[ad_1]
Ils cherchent à pénétrer les sites internet, sans que ceux-ci n’y trouvent à redire: les hackers chasseurs de primes, payés pour trouver des failles de sécurité informatique chez leurs clients, ont de plus en plus la cote.
Une « prime à la faille »
Le « bug bounty » (prime à la faille) commence à faire son trou en France, comme le montrent plusieurs témoignages au Forum international de la cybersécurité (Fic) de Lille. « Au début je n’étais pas un grand fan« , explique Michel Van Den Berghe, le Pdg d’Orange Cyberdéfense. « Se faire de l’argent en allant découvrir les faiblesses des autres, au niveau déontologique on pouvait se poser la question« . « Mais c’est efficace« , poursuit celui qui emploie désormais les services de deux startups françaises spécialisées dans le « bug bounty », Yogosha (« défense », en japonais, prix de la startup au FIC 2019) et Yes We Hack (« Oui, nous piratons »).
Des « hackers éthiques » recrutés par le gouvernement
Le ministère des Armées va lui aussi avoir recours à des « hackers éthiques » via Yes We Hack, a dit de son côté la ministre Florence Parly, en précisant toutefois que les « pirates » seraient recrutés uniquement dans la réserve opérationnelle cyber – des connaissances, en quelque sorte.
Yes We Hack et Yogosha, les deux « grands » du secteur en France, emploient chacun une quinzaine de personnes, et sont en pleine croissance. Elles proposent aux entreprises et institutions, moyennant finance, les services de leur communauté de « pirates pour le bien ». Yes We Hack, probablement restée plus proche des communautés informelles de hackers, propose les services d’un vivier pouvant aller jusqu’à 6 500 personnes, qui se renouvelle régulièrement, à raison de 150/200 arrivées et départs par mois. Yogosha, qui cherche à « industrialiser la démarche » selon les mots de son dirigeant Yassir Kazar, propose une communauté plus étroite de 500 personnes, recrutée après des tests en ligne sévères.
De 100 à 10 000 euros…
Dans les deux cas, les primes commencent en général autour de 100 euros, avec des records à 10 000 euros pour des failles cruciales, et une moyenne de 4 à 600 euros. Les deux sociétés proposent à leurs clients et aux hackers une « plateforme », qui formalise la règle du jeu, adaptable selon les clients. Ceux-ci peuvent dire quelles parties de leurs systèmes ils veulent voir tester, et quelles autres parties restent interdites aux hackers.
« Ce sont des gens qui ont besoin de la stimulation intellectuelle que cela leur offre«
Via la plateforme, les clients bloquent un volume de primes mises en jeu -un client de Yogosha a accepté de mettre un montant cumulé de 200 000 euros-, et la meute se lance contre leurs systèmes, en toute légalité. « Si le client verse de belles récompenses, il y aura plus de monde à chercher, plus de failles seront trouvées, et il aura plus de sécurité« , explique Manuel Dorne, alias Korben, 36 ans, qui est l’un des co-fondateurs de Yes We Hack. Pour Alain Tiemblo, 34 ans, responsable de la sécurité des applications Blablacar, la pluralité de regards qu’apporte des sociétés de bug bounty est irremplaçable.
« Les développeurs qui conçoivent les plateformes ne connaissent pas tout des techniques qu’ils emploient« , indique-t-il. « Les hackers eux sont tous spécialistes d’au moins une ou deux techniques, et verront la faille que le développeur n’a pas vu », explique-t-il. Les plateformes se rémunèrent en prenant un pourcentage de la prime, Yogosha prenant par exemple une commission de 25%. Quand au vivier de hackers, il reste apparemment inépuisable. « Nous en avons 4 000 en liste d’attente« , affirme Yassir Kazar de Yogosha. La plupart de ces pirates pour le bien sont des passionnés, ravis de pouvoir gagner un peu d’argent en jouant à leur jeu préféré: être plus malin que le système.
« C’est une passion« , explique Julien, 36 ans, rencontré sur le stand de Yes We Hack, salarié le jour et hacker éthique le soir.« Depuis que je suis papa, j’y consacre un peu moins de temps, mais avant c’était trois heures tous les soirs, voire plus », explique-t-il, en précisant que son record de prime touchée est à 900 euros. Avec prime, ou sans, les hackers éthiques « seront de toute façon sur leur ordinateur toute la nuit« , confirme Yassir Kazar. « Ce sont des gens qui ont besoin de la stimulation intellectuelle que cela leur offre », sourit-il.
[ad_2]
Yalayolo Magazine