Aller au contenu principal
Rooting/studio
À propos

Pentester freelance. 10 CVE publiées et un focus obsessionnel sur le code.

Je m'appelle Lucas. Je casse des applications web pour gagner ma vie, et je publie les vulnérabilités que je trouve dans les frameworks open-source pour valider que ma méthode marche. Pas de marketing : la liste est publique et vérifiable.

Voir l'offre pentest Mes 10 CVE
La question qui pique

« Pourquoi vous faire confiance plutôt qu'un cabinet de 200 personnes ? »

Question légitime. Réponse honnête : un cabinet vous vendra un consultant senior pendant la phase commerciale, puis vous enverra un junior ou un alternant sur le terrain. Avec moi, vous travaillez avec moi, du devis au rapport final.

Les CVE listées sur ce site sont la preuve que je sais trouver des failles dans du code réel utilisé en production. Pas un slide deck, pas un certificat encadré : du code source lu, des PoC reproductibles, des CVE-IDs assignés par le MITRE.

Et si je ne suis pas la bonne personne pour votre besoin (audit ISO 27001 complet, infra Active Directory à 5000 postes, etc.), je vous le dirai franchement et je vous renverrai vers un confrère plus adapté.

CVE publiées
10
HIGH
5
Certifications
4
Démarrage moyen
J+10
Mon portefeuille public

Recherche & responsible disclosure

Découvertes en lisant le code de frameworks open-source utilisés en production. Patches coordonnés, CVE assignées par GitHub / MITRE.

Tout voir
HIGHCVE-2026-42550
SQL Injection via identifiants non validés dans SimplePdo
flightphp/core
HIGHCVE-2025-48091
SQL Injection authentifiée dans le plugin WordPress AnyComment
WordPress plugin AnyComment
HIGHCVE-2026-42551
HTTP method override par défaut : CSRF escalation et bypass de middleware
flightphp/core
Formation

Certifications

Les certifications sont un point de départ, pas une preuve. Mais pour les missions B2B, elles ferment les questions de procurement.

CPTS

HTB Academy

Certified Penetration Testing Specialist

eWPT

INE Security

Web Application Penetration Tester

eCPPT

INE Security

Certified Professional Penetration Tester

CBBH

HTB Academy

Certified Bug Bounty Hunter

Membre de l'équipe EternalBlue · formation cybersécurité auprès de la Gendarmerie Nationale.
Méthode

Comment je travaille

Trouver, pas cocher des cases

Un pentest n'est pas un audit conformité déguisé. Mon objectif : trouver ce que les outils et les équipes internes ratent.

Lecture de code orientée modèle de menace

Toutes mes CVE ont été trouvées par lecture manuelle, pas par fuzzing aveugle. Même méthode chez mes clients.

Disclosure responsable

Embargo respecté, mainteneurs prévenus en privé, publication coordonnée. Toujours.

Confidentialité par défaut

NDA mutuel signé avant tout échange technique. Vos données et vos failles ne quittent pas mon poste.

Et le « studio » ?

Pourquoi un studio fait aussi du dev et de la formation

Le cœur de métier de Rooting Studio, c'est la sécurité offensive : pentest web, recherche de vulnérabilités, pentest infra. C'est ce qui occupe 80% de mon temps et c'est là où je suis le plus utile.

Le développement web et la formation existent en complément, parce qu'ils créent un cercle vertueux : connaître le code de l'intérieur fait un meilleur pentester ; former les devs aux failles courantes les empêche d'en créer.

Si vous cherchez une agence web généraliste, vous n'êtes pas au bon endroit. Si vous cherchez quelqu'un qui sait vraiment comment les applications cassent — parce qu'il en a cassé pas mal — bienvenue.

On en parle 20 minutes ?

Brief gratuit, NDA fourni si besoin, cadrage écrit sous 48h.

Discuter Voir l'offre pentest