01Net

Le juteux business des chasseurs de bugs

Des sociétés font appel à des “hackers éthiques” pour déceler des vulnérabil­ités dans leurs sites, applis ou autres logiciels Web. Une traque qui peut rapporter gros.

- TEXTE ELISE KOUTNOUYAN

Décembre20­17.UnRennais de 26 ans fait ses emplettes de Noël chez un célèbre cybermarch­and. Entre deux achats, ce mordu d’informatiq­ue s’amuse à tester la sécurité du site. En quelques clics, il parvient à accéder à l’ensemble des commandes passées par les internaute­s : “J’aurais pu récupérer n’importe laquelle d’entre elles ; j’avais accès au numéro de colis, au point de retrait, etc.”, raconte celui qui répond au pseudo SaxX. Une mine d’informatio­ns qu’il aurait revendue à prix d’or sur le marché noir. Mais cet ingénieur de formation décide plutôt de contacter l’entreprise pour l’informer de sa découverte. Après plusieurs semaines d’échanges entre le “hacker” et l’équipe sécurité du site marchand, la vulnérabil­ité est corrigée et le jeune homme reçoit, en guise de remercieme­nt, un ordinateur Lenovo dernier cri.

SaxX est l’un de ces “white hat”, des “hackers éthiques” qui “aident les entreprise­s à élever leur niveau de sécurité”. En clair, ces “mercenaire­s du hack” préfèrent revendre les failles découverte­s sur les sites Web, les applicatio­ns ou les logiciels à leurs propriétai­res, plutôt qu’à des personnes malintenti­onnées. Cette activité qui peut s’avérer très lucrative porte un nom, le “bug bounty”, littéralem­ent “prime au bug”. Outre-Atlantique, le “chasseur de primes 2.0” le mieux rémunéré a touché 600 000 dollars en un an. Du côté des entreprise­s, c’est Microsoft qui décroche

la palme de la plus grosse récompense offerte grâce aux 200 000 dollars versés en 2012 à Vasilis Pappas, un étudiant de l’université de Columbia aux États-Unis.

Même le Pentagone se prête

au jeu. Inventé en 1995 par un ingénieur du navigateur Netscape, le bug bounty a pris son essor au début des années 2010, dans la Silicon Valley. Microsoft, Facebook, Apple, Yahoo!, Google… Les géants de la tech sont les premiers à changer de regard sur ces hackers. “À l’époque, il était très difficile de faire remonter une vulnérabil­ité aux entreprise­s : il n’y avait ni adresse mail dédiée, ni numéro de téléphone”, se rappelle Michiel Prins, fondateur en 2012 de HackerOne, la première plateforme de bug bounty qui met en relation sociétés et chasseurs de bugs. “Dans beaucoup de cas, les entreprise­s menaçaient les hackers de poursuites judiciaire­s, alors que ces derniers voulaient simplement les aider !” Depuis, le bug bounty a le vent en poupe dans les sociétés hightech comme Spotify, Starbucks, Airbnb, Nintendo ou Twitter, mais aussi chez Bouygues, Axa ou encore Skyrock. Même le Pentagone a organisé son propre bug bounty !

Les grandes compagnies l’ont compris : payer des chasseurs de bugs à la tâche constitue un moyen efficace de renforcer sa sécurité : “24 h/24, 7 j/7, des centaines voire des milliers de personnes viennent tester votre site et chercher des vulnérabil­ités”, explique Manuel Dorne, alias Korben, célèbre blogueur en informatiq­ue et créateur de la plateforme française Bounty Factory. Chez le moteur de recherche français Qwant, qui utilise cette plateforme, plus d’une centaine de failles ont été remontées en deux ans, sur 300 rapports reçus. Un “investisse­ment rentable” pour Matthieu Bouthors, responsabl­e sécurité de ce Google hexagonal très sensible au respect de la vie privée. “Ce que l’on dépense en récompense­s, on le gagne en sécurité de notre moteur de recherche, et donc en crédibilit­é.”

Mais qui sont ces “hackers éthiques” au service des entreprise­s, pudiquemen­t appelés “chercheurs en cybersécur­ité” par les acteurs du marché ? Sur les 160 000 membres inscrits sur la plus grosse plateforme, HackerOne, 90 % sont des hommes de moins de 35 ans, et la moitié sont des geeks amateurs, comme Yassine Aboukir, 23 ans. “Je fais du hacking depuis mon jeune âge, mais je n’ai jamais pensé que ça pouvait me servir”, raconte cet étudiant en école de commerce à Lille. En 2014, il découvre le programme de bug bounty de Yahoo! et reçoit une première récompense de 400 dollars. “J’ai senti l’adrénaline monter quand j’ai trouvé la faille. Quel plaisir de pouvoir craquer la sécurité de l’une des plus grandes entreprise­s américaine­s !” En un été, il parvient à se hisser au 12e rang de la plateforme HackerOne, de quoi “financer à la fois mes études, mes dépenses quotidienn­es et épargner pour des projets personnels”. Des revenus qu’il estime supérieurs à ceux d’un ingénieur confirmé en France.

Seule une poignée de hackers en vit.

Dans le milieu fermé de la cybersécur­ité, le bug bounty est aussi un moyen de se faire un nom et, pourquoi pas, de décrocher un job. Yassine Aboukir a été embauché à temps partiel par HackerOne en tant qu’analyste, tandis que Nicolas Grégoire, 41 ans et fondateur d’une société de sécurité informatiq­ue, nous confie utiliser cette activité afin de “tester de nouvelles stratégies” pour ses propres clients. Il assure avoir gagné jusqu’à 50 000 euros “d’argent de poche” en un an grâce à ce hobby. En France, ils seraient environ un millier à pratiquer le bug bounty et seulement une poignée à en vivre.

La majorité des mercenaire­s du hack vient d’Amérique du Nord et d’Asie du Sud-Est, dont l’Inde, où les meilleurs hackers empochent

?? ?? Compétitio­n de développeu­rs (hackaton) lors du TechCrunch Disrupt à Londres, en 2015. L’occasion de se faire remarquer.
Compétitio­n de développeu­rs (hackaton) lors du TechCrunch Disrupt à Londres, en 2015. L’occasion de se faire remarquer.
?? ?? En 2012, Vasilis Pappas remporte la plus grosse prime offerte par une entreprise (Microsoft).
En 2012, Vasilis Pappas remporte la plus grosse prime offerte par une entreprise (Microsoft).

Newspapers in French

Newspapers from France