Partager la publication "Hacker éthique : dans la peau d’un chasseur de primes"
Le monde numérique est un far-west où bons, brutes et truands s’affrontent autour d’un nouveau butin : les données. Parmi ces nouveaux acteurs, voici le chasseur de primes, ou “hacker éthique”. Moyennant récompense, il traque les failles informatiques avant que des hackers moins bien intentionnés ne les exploitent.
Cette chasse, aussi appelée “bug bounty” (prime au bug), est devenue indispensable aux entreprises présentes sur le Web – c’est-à-dire toutes. Au cours des années 2010, des plateformes les mettant en relation avec des “hackers éthiques” ont émergé. Le leader mondial est l’Américain HackerOne, qui en février annonçait que huit de ses hunters avaient franchi le cap du million de dollars de récompenses. En France, deux champions ont aussi émergé, YesWeHack et Yogosha. Actif sur la première plateforme depuis 2016, SaxX – Clément, dans la vraie vie – est aujourd’hui classé parmi les trois meilleurs hunters du site. Ce jeune homme de 29 ans a accepté de nous ouvrir son quotidien de chasseur de prime pendant trois semaines.
Cet article a initialement été publié dans WE DEMAIN n° 30, paru en mai 2020, toujours disponible sur notre boutique en ligne.
Jour 1
Vendredi 14 février, au soir. Malgré une semaine bien remplie par son job en cybersécurité pour une grande boîte de services numériques, Clément a encore fort à faire. Il ouvre les deux mails d’invitation reçus dans la semaine via YesWeHack. Le premier concerne une entreprise du textile, le second une banque. Les deux sociétés veulent faire tester leurs sites Internet. Des vulnérabilités informatiques pourraient leur causer de sérieux problèmes, que ce soit pour la protection des données personnelles de leurs clients, leur image ou leurs finances.
Jour 2
Début de week-end studieux. Dans son appart du centre-ville de Rennes, Clément dégaine son stylo et des post-its. Avant d’élaborer sa stratégie, il faut analyser les conditions de la chasse du jour : son périmètre, la façon dont les vulnérabilités doivent être signalées à l’entreprise, et bien sûr la grille des “rewards”, les rémunérations. Déjà bien payé par son employeur, le jeune homme ne souhaite pas dévoiler le montant de ces primes. Un autre hacker bien classé de YesWeHack dit gagner 5 000 euros les bons mois, 100 euros les mauvais.
Au bout d’une heure, Clément commence par traquer les failles observables à partir d’une simple requête sur Google : des URL (adresses Internet) qui devraient rester privées sont-elles par exemple accessibles ? “Il faut être méthodique, c’est comme cela qu’on trouve la majorité des vulnérabilités”, explique-t-il.
À lire aussi : GAFA : comment je suis devenu invisible
Jour 3
Ce dimanche, Clément déjeune avec un ami puis se rend aux Champs libres, la grande médiathèque rennaise où il travaille souvent, que ce soit pour son boulot ou pour ses scripts, ces petits programmes qui lui permettent de tester automatiquement la protection des sites visés.
Casque sur les oreilles, le hacker trouve vite la concentration nécessaire à l’écriture du code informatique. Aujourd’hui, il a déjà débusqué un défaut de configuration sur l’un des deux sites sur lesquels il chasse le bug. Pour trouver ces failles, SaxX utilise la suite logicielle préférée des hunters, Burp. Elle permet d’analyser les échanges entre un serveur et le navigateur web. Il utilise également Docker, un logiciel prisé pour effectuer des tests de sécurité informatique.
Jour 4
Après sa journée de boulot, Clément passe acheter des invendus alimentaires proposés par l’appli Too Good To Go. Puis il se remet sur son ordinateur, équipé de la dernière version de Debian, un système d’exploitation libre. Bingo : en explorant le code javascript du site de la banque, le hacker trouve une vulnérabilité. En changeant un simple paramètre de l’URL dans son logiciel simulant l’échange entre serveur et navigateur Web, on peut tromper l’internaute visitant le site en le renvoyant à une autre adresse ! Une sacrée faille, qui permettrait par exemple de récupérer les mots de passe d’un internaute en lui faisant croire qu’il est sur la page d’authentification de sa banque.
À minuit, SaxX décroche : il doit avancer sur le livre sur la cybersécurité que lui a commandé l’éditeur Fayard. Clément noircit quelques pages puis se couche vers 4 heures du matin. Un rythme habituel pour ce tout petit dormeur.
Jour 6
L’agenda du hacker est un peu chamboulé. Une application de transfert d’argent va sortir en Afrique de l’Ouest et on lui propose de chercher les vulnérabilités de ce service sensible. Du boulot en perspective. Pour ce projet urgent, SaxX est prêt à laisser de côté les deux autres recherches de failles. Le nouveau chantier va permettre d’améliorer une sécurité informatique encore souvent trop fragile en Afrique. Une cause chère à SaxX, Franco-sénégalais arrivé à 17 ans en Bretagne.
Jour 13
Début de la recherche de vulnérabilités sur l’appli de transfert d’argent en Afrique de l’Ouest. Le hacker trouve très vite des failles critiques. Il s’intéresse à la notification par SMS d’un transfert d’argent. L’envoi n’est limité ni en nombre de destinataires, ni par zone géographique. Un pirate malveillant pourrait très bien détourner le système et spammer les téléphones de millions de personnes.
À lire aussi : Comment Pegasus espionne nos smartphones
Jour 16
Figure de son secteur, SaxX est contacté par un journaliste de presse écrite qui souhaite l’interroger sur les dessous de la cybersécurité. Puis Clément enchaîne sur un resto entre amis avant d’aller rendre visite à des personnes âgées en maison de retraite. Cela fait un an qu’il donne de son temps, sous la forme de balades et de lectures, pour des aînés. Un engagement consécutif à un grave accident de moto qui a fait réfléchir le jeune homme – de confession chrétienne – sur le sens de la vie.
Jour 20
Il est 1 h 30 et, comme souvent, le hacker ne dort pas. Très excité, il m’envoie un texto. Il s’est remis sur le bug bounty d’un opérateur téléphonique. Cela faisait six mois qu’il n’avait pas travaillé sur ce programme, mais il vient de trouver une très belle vulnérabilité : il a réussi à détourner le système de gestion des rendez-vous. Il me propose d’être cobaye. Les jours suivants, je recevrai sur mon téléphone des notifications, puis des appels, pour des rendez-vous jamais pris dans l’une des boutiques de cet opérateur mobile.
Jour 23
C’est l’heure du bilan de ces trois semaines de recherche de vulnérabilités. En tout, SaxX en a déniché 23. Une par jour, en moyenne. Un chiffre moyen pour le hunter, qui a connu des périodes plus fastes. Mais au regard du temps passé, le butin reste très honorable. Entre l’instabilité de l’activité et le risque de se renfermer sur soi, SaxX préfère chasser les primes à temps partiel. Exemple ce week-end, où le jeune homme a prévu d’aller mixer à Paris pour les 30 ans de deux copains. Le bug bounty attendra.