IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un jeune de 19 ans se fait plus d'un million de dollars grâce au piratage éthique


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    1 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 1 548
    Points : 124 987
    Points
    124 987
    Par défaut Un jeune de 19 ans se fait plus d'un million de dollars grâce au piratage éthique
    Un jeune de 19 ans se fait plus d'un million de dollars grâce au hacking éthique
    Faisant de lui l'un des meilleurs hackers du classement HackerOne

    À l’ère d’Internet, les menaces de sécurité sont chaque jour un peu plus importantes. Des groupes d’individus malveillants profitent des failles dans des logiciels et applications pour infiltrer des organisations et commettre des actes délictueux. Les entreprises ont trouvé une parade supplémentaire pour lutter contre ce phénomène : l’anticipation, en faisant de plus en plus recours aux services de hackers éthiques pour tester leurs systèmes et dévoiler des failles qui peuvent alors être corrigées dans les plus brefs délais, en échange d'importantes sommes d'argent, en primes de bogues, versées à ces chercheurs spécialisés en cybersécurité.

    À cause de ces récompenses versées par des organisations à ceux qui trouvent des vulnérabilités dans leurs logiciels, le hacking éthique est devenu un parcours de carrière populaire parmi la communauté des développeurs au cours des dernières années. Même si, selon une étude, près d’un quart des pirates éthiques s’abstiennent de révéler leurs découvertes en matière de cybersécurité, car ne sachant pas à qui s’adresser pour établir le contact avec l'organisation concernée, ceux qui ont rejoint la plateforme HackerOne sont en train de se faire de l’argent grâce à leurs recherches de vulnérabilité dans les logiciels. Et parmi eux, un adolescent argentin qui est monté en tête des palmarès en matière de la chasse aux primes de bogues.

    Selon le rapport 2019 de HackerOne, Santiago Lopez, un jeune de 19 ans a gagné plus d'un million de dollars dans sa quête les vulnérabilités des logiciels et des services en ligne. Lopez, qui opère sous le nom de @try_to_hack, a rejoint HackerOne, la plateforme de financement communautaire, en 2015 et a pu rapporter, pour cette année seulement, plus de 1 670 bogues distincts qui ont un impact sur les produits offerts par des fournisseurs tels que Verizon Media Company, Twitter, Wordpress, et Automattic, selon le rapport.

    Nom : Lop.png
Affichages : 14523
Taille : 101,4 Ko

    HackerOne est une plateforme de primes de bogues qui offre de l'argent en échange de la découverte de failles de sécurité dans les systèmes informatiques des entreprises participantes. Et le jeune hacker autodidacte, Lopez, en est devenu l’un des premiers hackers à avoir dépassé le million de dollars de récompenses. En effet, Lopez a appris à détecter les bogues, y compris certaines des vulnérabilités les mieux payées, grâce aux ressources Internet et vidéos YouTube. Mais c’est surtout un film des années 90 qui l'a véritablement attiré dans ce domaine.

    « Je ne savais même pas qu'il existait jusqu'à ce que je voie le film Hackers, qui m'a ouvert un tout nouveau monde », a-t-il déclaré dans une interview accordée à HackerOne. « Au fur et à mesure que j'en apprenais plus, je me suis rendu compte que j'étais naturellement attiré par les types de défis et de possibilités de résolution de problèmes associés au piratage. », a-t-il ajouté.

    C’est à force de travailler que Lopez a réussi à trouver son premier bogue logiciel, faille de sécurité CSRF (Cross-Site Request Forgery), pour lequel il a reçu 50 dollars. Mais avec le temps, il a affiné ses compétences et s'est concentré sur « la recherche d'autant de bogues que possible en peu de temps », a-t-il déclaré à HackerOne. Et ses efforts ont conduit à son plus gros paiement de 9 000 dollars pour une vulnérabilité SSRF (Server Side Request Forgery) dans un programme qui pourrait permettre une prise de contrôle à distance.

    « Je suis incroyablement fier de voir que mon travail soit reconnu et valorisé », a déclaré le jeune hacker. « Pas seulement pour l'argent, mais parce que ce travail protège l'information des entreprises et des gens sont plus en sécurité qu'ils ne l'étaient avant, et c'est incroyable. », a-t-il ajouté.

    Selon le rapport, bien que Lopez ait été reconnu comme l’un des meilleurs chasseurs de bogues, il continue de s’améliorer et se spécialise dans la recherche de bogues logiciels qui peuvent permettre aux pirates de contourner les processus d'application normaux pour accéder aux ressources protégées, comme les fichiers et les enregistrements de base de données.

    « Pour moi, cette performance signifie que les entreprises et les personnes qui leur font confiance deviennent plus sûres qu'avant, et c'est incroyable », a-t-il ajouté. « C'est ce qui me motive à continuer à me pousser et m'inspire à faire passer mon hacking au niveau supérieur. »


    HackerOne, en plus de révéler le jeune pirate informatique, a publié son rapport d’entreprise Hacker 2019 qui fait l’état de la chasse aux primes de bogues, suite à une enquête menée auprès de 3 667 hackers inscrits sur la plateforme. Selon le rapport annuel d’enquête de HackerOne, 19 millions de dollars ont été versés en primes de bogues, l'an dernier seulement, soit presque autant que durant les six années précédentes réunies. Les recherches indiquent également que, jusqu'à présent, HackerOne a accordé plus de 42 millions de dollars en primes de bogues.

    Selon le rapport, les hackers des États-Unis, de l'Inde et de la Russie ont continué de dominer le marché, attirant de gros gains cette année encore, ce qui représente 36 % de la valeur totale de l'investissement dans les primes. Les hackers canadiens ont remporté 3,3 % de toutes les récompenses accordées, les plaçant dans le top 10 cette année avec un peu moins de 1,4 million de dollars gagnés. Les Pays-Bas sont également entrés dans le top 10, les hackers néerlandais ayant gagné plus 3 % du total des primes accordées.

    Nom : Age01.png
Affichages : 14382
Taille : 223,5 Ko

    En ce qui concerne les personnes qui exercent ce métier et qui ont été interrogées par HackerOne, 81 % ont déclaré être autodidactes et 90 % ont moins de 35 ans, dont 47 % appartiennent à la catégorie des 18 à 24 ans. En plus, le rapport révèle que les sites Web semblent être l'option préférée des chasseurs de primes de bogues. Plus de 70 % des personnes interrogées ont déclaré que les domaines étaient leur sujet de prédilection pour la chasse aux bogues, suivis par les API (6,8 %), la technologie de stockage de données (3,7 %), les applications Android, les systèmes d'exploitation et les logiciels téléchargeables.

    Selon le rapport, les membres de la collectivité des chasseurs de primes de bogues sont constitués d’un peu moins de 40 % des personnes travaillant dans un domaine des TI ou de la technologie, cette année. Ce taux était de 47 % un an avant. Par contre, les auditionnés qui ne travaillent pas dans le secteur de la technologie constituaient 4 % des chasseurs de primes un an avant, mais le taux est passé à 11 % cette année. Toutefois, la profession de hacker éthique peut être un passe-temps lucratif ou une activité lucrative à temps plein pour l’un ou l’autre des hackers.

    Source : Rapport de HackerOne

    Et vous ?

    Qu’en pensez-vous ?
    Que pensez-vous de la profession de Hacker éthique ?
    Avez-vous déjà travaillé comme pirates éthiques ? Si oui, quels commentaires pouvez-vous faire des rémunérations proposées dans ce milieu ?

    Lire aussi

    Cybersécurité : des entreprises s'octroient les services de hackers à coups de millions, pour tester leurs logiciels et applications
    Certains pirates éthiques ne révèlent pas leurs découvertes en matière de cybersécurité, car ils ne savent pas à qui s'adresser, d'après HackerOne
    Le piratage catastrophique d'un fournisseur de services de messagerie détruit près de deux décennies de données, relatives à des courriels
    Une étude d'un FAI confirme que le piratage dépend de la disponibilité et du prix du contenu, et le blocage de sites pirates ne peut pas l'arrêter
    Windows : la faille exploitée par le ver Stuxnet, corrigée en 2010, demeure la plus utilisée par les hackers, d'après Kaspersky Lab
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre actif
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    août 2018
    Messages
    83
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Chercheur en informatique

    Informations forums :
    Inscription : août 2018
    Messages : 83
    Points : 226
    Points
    226
    Par défaut
    Pour moi c'est pas un pirate, c'est un chercheur en sécurité informatique.

  3. #3
    Membre actif Avatar de pascaldm
    Profil pro
    Expert sécurité informatique
    Inscrit en
    février 2013
    Messages
    48
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert sécurité informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2013
    Messages : 48
    Points : 219
    Points
    219
    Par défaut
    C'est un problème de traduction de Ethical hacker en "pirate éthique". En français le terme Hacker éthique est usuel mais la légende urbaine fait allègrement la confusion entre les termes hacking et piratage !

  4. #4
    Expert confirmé Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    mars 2014
    Messages
    1 354
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : mars 2014
    Messages : 1 354
    Points : 5 140
    Points
    5 140
    Par défaut
    Sa plus haute prime reste 9 000 $. Cela fait peu pour un bogue. Pour avoir gagné plus d'un million, il faut en trouver un certain nombre. N'empêche qu'à 20 000 failles par an, son avenir est assuré. Sans compter les erreurs de configuration.

    edit : à titre de comparaison, pour un bug réseau validé par l'IETF, mais la correction bloquée par la NSA, la prime est de 12 millions €. Fier de l'avoir détectée, nettement moins de ce qui en est fait mais je n'ai pas le pouvoir de décider. D'ailleurs, j'ai arrêté de chercher depuis cette faille.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  5. #5
    Membre du Club
    Homme Profil pro
    etudiant IT
    Inscrit en
    novembre 2014
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : etudiant IT

    Informations forums :
    Inscription : novembre 2014
    Messages : 15
    Points : 53
    Points
    53
    Par défaut
    On te montre celui qui gagne 1 millions $ , mais les autres qui ont donnés du temps à la recherche de bug etc sans aucune suite.
    Je sais pas mais je trouve les hackerone et co comme de l'intérim assez batard dans le sens pas de contrat, pas de résultat = pas d'argent.
    Du coup c'est bien pour lui , je le félicite.

Discussions similaires

  1. Fortnite a généré plus de 318 millions de dollars de recette uniquement durant le mois de mai
    Par Stéphane le calme dans le forum Développement 2D, 3D et Jeux
    Réponses: 12
    Dernier message: 22/08/2018, 18h20
  2. Réponses: 0
    Dernier message: 06/01/2018, 13h57
  3. Réponses: 9
    Dernier message: 26/09/2013, 22h34
  4. Réponses: 4
    Dernier message: 07/10/2010, 11h47

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo