Découvrez les hackers éthiques qui gagnent des milliers d’euros en trouvant des bugs

Publié le : 15-06-2020

#teletravail Vie perso

Ils entrent par effraction dans le système informatique des entreprises. Sauf qu'à l'inverse des pirates malveillants, les hackers éthiques aident ces entreprises à renforcer leur sécurité en ligne. Un job qui peut rapporter gros.

Photo by JC Gellidon on Unsplash
Photo by JC Gellidon on Unsplash
Photo by JC Gellidon on Unsplash

Vous êtes fan de Mr. Robot, la série sur Netflix et vous rêvez de devenir hacker ? Mais l’idée d’enfreindre la loi ne vous dit (évidemment) rien. Alors le métier de hacker éthique est fait pour vous. Un pirate gentil, ça existe ? Oui, et ce nouveau poste est même plébiscité par de nombreuses entreprises. La sécurité informatique qui préoccupait jadis une poignée de geeks inquiète aujourd’hui toutes les entreprises, sans exception. Car la cybercriminalité a pris de l’ampleur ces dernières années, au point de représenter un total de 600 milliards de dollars, soit 1% du PIB. Même la prestigieuse agence de la NASA a vu s’infiltrer dans son système un hacker via un tout petit processeur à 35 dollars, le Raspberry Pi, souvent utilisé par les enfants pour apprendre à coder. Hum hum… Bref, côté sécurité informatique, il y a à faire, et des entreprises sont prêtes à payer cher pour qu’on les aide.

D’autant qu’avec le confinement, la cybercriminalité a augmenté… de 30 000% (oui, vous avez bien lu), selon Didier Schreiber, directeur marketing chez Zscaler, interrogé par France Inter. Phishing, arnaques, faux sites, logiciels malveillants, les cybercriminels s’y sont donnés à cœur joie pour profiter de la crise du Covid-19. Par exemple, l’application de visioconférence Zoom, a vu les données de 530 000 utilisateurs vendues sur le dark web (une partie cachée d’Internet). Un groupe de cybercriminels, les ShinyHunters, ont revendiqué la commercialisation, sur le dark web toujours, d’informations concernant 73,2 millions de personnes.

Mais les méchants pirates (black hats) se font eux-mêmes pirater par les white hats, les gentils hackers. Début du mois de juin 2020, le hacker KingNull a piraté le plus grand hébergeur du dark web : Daniel’s Hosting. Des milliers de sites web illégaux ont été mis hors ligne, et leurs données évaporées. Car oui, on peut être pirate et bien intentionné.

Lire à ce sujet : mais qui peut bien vouloir voler mes datas ? 

Entreprise en détresse cherche expert en intrusion

Face aux menaces de vol de données ou d’infiltration, les entreprises font appel à deux sortes de profils parmi les experts en intrusion ; les premiers sont salariés comme les auditeurs ou « pentesters », diminutif de « penetration tester ». Ils participent à la sécurisation des SI – système de l’information – en mettant régulièrement à l’épreuve les dispositifs de l’entreprise. C’est également eux qui généralement encadrent les seconds profils appelés « Hunter », des volontaires inscrits dans des chasses aux trésors des temps modernes, les « bugs bounty » et rémunérés selon le nombre et la qualité des vulnérabilités qu’ils découvrent, permettant d’apporter un regard nouveau et des expertises différentes de celles des auditeurs salariés.

 

Le  Bug Bounty

Un programme de bug bounty c’est d’abord un cadre et des régles. Les Hunters respectent ces exigences pour obtenir les primes liées à leurs trouvailles.  Mais la compétition est rude et les entreprises proposent généralement des terrains de chasse déjà éprouvés par leurs équipes internes  compliquant ainsi la tâche des Hunters ; il s’agit évidemment pour ces entreprises d’éviter au maximum de payer pour des failles qu’elles auraient pu découvrir par elles-mêmes mais bien de récompenser la découverte d’une approche différente que l’expertise spécifique d’un Hunter a pu permettre.

=> Comment choisir son mot de passe

Pour recruter ces hackers bienveillants, on ne trouve pas vraiment de petites annonces, mais des plateformes spécialisées, comme Yes We Hack. « D’ailleurs, tu peux voir sur le site combien de bugs ont été décelés pour chacun des candidats et leurs statistiques. »

Difficile de savoir avec exactitude combien rapporte le métier. Certains sites affirment que la rémunération oscille entre 6 000 et 7 500€ bruts par mois.

Au final, auditeurs, Hunters, les compétences se ressemblent, l’éthique les rapprochent, mais la méthode diffère. Au sein de l’entreprise on joue sur le long terme sur la récurrence et la stratégie. Les chasseurs eux proposent une fulgurance, de l’inattendu et de l’imprévisibilité.

Deux profils complémentaires et indispensables dans un monde de plus en plus digitalisé.

 

A lire aussi :

 

La cybersécurité et moi : suis-je bien informé ?

Jeune femme bonnet rose