Discussion :

[Christian Olivier]

Certains pirates éthiques ne révèlent pas leurs découvertes en matière de cybersécurité
Car ils ne savent pas à qui s’adresser, d'après HackerOne

Près d’un quart des pirates éthiques s’abstiendraient de révéler leurs découvertes en matière de cybersécurité tout simplement parce qu’ils ne savent pas à qui s’adresser pour établir le contact avec l'organisation concernée. C’est ce que révèlent les résultats d’une étude menée par la plateforme de cybersécurité HackerOne qui rassemble une communauté de pirates éthiques.

Il faut noter que l’Inde (23 %) et les États-Unis (20 %) sont les deux pays bénéficiant de la plus forte représentation au sein la communauté HackerOne. Ils sont suivis par la Russie (6 %), le Pakistan (4 %) et le Royaume-Uni (4 %). Plus de 90 % des participants à cette étude ont moins de 35 ans et sont de sexe masculin.

« Pirates éthiques » est un terme utilisé pour désigner des chercheurs spécialisés en cybersécurité utilisant les mêmes procédés de piratage que les cybercriminels afin de déceler d’éventuelles failles de sécurité au sein des systèmes informatiques exploités par des gouvernements ou des entreprises. Lorsqu’ils parviennent à mettre en évidence des vulnérabilités sur un système, les pirates éthiques alertent, en général, les organisations concernées en toute discrétion pour que ces vulnérabilités soient corrigées.

Cette enquête a été menée par HackerOne sous forme de sondage. Elle a officiellement rassemblé 1698 participants. Ses résultats apparaissent dans le rapport Hacker 2018 publié par la plateforme de cybersécurité. Le sondage révèle qu’environ un quart des pirates éthiques n’auraient pas signalé les vulnérabilités qu’ils ont trouvées parce que les structures concernées ne disposaient pas d’un canal approprié pour la transmission de cette information.

Autrement dit, près d’un chercheur en cybersécurité sur quatre serait dans l’incapacité d’établir un contact avec les organisations concernées par les failles de sécurité qu’il a découvertes. Ceci serait notamment dû au fait que les structures en question ne disposent pas d’une politique de divulgation de vulnérabilité (PDV) ou d’un canal officiel adéquat qui leur permettrait de recevoir les soumissions de vulnérabilités extérieures.

En l’absence d’une politique de divulgation de vulnérabilité, les pirates informatiques respectueux de l’éthique seraient obligés d’utiliser d’autres moyens pour entrer en contact avec les établissements concernés : réseaux sociaux, courriels, etc. Malheureusement, les messages transmis via ces canaux sont souvent ignorés ou mal compris par les destinataires, indique le rapport.

En dépit du fait que certaines organisations ne disposent pas d’une politique de divulgation de vulnérabilité, les pirates éthiques interrogés (72 % d’entre eux) ont souligné le fait qu’elles sont néanmoins de plus en plus enclines à recevoir des informations sur les vulnérabilités qu’elles ne l’étaient par le passé.

Le rapport précise que des organisations comme le Département américain de la Défense ont reçu et résolu près de 3000 vulnérabilités de sécurité au cours des 18 derniers mois sur la base des informations rapportées grâce uniquement à leur PDV. Il met également en lumière le côté lucratif des programmes de bug bounties en soulignant le fait qu’en Inde, par exemple, les meilleurs chercheurs peuvent gagner jusqu’à 16 fois le salaire moyen d’un ingénieur logiciel local. En outre, un chercheur en cybersécurité aurait en moyenne un salaire 2,7 fois supérieur à celui d’un développeur originaire du même pays.

Source : Factor-Tech, Hacker One

Et vous ?

Qu’en pensez-vous ?
Avez-vous déjà travaillé comme pirates éthiques ? Si oui, quels commentaires pouvez-vous faire des rémunérations proposées dans ce milieu ?

Voir aussi

Uber ou l'art de faire travailler les chasseurs de bogues sans leur verser de primes ? Un chercheur en sécurité raconte son expérience

[marsupial]

Le secteur est enfin pris au sérieux et la pénurie de profils engendre de telles rémunérations.

De plus, la rémunération comparée aux risques, et les coûts qui en découlent, doit atteindre un facteur très faible. Lorsque le bilan des attaques pour 2017 atteint quelques centaines de milliards (source ANSSI ) juste pour la France, verser quelques dizaines de milliers d'euros par correction de vulnérabilités donnent un ordre d'idée du ratio.

Ainsi, mettre en place une politique de bug bounty, pour une entreprise offrant une surface d'attaque conséquente à sa taille et son importance, devient loin d'être superflu.

[bytecode]

Si je trouvais un 0day j'irais faire le concours Pwn2Own

https://www.zerodayinitiative.com/bl...2017-day-three

Je cite :

Pwn2Own est un concours attendu, par beaucoup, y compris les éditeurs de navigateurs. Ils peuvent y tester les défenses de leurs produits face à des chercheurs et des équipes de hackers venus relever le défi. Les gagnants repartent avec des récompenses sonnantes et trébuchantes, tandis que les éventuelles failles dévoilées sont communiquées aux entreprises concernées. Tout le monde y trouve son compte, sauf peut-être en termes d’image.

[esperanto]

C'est surtout qu'en France, le hacker qui prévient une entreprise d'une vulnérabilité sur son système se voit attaqué en justice par la dite société, qui obtiendra facilement gain de cause.
Autant dire qu'un chercheur en sécurité, en France, a tout intérêt à garder ça pour lui.

Pas qu'en France d'ailleurs, le problème touche toute l'Europe. Exemple avec le parti pirate luxembourgeois, condamné pour avoir averti la Sécu locale d'une faille de sécurité...