Étude : les hackers ne sont pas toujours en quête d'argent
Lorsqu'ils participent aux programmes de chasse aux bogues
La question de sécurité devient de plus en plus préoccupante plus les entreprises. Pour cette raison, les programmes de chasses aux bogues se développent auprès de différentes multinationales et organisations gouvernementales comme Apple, le département de défense américain, Facebook, General Motors, Google, Microsoft, Panasonic, Uber, et plusieurs autres entités déterminées à coopérer avec les hackers afin de trouver les vulnérabilités et améliorer leur sécurité. Ces programmes de chasse aux bogues n’auraient pu exister sans l’existence d’une communauté de hackers dotée des compétences techniques et de la créativité, nécessaires pour trouver les failles de sécurité, sinon le programme de chasse aux bogues ne sera pas effectif.
De nos jours, les fuites de données sont devenues si régulières qu’on a tendance à confondre les termes “cybercriminel” et “hackeur”, cependant, ils ne sont pas les mêmes. Un hackeur est une personne qui résout des problèmes, « une personne qui apprécie le défi intellectuel de surmonter les limitations par la créativité ». Les hackers sont présents dans toutes les catégories d’âge et dans tous les pays du monde. À la différence d’un hacker, un cybercriminel exploite ses connaissances à des fins criminelles.
Pour son Bug Bounty Hacker Report de 2016, HackerOne, une entreprise basée à San Francisco et ayant une plateforme pour connecter les firmes avec les chercheurs de sécurité, a interrogé 617 hackers à succès pour en savoir plus sur cette communauté. La firme définit un hacker à succès comme toute personne ayant soumis au moins une vulnérabilité valide de sécurité sur HackerOne.
Parmi les chercheurs de sécurité interrogés, beaucoup ne sont pas impliqués dans ce domaine juste pour l’argent. Ainsi, 51 % des hackers ont indiqué qu’ils sont impliqués pour « faire du bien dans le monde » et 34 % vont participer à un programme de chasse aux bugs d’une firme spécifique parce qu'ils aiment cette firme. Néanmoins, l’argent reste un facteur clé pour 72 % des interrogés.
Les hackers sont localisés dans plus de 70 pays
Les hackers participants aux programmes de chasse aux bugs sont jeunes, plus de 90 % d’entre eux ont moins de 34 ans. Le groupe d’âge le plus important est constitué de ceux dont l’âge varie de 18 et 24 ans. Les hackers concernés par le sondage l’étude, ont indiqué qu’ils sont de 72 pays. L’Inde est le premier pays du classement, avec 21 % des participants localisés dans ce pays, suivis par les États-Unis à la deuxième position avec 19% et la Russie 8 %. Néanmoins, la concentration la plus importante de hackers par habitant se trouve (par ordre décroissant) aux Pays-Bas, en Suède et en Belgique. 97 % des participants ont indiqué être des hommes, contre 2 % pour les femmes. Cependant, avec la montée de la popularité des programmes de chasse aux bogues, ces chiffres sont appelés à changer dans le futur.
Suite à la popularisation des programmes de bug bounty et le recours de plus en plus croissant des firmes au service des hackers pour aider à renforcer leurs systèmes de sécurité, on a assisté à un changement d’attitude vis-à-vis de ces personnes. 31 % des participants ont indiqué que les firmes ont été plus ouvertes à recevoir les rapports de vulnérabilités trouvées par les chercheurs de sécurité durant l’année dernière, alors que 38 % ont dit que les firmes sont plutôt ouvertes.
Revenus annuels des hackers
Face à ce changement d'attitude, on se demande s’il est possible de vivre solennellement des programmes de chasse aux bugs à plein temps. Il apparait que certains ont réussi à le faire. Ainsi, 17 % des interrogés ont indiqué que leur principale source de revenus est tirée de ces programmes, alors que 26 % tirent de 76 % à 100 % de leur revenu annuel exclusivement de la chasse aux bogues (cependant, 27 % des participants ont préféré ne pas divulguer d’information). Les programmes de chasse aux bogues peuvent être très lucratifs, environ 11 % réalisent plus de 50 000$ dollars par an et 6 % gagnent plus de 100 000$; cependant, plus de la moitié des interrogés ont indiqué avoir participé à des programmes non rémunérés durant les six derniers mois.
Source : HackerOne
Et vous ?
Qu'en pensez-vous ?
Partager