Le ju­teux bu­si­ness des chas­seurs de bugs

Des so­cié­tés font ap­pel à des “ha­ckers éthiques” pour dé­ce­ler des vul­né­ra­bi­li­tés dans leurs sites, ap­plis ou autres lo­gi­ciels Web. Une traque qui peut rap­por­ter gros.

01net - - SOMMAIRE - TEXTE ELISE KOUTNOUYAN

Dé­cembre2017.UnRen­nais de 26 ans fait ses em­plettes de Noël chez un cé­lèbre cy­ber­mar­chand. Entre deux achats, ce mor­du d’in­for­ma­tique s’amuse à tes­ter la sé­cu­ri­té du site. En quelques clics, il par­vient à ac­cé­der à l’en­semble des com­mandes pas­sées par les in­ter­nautes : “J’au­rais pu ré­cu­pé­rer n’im­porte la­quelle d’entre elles ; j’avais ac­cès au nu­mé­ro de co­lis, au point de re­trait, etc.”, ra­conte ce­lui qui ré­pond au pseu­do SaxX. Une mine d’in­for­ma­tions qu’il au­rait re­ven­due à prix d’or sur le mar­ché noir. Mais cet in­gé­nieur de for­ma­tion dé­cide plu­tôt de contac­ter l’en­tre­prise pour l’in­for­mer de sa dé­cou­verte. Après plu­sieurs se­maines d’échanges entre le “ha­cker” et l’équipe sé­cu­ri­té du site mar­chand, la vul­né­ra­bi­li­té est cor­ri­gée et le jeune homme re­çoit, en guise de re­mer­cie­ment, un or­di­na­teur Le­no­vo der­nier cri.

SaxX est l’un de ces “white hat”, des “ha­ckers éthiques” qui “aident les en­tre­prises à éle­ver leur ni­veau de sé­cu­ri­té”. En clair, ces “mer­ce­naires du hack” pré­fèrent re­vendre les failles dé­cou­vertes sur les sites Web, les ap­pli­ca­tions ou les lo­gi­ciels à leurs pro­prié­taires, plu­tôt qu’à des per­sonnes mal­in­ten­tion­nées. Cette ac­ti­vi­té qui peut s’avé­rer très lu­cra­tive porte un nom, le “bug boun­ty”, lit­té­ra­le­ment “prime au bug”. Outre-At­lan­tique, le “chas­seur de primes 2.0” le mieux ré­mu­né­ré a tou­ché 600 000 dol­lars en un an. Du cô­té des en­tre­prises, c’est Mi­cro­soft qui dé­croche

la palme de la plus grosse ré­com­pense of­ferte grâce aux 200 000 dol­lars ver­sés en 2012 à Va­si­lis Pap­pas, un étu­diant de l’uni­ver­si­té de Co­lum­bia aux États-Unis.

Même le Pen­ta­gone se prête

au jeu. In­ven­té en 1995 par un in­gé­nieur du na­vi­ga­teur Nets­cape, le bug boun­ty a pris son es­sor au dé­but des an­nées 2010, dans la Si­li­con Val­ley. Mi­cro­soft, Fa­ce­book, Apple, Ya­hoo!, Google… Les géants de la tech sont les pre­miers à chan­ger de re­gard sur ces ha­ckers. “À l’époque, il était très dif­fi­cile de faire re­mon­ter une vul­né­ra­bi­li­té aux en­tre­prises : il n’y avait ni adresse mail dé­diée, ni nu­mé­ro de té­lé­phone”, se rap­pelle Mi­chiel Prins, fon­da­teur en 2012 de Ha­ckerOne, la pre­mière pla­te­forme de bug boun­ty qui met en re­la­tion so­cié­tés et chas­seurs de bugs. “Dans beau­coup de cas, les en­tre­prises me­na­çaient les ha­ckers de pour­suites ju­di­ciaires, alors que ces der­niers vou­laient sim­ple­ment les ai­der !” De­puis, le bug boun­ty a le vent en poupe dans les so­cié­tés high­tech comme Spo­ti­fy, Star­bucks, Airbnb, Nin­ten­do ou Twit­ter, mais aus­si chez Bouygues, Axa ou en­core Sky­rock. Même le Pen­ta­gone a or­ga­ni­sé son propre bug boun­ty !

Les grandes com­pa­gnies l’ont com­pris : payer des chas­seurs de bugs à la tâche consti­tue un moyen ef­fi­cace de ren­for­cer sa sé­cu­ri­té : “24 h/24, 7 j/7, des cen­taines voire des mil­liers de per­sonnes viennent tes­ter votre site et cher­cher des vul­né­ra­bi­li­tés”, ex­plique Ma­nuel Dorne, alias Kor­ben, cé­lèbre blo­gueur en in­for­ma­tique et créa­teur de la pla­te­forme fran­çaise Boun­ty Fac­to­ry. Chez le mo­teur de re­cherche fran­çais Qwant, qui uti­lise cette pla­te­forme, plus d’une cen­taine de failles ont été re­mon­tées en deux ans, sur 300 rap­ports re­çus. Un “in­ves­tis­se­ment ren­table” pour Mat­thieu Bou­thors, res­pon­sable sé­cu­ri­té de ce Google hexa­go­nal très sen­sible au res­pect de la vie pri­vée. “Ce que l’on dé­pense en ré­com­penses, on le gagne en sé­cu­ri­té de notre mo­teur de re­cherche, et donc en cré­di­bi­li­té.”

Mais qui sont ces “ha­ckers éthiques” au ser­vice des en­tre­prises, pu­di­que­ment ap­pe­lés “cher­cheurs en cy­ber­sé­cu­ri­té” par les ac­teurs du mar­ché ? Sur les 160 000 membres ins­crits sur la plus grosse pla­te­forme, Ha­ckerOne, 90 % sont des hommes de moins de 35 ans, et la moi­tié sont des geeks ama­teurs, comme Yas­sine Abou­kir, 23 ans. “Je fais du ha­cking de­puis mon jeune âge, mais je n’ai ja­mais pen­sé que ça pou­vait me ser­vir”, ra­conte cet étu­diant en école de com­merce à Lille. En 2014, il dé­couvre le pro­gramme de bug boun­ty de Ya­hoo! et re­çoit une pre­mière ré­com­pense de 400 dol­lars. “J’ai sen­ti l’adré­na­line mon­ter quand j’ai trou­vé la faille. Quel plai­sir de pou­voir cra­quer la sé­cu­ri­té de l’une des plus grandes en­tre­prises amé­ri­caines !” En un été, il par­vient à se his­ser au 12e rang de la pla­te­forme Ha­ckerOne, de quoi “fi­nan­cer à la fois mes études, mes dé­penses quo­ti­diennes et épar­gner pour des pro­jets per­son­nels”. Des re­ve­nus qu’il es­time su­pé­rieurs à ceux d’un in­gé­nieur confir­mé en France.

Seule une poi­gnée de ha­ckers en vit.

Dans le mi­lieu fer­mé de la cy­ber­sé­cu­ri­té, le bug boun­ty est aus­si un moyen de se faire un nom et, pour­quoi pas, de dé­cro­cher un job. Yas­sine Abou­kir a été em­bau­ché à temps par­tiel par Ha­ckerOne en tant qu’ana­lyste, tan­dis que Ni­co­las Gré­goire, 41 ans et fon­da­teur d’une so­cié­té de sé­cu­ri­té in­for­ma­tique, nous confie uti­li­ser cette ac­ti­vi­té afin de “tes­ter de nou­velles stra­té­gies” pour ses propres clients. Il as­sure avoir ga­gné jus­qu’à 50 000 eu­ros “d’ar­gent de poche” en un an grâce à ce hob­by. En France, ils se­raient en­vi­ron un mil­lier à pra­ti­quer le bug boun­ty et seule­ment une poi­gnée à en vivre.

La ma­jo­ri­té des mer­ce­naires du hack vient d’Amé­rique du Nord et d’Asie du Sud-Est, dont l’Inde, où les meilleurs ha­ckers em­pochent

Com­pé­ti­tion de dé­ve­lop­peurs (ha­cka­ton) lors du Te­chC­runch Dis­rupt à Londres, en 2015. L’oc­ca­sion de se faire re­mar­quer.

En 2012, Va­si­lis Pap­pas rem­porte la plus grosse prime of­ferte par une en­tre­prise (Mi­cro­soft).

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.