Découvrir  > Hackers éthiques, les chasseurs de prime du web

Written by 16 h 54 min Découvrir

Hackers éthiques, les chasseurs de prime du web

Ces hackers mettent leurs compétences au service d’institutions ou d’entreprises. Objectif : détecter les failles de sécurité numérique en simulant une cyberattaque. Une “nouvelle profession” pour certains, un hobby rémunéré pour les autres.

Le 18/08/2020 par Morgane Russeil-Salvan
Payés à la prime, les hackers éthiques travaillent souvent en parallèle de leur véritable emploi. (Crédit : Shutterstock)
Payés à la prime, les hackers éthiques travaillent souvent en parallèle de leur véritable emploi. (Crédit : Shutterstock)

Le 15 juillet dernier, un trio de hackers piratait le réseau social Twitter et s’emparait des comptes d’Elon Musk, de Bill Gates et des multinationales Apple et Uber. Les cybercriminels s’en sont servis pour inciter les internautes à leur envoyer des bitcoins, avec la promesse d’en recevoir le double. Au total, ils ont amassé l’équivalent en bitcoins de près de 116 000 dollars.

Cette figure du hacker comme cybercriminel motivé par l’appât du gain est celle que l’on connaît le mieux. Pourtant, le hacking peut être légal. Et, pour certain, devenir un métier à temps plein.

À lire aussi : Cybersécurité : ils piègent tous les malwares du monde

On les appelle des “hackers éthiques” ou des “bounty hunters” (chasseurs de prime). Leurs clients sont des entreprises, de la plus petite à la plus grande, ou même des institutions : pour évaluer la sécurité de son application StopCovid, c’est vers le hacking éthique que s’est tourné le gouvernement français !

Ces “hunters”, dont l’âge se situe généralement entre 18 et 34 ans, identifient les failles de sécurité en utilisant les même techniques que des cybercriminels. Le principe ? Si l’un d’entre eux peut déceler une brèche et s’y engouffrer, un hacker mal intentionné en sera également capable. Les failles sont donc rapportées au client pour être corrigées.

Depuis 2019, neuf “hackers éthiques” sont devenus millionnaires

La “chasse” paraît ludique mais ne paie pas forcément bien. Les hackers ne sont pas rémunérés en fonction du temps qu’ils passent sur un site, mais à chaque “bug” recensé, d’où l’appellation de “bug bounty” pour décrire leur pratique. “En moyenne, nos primes tournent autour de 300 euros”, explique Marine Magnant, directrice marketing de l’entreprise Yes We Hack. “Mais il y a des écarts : pour une faille critique, on peut monter jusqu’à 20 000 euros.”

Yes We Hack fait partie de ces plateformes qui mettent en relation hackers et clients. Elle est la première sur le marché européen. Outre-Atlantique, c’est son équivalent Hacker One qui domine le secteur. Les deux entreprises travaillent avec des hackers de tous les horizons.

À lire aussi : “Les hackers participent à créer le monde de demain”

Hacker One est adepte des success stories : “Santiago Lopez, jeune argentin de 20 ans, est devenu l’an dernier le premier hacker au monde à dépasser un million de dollars de gains via ses activités de hacking éthique” soulignent ses communiqués de presse. “Plus remarquable encore : Santiago est un autodidacte, ce qui prouve qu’il n’est pas nécessaire de passer par une formation universitaire ou une école d’ingénieur pour gagner sa vie en tant que hacker.”

À Yes We Hack, on préfère mitiger le propos. “Les trois quart de nos hunters pratiquent le bug bounty en parallèle de leur emploi”, précise Marine Magnant. Et s’il n’existe pas encore de formation officielle dédiée au hacking éthique, on ne peut pas vraiment parler de hackers complètement autodidactes, “la plupart d’entre eux [travaillant] déjà dans la sécurité numérique”.

Les États-Unis, à la pointe de la chasse à la prime

Si la majorité des hackers éthiques disposent d’une formation initiale en informatique, ils acquièrent le reste de leurs talents sur le tas, en général grâce à l’aide de leur propre communauté. Selon un sondage réalisé par Hacker One, 84 % des hackers considèrent les ressources en ligne et les blogs comme leur principale source d’apprentissage. Aux États-Unis, où la pratique est plus développée, ils peuvent également compter sur des conventions spécialisées, où ils se réunissent pour d’immenses opérations de hacking.

L’Europe n’y est pas encore. Alors que Hacker One comptabilise plus de 600 000 hackers – dont 18 % de ressortissants indiens et 11 % d’Américains – Yes We Hack n’en recense que 17 000, répartis dans plus de 120 pays. Et les entreprises du Vieux Continent sont encore frileuses à l’idée de laisser des hackers s’infiltrer dans leurs systèmes, regrette Marine Magnant.

Une profession – ou un hobby ? – en plein essor

Malgré tout, la pratique commence à s’imposer. Depuis sa création en 2013, Yes We Hack a triplé son nombre de hackers et multiplie les clients : Deezer, StopCovid, les Aéroports de Paris… “Sans compter, nous explique Marine Magnant, les clients du programme privé” : ces entreprises-là tiennent à rester anonymes en raison de la sensibilité de leurs services.

À lire aussi : Pegasus, ce logiciel anti-cybercriminalité devenu l’outil de surveillance des régimes autoritaires

Le travail des hackers éthiques est suffisamment reconnu pour que même ces entreprises choisissent de confier l’analyse de leur sécurité numérique à ces professionnels… qui n’en sont pas vraiment !

Compétents sans être diplômés, ces chasseurs de bugs sont souvent attirés par le défi que représente le hacking plus que par l’appât du gain. 68 % des “hunters” de Hacker One classent le challenge en tête de leurs sources de motivation. Des passionnés qui, nous confie Marine Magnant, “démontaient déjà le système informatique de leur collège”…

A lire aussi :