Discussion :

[Stan Adkens]

Un jeune de 19 ans se fait plus d'un million de dollars grâce au hacking éthique
Faisant de lui l'un des meilleurs hackers du classement HackerOne

À l’ère d’Internet, les menaces de sécurité sont chaque jour un peu plus importantes. Des groupes d’individus malveillants profitent des failles dans des logiciels et applications pour infiltrer des organisations et commettre des actes délictueux. Les entreprises ont trouvé une parade supplémentaire pour lutter contre ce phénomène : l’anticipation, en faisant de plus en plus recours aux services de hackers éthiques pour tester leurs systèmes et dévoiler des failles qui peuvent alors être corrigées dans les plus brefs délais, en échange d'importantes sommes d'argent, en primes de bogues, versées à ces chercheurs spécialisés en cybersécurité.

À cause de ces récompenses versées par des organisations à ceux qui trouvent des vulnérabilités dans leurs logiciels, le hacking éthique est devenu un parcours de carrière populaire parmi la communauté des développeurs au cours des dernières années. Même si, selon une étude, près d’un quart des pirates éthiques s’abstiennent de révéler leurs découvertes en matière de cybersécurité, car ne sachant pas à qui s’adresser pour établir le contact avec l'organisation concernée, ceux qui ont rejoint la plateforme HackerOne sont en train de se faire de l’argent grâce à leurs recherches de vulnérabilité dans les logiciels. Et parmi eux, un adolescent argentin qui est monté en tête des palmarès en matière de la chasse aux primes de bogues.

Selon le rapport 2019 de HackerOne, Santiago Lopez, un jeune de 19 ans a gagné plus d'un million de dollars dans sa quête les vulnérabilités des logiciels et des services en ligne. Lopez, qui opère sous le nom de @try_to_hack, a rejoint HackerOne, la plateforme de financement communautaire, en 2015 et a pu rapporter, pour cette année seulement, plus de 1 670 bogues distincts qui ont un impact sur les produits offerts par des fournisseurs tels que Verizon Media Company, Twitter, Wordpress, et Automattic, selon le rapport.

HackerOne est une plateforme de primes de bogues qui offre de l'argent en échange de la découverte de failles de sécurité dans les systèmes informatiques des entreprises participantes. Et le jeune hacker autodidacte, Lopez, en est devenu l’un des premiers hackers à avoir dépassé le million de dollars de récompenses. En effet, Lopez a appris à détecter les bogues, y compris certaines des vulnérabilités les mieux payées, grâce aux ressources Internet et vidéos YouTube. Mais c’est surtout un film des années 90 qui l'a véritablement attiré dans ce domaine.

« Je ne savais même pas qu'il existait jusqu'à ce que je voie le film Hackers, qui m'a ouvert un tout nouveau monde », a-t-il déclaré dans une interview accordée à HackerOne. « Au fur et à mesure que j'en apprenais plus, je me suis rendu compte que j'étais naturellement attiré par les types de défis et de possibilités de résolution de problèmes associés au piratage. », a-t-il ajouté.

C’est à force de travailler que Lopez a réussi à trouver son premier bogue logiciel, faille de sécurité CSRF (Cross-Site Request Forgery), pour lequel il a reçu 50 dollars. Mais avec le temps, il a affiné ses compétences et s'est concentré sur « la recherche d'autant de bogues que possible en peu de temps », a-t-il déclaré à HackerOne. Et ses efforts ont conduit à son plus gros paiement de 9 000 dollars pour une vulnérabilité SSRF (Server Side Request Forgery) dans un programme qui pourrait permettre une prise de contrôle à distance.

« Je suis incroyablement fier de voir que mon travail soit reconnu et valorisé », a déclaré le jeune hacker. « Pas seulement pour l'argent, mais parce que ce travail protège l'information des entreprises et des gens sont plus en sécurité qu'ils ne l'étaient avant, et c'est incroyable. », a-t-il ajouté.

Selon le rapport, bien que Lopez ait été reconnu comme l’un des meilleurs chasseurs de bogues, il continue de s’améliorer et se spécialise dans la recherche de bogues logiciels qui peuvent permettre aux pirates de contourner les processus d'application normaux pour accéder aux ressources protégées, comme les fichiers et les enregistrements de base de données.

« Pour moi, cette performance signifie que les entreprises et les personnes qui leur font confiance deviennent plus sûres qu'avant, et c'est incroyable », a-t-il ajouté. « C'est ce qui me motive à continuer à me pousser et m'inspire à faire passer mon hacking au niveau supérieur. »

HackerOne, en plus de révéler le jeune pirate informatique, a publié son rapport d’entreprise Hacker 2019 qui fait l’état de la chasse aux primes de bogues, suite à une enquête menée auprès de 3 667 hackers inscrits sur la plateforme. Selon le rapport annuel d’enquête de HackerOne, 19 millions de dollars ont été versés en primes de bogues, l'an dernier seulement, soit presque autant que durant les six années précédentes réunies. Les recherches indiquent également que, jusqu'à présent, HackerOne a accordé plus de 42 millions de dollars en primes de bogues.

Selon le rapport, les hackers des États-Unis, de l'Inde et de la Russie ont continué de dominer le marché, attirant de gros gains cette année encore, ce qui représente 36 % de la valeur totale de l'investissement dans les primes. Les hackers canadiens ont remporté 3,3 % de toutes les récompenses accordées, les plaçant dans le top 10 cette année avec un peu moins de 1,4 million de dollars gagnés. Les Pays-Bas sont également entrés dans le top 10, les hackers néerlandais ayant gagné plus 3 % du total des primes accordées.

En ce qui concerne les personnes qui exercent ce métier et qui ont été interrogées par HackerOne, 81 % ont déclaré être autodidactes et 90 % ont moins de 35 ans, dont 47 % appartiennent à la catégorie des 18 à 24 ans. En plus, le rapport révèle que les sites Web semblent être l'option préférée des chasseurs de primes de bogues. Plus de 70 % des personnes interrogées ont déclaré que les domaines étaient leur sujet de prédilection pour la chasse aux bogues, suivis par les API (6,8 %), la technologie de stockage de données (3,7 %), les applications Android, les systèmes d'exploitation et les logiciels téléchargeables.

Selon le rapport, les membres de la collectivité des chasseurs de primes de bogues sont constitués d’un peu moins de 40 % des personnes travaillant dans un domaine des TI ou de la technologie, cette année. Ce taux était de 47 % un an avant. Par contre, les auditionnés qui ne travaillent pas dans le secteur de la technologie constituaient 4 % des chasseurs de primes un an avant, mais le taux est passé à 11 % cette année. Toutefois, la profession de hacker éthique peut être un passe-temps lucratif ou une activité lucrative à temps plein pour l’un ou l’autre des hackers.

Source : Rapport de HackerOne

Et vous ?

Qu’en pensez-vous ?
Que pensez-vous de la profession de Hacker éthique ?
Avez-vous déjà travaillé comme pirates éthiques ? Si oui, quels commentaires pouvez-vous faire des rémunérations proposées dans ce milieu ?

Lire aussi

Cybersécurité : des entreprises s'octroient les services de hackers à coups de millions, pour tester leurs logiciels et applications
Certains pirates éthiques ne révèlent pas leurs découvertes en matière de cybersécurité, car ils ne savent pas à qui s'adresser, d'après HackerOne
Le piratage catastrophique d'un fournisseur de services de messagerie détruit près de deux décennies de données, relatives à des courriels
Une étude d'un FAI confirme que le piratage dépend de la disponibilité et du prix du contenu, et le blocage de sites pirates ne peut pas l'arrêter
Windows : la faille exploitée par le ver Stuxnet, corrigée en 2010, demeure la plus utilisée par les hackers, d'après Kaspersky Lab

[bk417]

Pour moi c'est pas un pirate, c'est un chercheur en sécurité informatique.

[pascaldm]

C'est un problème de traduction de Ethical hacker en "pirate éthique". En français le terme Hacker éthique est usuel mais la légende urbaine fait allègrement la confusion entre les termes hacking et piratage !

[marsupial]

Sa plus haute prime reste 9 000 $. Cela fait peu pour un bogue. Pour avoir gagné plus d'un million, il faut en trouver un certain nombre. N'empêche qu'à 20 000 failles par an, son avenir est assuré. Sans compter les erreurs de configuration.

edit : à titre de comparaison, pour un bug réseau validé par l'IETF, mais la correction bloquée par la NSA, la prime est de 12 millions €. Fier de l'avoir détectée, nettement moins de ce qui en est fait mais je n'ai pas le pouvoir de décider. D'ailleurs, j'ai arrêté de chercher depuis cette faille.

[bali0x4d]

On te montre celui qui gagne 1 millions $ , mais les autres qui ont donnés du temps à la recherche de bug etc sans aucune suite.
Je sais pas mais je trouve les hackerone et co comme de l'intérim assez batard dans le sens pas de contrat, pas de résultat = pas d'argent.
Du coup c'est bien pour lui , je le félicite.