A la rencontre des hackers qui gagnent des millions... légalement

Jesse Kinser est payé pour trouver des pépins dans les logiciels de certaines des plus grandes entreprises du monde. Copyright de l’image HackerOne
Image caption Jesse Kinser est payé pour trouver des pépins dans les logiciels de certaines des plus grandes entreprises du monde.

Il s'agit des pirates éthiques ou pirates à "chapeau blanc", qui peuvent gagner plus de 350 000 $ (208.417.202 FCFA) par année pour avoir repéré les faiblesses des logiciels avant qu'ils ne soient découverts par les méchants, ou "pirates à chapeau noir".

Voici comment fonctionne l'industrie et les nombreux défis qu'elle doit relever dans sa quête d'un Internet plus sûr.

Un jour de l'été 2016, Pranav Hivarekar, un hacker à plein temps, est parti en mission pour trouver des failles dans la dernière fonctionnalité de Facebook.

Lire aussi:

Le géant des médias sociaux avait annoncé, seulement huit heures auparavant, qu'il permettrait aux utilisateurs de commenter les messages utilisant des vidéos.

Pranav a commencé à pirater le système pour repérer les faiblesses, les erreurs que les criminels pourraient exploiter pour pénétrer dans le réseau d'une entreprise et voler des données.

Et voici ce qu'il a trouvé : le code avait des failles qui pouvaient être utilisées pour supprimer n'importe quelle vidéo de Facebook.

"J'ai découvert que je pouvais exploiter le code et même supprimer une vidéo téléchargée par Mark Zuckerberg si je le voulais ", déclare Pranav, un pirate éthique de la ville indienne de Pune, à la BBC.

Il a signalé cette erreur, ou bug, à Facebook par le biais de son programme 'bug bounty'.

En l'espace de quinze jours, il a été récompensé par une somme à cinq chiffres en dollars.

Chasseurs de failles

Certains pirates informatiques éthiques gagnent maintenant beaucoup d'argent, et l'industrie est en pleine croissance.

Les soi-disant chasseurs de failles sont généralement jeunes - plus des deux tiers d'entre eux sont âgés de 18 à 29 ans, selon les estimations de l'industrie.

Ils sont récompensés par un nombre croissant de grandes entreprises grâce à des primes pour trouver des failles dans le code web avant que les méchants ne le fassent.

Trouver un bug qui n'a jamais été découvert auparavant est très rare et peut mener à des gains importants, peut-être des centaines de milliers de dollars - une incitation énorme pour l'élite éthique ou pirates à "chapeau blanc".

"Les primes sont la seule source de revenu pour moi", dit Shivam Vashisht, une hacker éthique du nord de l'Inde qui a gagné plus de 125 000 $ (74.420.177 FCFA) l'an dernier.

"Je pirate légalement les plus grandes entreprises du monde et je suis payé pour ça, ce qui est amusant et stimulant."

Copyright de l’image Sandeep Singh
Image caption Sandeep Singh fait partie du top 10 des hackers sur la plateforme HackerOne

C'est un domaine qui ne nécessite pas d'éducation formelle ou d'expérience pour réussir.

Shivam, comme beaucoup d'autres, déclare qu'il a repris le processus par le biais de ressources en ligne et de blogs.

"J'ai passé de nombreuses nuits blanches à apprendre le piratage et le processus d'attaque des systèmes. J'ai même abandonné l'université en deuxième année."

Il a maintenant transformé son désir insatiable de trouver des failles dans le code en une carrière lucrative, un peu comme un hacker américain nommé Jesse Kinser.

"Mon intérêt pour le piratage a pris son envol à l'université lorsque j'ai commencé à faire beaucoup de recherches indépendantes sur le piratage mobile et la criminalistique numérique ", a-t-elle expliqué par courriel.

"Au cours d'un projet, j'ai trouvé un moyen d'introduire des applications malveillantes dans la boutique d'applications Android sans détection."

Lire aussi:

Beaucoup d'argent

Selon les experts, les programmes de primes aux mouchards informatiques jouent un rôle majeur dans leur motivation.

"Ces programmes constituent une alternative légale pour les personnes qui, autrement, seraient enclines à se livrer aux activités néfastes de pirater un système et de vendre ses données illégalement ", déclare Terry Ray, directeur de la technologie de la société Imperva, spécialisée dans la sécurité des données.

En 2018, les pirates informatiques des États-Unis et de l'Inde ont réclamé la part la plus élevée de primes dans le monde, selon la société de cybersécurité HackerOne.

Certains d'entre eux peuvent gagner plus de 350 000 $ (208.417.202 FCFA) par année.

Copyright de l’image Shivam Vashisht
Image caption Shivam Vashisht a repris le processus de piratage éthique au moyen de ressources en ligne et de blogs.

Sandeep Singh, aujourd'hui largement connu sous le nom de "geekboy" dans le monde des hackers, dit que cela implique beaucoup de travail.

"Il m'a fallu six mois et 54 soumissions pour obtenir mon premier rapport valide et gagner une prime."

Renforcer la sécurité

Des entreprises telles que Hacker One, Bug Crowd, Synack et d'autres mènent maintenant des programmes de primes aux bugs pour le compte de grandes organisations, et même de gouvernements.

Ils agissent en tant qu'agents pour les hackers éthiques contrôlés, vérifiant le travail effectué et assurant la confidentialité pour les clients.

Hacker One, la plus grande des trois entreprises les plus connues en matière de primes aux bugs, compte près de 550 000 pirates informatiques dans ses livres et a déjà versé plus de 70 millions de dollars (plus de 41 milliards FCFA), déclare Ben Sadeghipour, responsable des opérations de piratage informatique au sein de la société.

"Les primes de bugs ne sont pas nouvelles dans l'industrie de la technologie, mais les récompenses augmentent comme une étape naturelle dans le renforcement de la posture de sécurité d'une organisation."

Les entreprises comprennent que le risque de ne pas en faire assez pour trouver ces vulnérabilités peut mener à une attaque potentielle de piratage, entraînant le vol de données, des pertes financières et une réputation endommagée.

"Ces dernières années, les atteintes à la sécurité informatique ont augmenté de plus de 80 % d'une année à l'autre, mais il existe un nombre limité de spécialistes de la sécurité ", selon la société Synack.

Lire également:

Programmes de primes publics ou privés

Synack reste incertain des programmes publics de primes aux bugs qui sont gérés indépendamment par des géants de la technologie, y compris Facebook et Google, puisqu'ils donnent aux pirates non habilités ou non qualifiés l'accès aux actifs numériques sensibles d'une entreprise.

"Par exemple, un pirate informatique a violé le guide mondial des restaurants Zomato en 2017 et aurait menacé de vendre les données de 17 millions d'utilisateurs sur un marché du Web obscur, à moins que la société ne lance un programme de primes aux bugs", explique Synack.

Zomato a écrit un billet de blog admettant qu'une "partie de notre infrastructure... a été violée par un pirate éthique".

Finalement, l'entreprise a cédé aux exigences du pirate et a promis de lancer un programme de primes de bug, et le pirate a détruit les données.

Les experts conseillent aux entreprises d'avoir toute une série d'autres moyens de défense bien administrés en place bien avant d'envisager de laisser les chasseurs de primes sniffer.

"Les primes devraient être la fin du processus et non le début ", déclare Ian Glover, responsable de l'organisation Crest, qui certifie les compétences des testeurs de sécurité éthique au Royaume-Uni.

L'hameçonnage dans la nature suscite d'autres préoccupations, notamment le fait que l'accès non autorisé à un système est illégal dans de nombreux pays.

Les entreprises de cybersécurité affirment qu'elles peuvent offrir des tests plus contrôlés grâce à des pirates crédibles.

Copyright de l’image Getty Images
Image caption La société HackerOne de Ben Sadeghiphipour a déjà versé plus de 70 millions de dollars en primes de bugs.

Pour les hackers, il devient plus facile de signaler les erreurs car de nombreux sites Web ou applications n'ont pas non plus de structure formelle de rapport de bugs, à part une adresse email générique d'administrateur.

"Les entreprises de Bug Bounty aident à faire en sorte que les rapports d'erreurs parviennent aux bonnes personnes ", explique Robbie Wiggins, testeur de sécurité.

Enjeux de l'industrie

Qu'il soit public ou privé, l'espace des primes est de plus en plus encombré. Et tout le monde ne gagne pas beaucoup.

Quelques personnes ont gagné beaucoup d'argent, mais la plupart ne l'ont pas fait.

L'industrie est également confrontée à un autre problème flagrant : le déséquilibre entre les sexes.

"La cybersécurité a toujours été un domaine dominé par les hommes, il n'est donc pas surprenant que l'an dernier, seulement 4% de la communauté mondiale des pirates informatiques était composée de femmes", nous dit Casey Ellis, de Bug Crowd.

L'entreprise, avec d'autres géants de l'industrie, dit qu'elle lance diverses initiatives pour encourager davantage de femmes à se joindre à eux dans leur quête pour faire d'Internet un endroit plus sûr.

Mais beaucoup de choses doivent changer.

Lire aussi:

"C'est le résultat du fait que le travail des femmes est moins valorisé que celui des hommes, et c'est un problème endémique ", a dit un jour Jesse Kinser à Mashable dans une interview.

"Donc, je vois ça comme un problème de société. Il ne s'agit pas d'intéresser plus de femmes à la technologie, nous le sommes déjà, et nous sommes nées prêtes."

Alors que les demandes pour un Internet plus sûr se multiplient, elle espère qu'un plus grand nombre de femmes se joindront à nous et trouveront du soutien au sein de la communauté du piratage informatique. Et elle pense que même de petits changements sont bénéfiques.

"Tout, quelle que soit sa taille, est un élan positif dans la bonne direction ", dit-elle.