EN INDE, UN HACKER GAGNE 16 FOIS PLUS QU’UN INGÉNIEUR
jusqu’à seize fois le salaire médian d’un ingénieur. En 2016, le blogueur Anand Prakash, originaire du Rajasthan, a gagné 130 000 euros, quand le salaire moyen indien ne dépasse pas 40 euros par mois. Attirés par cette manne financière, les chasseurs de bugs sont de plus en plus nombreux. “Il y a cinq ans, on pouvait encore trouver des failles trois semaines après l’ouverture d’un programme de bug bounty. Aujourd’hui, si vous n’y allez pas dès le premier jour, vous vous privez d’une grande partie des revenus”, souligne Nicolas Grégoire. Pour autant, le bug bounty a encore de beaux jours devant lui, notamment sous l’impulsion des autorités publiques. Début janvier, la Cnil (Commission nationale de l’informatique et des libertés), le gendarme français de la vie privée des internautes, a infligé une amende de 100 000 euros à Darty pour n’avoir pas suffisamment sécurisé les données de ses clients. À l’échelle européenne, un nouveau règlement va obliger, dès le mois de mai, les entreprises à communiquer publiquement toute fuite de données personnelles. “Le bug bounty va permettre de limiter ce type de communication désastreuse en comblant les failles en amont, avant une attaque”, estime Matthieu Bouthors, de Qwant.
Alors, pour attirer ces justiciers du Web, les sociétés redoublent d’efforts : distinctions, cadeaux et goodies en tout genre (tee-shirts, mugs, matériel informatique…) et, surtout, des compensations financières de plus en plus rondelettes. Sur la plateforme française Bounty Factory, la récompense moyenne par faille, en hausse constante, atteint 328 euros. Chez les géants américains, les sommes s’envolent. En 2017, Facebook a distribué en moyenne 1 900 dollars par vulnérabilité pour un budget annuel total de 880 000 dollars. Le montant varie en fonction du degré de risque : en janvier, Google a payé un hacker chinois 112 500 dollars pour deux bugs sur son système Android, tandis qu’Apple se dit prêt à offrir jusqu’à 200 000 dollars.
Une manne intarissable. De telles sommes n’attirent pas que les honnêtes chercheurs et la frontière entre “white hats” et cybercriminels se révèle poreuse. En décembre dernier, Uber s’est fait épingler pour avoir versé une rançon de 100 000 dollars via son programme de bug bounty. Le hacker de 20 ans, originaire de Floride, avait subtilisé les données de 57 millions d’utilisateurs dont 600 000 chauffeurs, causant la démission du PDG Travis Kalanick. Depuis, l’entreprise est sous le coup de plusieurs enquêtes judiciaires.
Un cas isolé ? “L’intérêt du bug bounty, c’est aussi de ramener dans la légalité les hackers qui se situent dans la zone grise : ils trouvent la faille, empochent leur rétribution et repartent, pointe Matthieu Bouthors. C’est plus simple et moins risqué que d’aller vendre une faille sur le marché noir.” La manne du bug bounty n’est pas prête de se tarir. Plateformes et sociétés proposent de nouvelles formules réservées aux hackers les plus doués et les plus sûrs, ou encore des programmes “on site” (sur place) pour déceler des problèmes de sécurité dans les objets connectés. Hacker vaillant, rien d’impossible ! ■