Le juteux business des chasseurs de bugs
Des sociétés font appel à des “hackers éthiques” pour déceler des vulnérabilités dans leurs sites, applis ou autres logiciels Web. Une traque qui peut rapporter gros.
Décembre2017.UnRennais de 26 ans fait ses emplettes de Noël chez un célèbre cybermarchand. Entre deux achats, ce mordu d’informatique s’amuse à tester la sécurité du site. En quelques clics, il parvient à accéder à l’ensemble des commandes passées par les internautes : “J’aurais pu récupérer n’importe laquelle d’entre elles ; j’avais accès au numéro de colis, au point de retrait, etc.”, raconte celui qui répond au pseudo SaxX. Une mine d’informations qu’il aurait revendue à prix d’or sur le marché noir. Mais cet ingénieur de formation décide plutôt de contacter l’entreprise pour l’informer de sa découverte. Après plusieurs semaines d’échanges entre le “hacker” et l’équipe sécurité du site marchand, la vulnérabilité est corrigée et le jeune homme reçoit, en guise de remerciement, un ordinateur Lenovo dernier cri.
SaxX est l’un de ces “white hat”, des “hackers éthiques” qui “aident les entreprises à élever leur niveau de sécurité”. En clair, ces “mercenaires du hack” préfèrent revendre les failles découvertes sur les sites Web, les applications ou les logiciels à leurs propriétaires, plutôt qu’à des personnes malintentionnées. Cette activité qui peut s’avérer très lucrative porte un nom, le “bug bounty”, littéralement “prime au bug”. Outre-Atlantique, le “chasseur de primes 2.0” le mieux rémunéré a touché 600 000 dollars en un an. Du côté des entreprises, c’est Microsoft qui décroche
la palme de la plus grosse récompense offerte grâce aux 200 000 dollars versés en 2012 à Vasilis Pappas, un étudiant de l’université de Columbia aux États-Unis.
Même le Pentagone se prête
au jeu. Inventé en 1995 par un ingénieur du navigateur Netscape, le bug bounty a pris son essor au début des années 2010, dans la Silicon Valley. Microsoft, Facebook, Apple, Yahoo!, Google… Les géants de la tech sont les premiers à changer de regard sur ces hackers. “À l’époque, il était très difficile de faire remonter une vulnérabilité aux entreprises : il n’y avait ni adresse mail dédiée, ni numéro de téléphone”, se rappelle Michiel Prins, fondateur en 2012 de HackerOne, la première plateforme de bug bounty qui met en relation sociétés et chasseurs de bugs. “Dans beaucoup de cas, les entreprises menaçaient les hackers de poursuites judiciaires, alors que ces derniers voulaient simplement les aider !” Depuis, le bug bounty a le vent en poupe dans les sociétés hightech comme Spotify, Starbucks, Airbnb, Nintendo ou Twitter, mais aussi chez Bouygues, Axa ou encore Skyrock. Même le Pentagone a organisé son propre bug bounty !
Les grandes compagnies l’ont compris : payer des chasseurs de bugs à la tâche constitue un moyen efficace de renforcer sa sécurité : “24 h/24, 7 j/7, des centaines voire des milliers de personnes viennent tester votre site et chercher des vulnérabilités”, explique Manuel Dorne, alias Korben, célèbre blogueur en informatique et créateur de la plateforme française Bounty Factory. Chez le moteur de recherche français Qwant, qui utilise cette plateforme, plus d’une centaine de failles ont été remontées en deux ans, sur 300 rapports reçus. Un “investissement rentable” pour Matthieu Bouthors, responsable sécurité de ce Google hexagonal très sensible au respect de la vie privée. “Ce que l’on dépense en récompenses, on le gagne en sécurité de notre moteur de recherche, et donc en crédibilité.”
Mais qui sont ces “hackers éthiques” au service des entreprises, pudiquement appelés “chercheurs en cybersécurité” par les acteurs du marché ? Sur les 160 000 membres inscrits sur la plus grosse plateforme, HackerOne, 90 % sont des hommes de moins de 35 ans, et la moitié sont des geeks amateurs, comme Yassine Aboukir, 23 ans. “Je fais du hacking depuis mon jeune âge, mais je n’ai jamais pensé que ça pouvait me servir”, raconte cet étudiant en école de commerce à Lille. En 2014, il découvre le programme de bug bounty de Yahoo! et reçoit une première récompense de 400 dollars. “J’ai senti l’adrénaline monter quand j’ai trouvé la faille. Quel plaisir de pouvoir craquer la sécurité de l’une des plus grandes entreprises américaines !” En un été, il parvient à se hisser au 12e rang de la plateforme HackerOne, de quoi “financer à la fois mes études, mes dépenses quotidiennes et épargner pour des projets personnels”. Des revenus qu’il estime supérieurs à ceux d’un ingénieur confirmé en France.
Seule une poignée de hackers en vit.
Dans le milieu fermé de la cybersécurité, le bug bounty est aussi un moyen de se faire un nom et, pourquoi pas, de décrocher un job. Yassine Aboukir a été embauché à temps partiel par HackerOne en tant qu’analyste, tandis que Nicolas Grégoire, 41 ans et fondateur d’une société de sécurité informatique, nous confie utiliser cette activité afin de “tester de nouvelles stratégies” pour ses propres clients. Il assure avoir gagné jusqu’à 50 000 euros “d’argent de poche” en un an grâce à ce hobby. En France, ils seraient environ un millier à pratiquer le bug bounty et seulement une poignée à en vivre.
La majorité des mercenaires du hack vient d’Amérique du Nord et d’Asie du Sud-Est, dont l’Inde, où les meilleurs hackers empochent