui, totalement. Cette certif est faite pour tout type de profil, que tu sois web dev ou pentester junior. Ce sont des skills qui posent des bases solides en sécu web, et clairement indispensables. De plus, le voucher coûte 180€, ce qui est assez abordable au vu de la concurrence.

Dois-je m’attendre à des surprises pendant l’examen ?

Pas vraiment. Certes, y’aura des situations un peu nouvelles et l’exam va te demander d’être prêt et bien attentif. Néanmoins, aucune surprise niveau vulns ou techniques d’exploit : tout ce qu’on peut croiser à l’exam a été vu en cours ou au moins abordé.

Table of Contents