Vis ma vie de chasseur de primes

C’est l’histoire d’Evan Ricafort. À 21 ans, ce philippin travaille à plein temps depuis 4 ans, 75h par semaine. Il est chasseur de bugs - c’est le nom que l’on donne à ces hackers éthiques, ou white hat. Ils se servent de leurs talents en code pour repérer les bugs des sites et logiciels d’entreprises ou de services gouvernementaux.

Et comme Evan, ils sont de plus en plus à faire de la chasse aux bugs leur activité principale. Car certaines entreprises rémunèrent les personnes qui les aident : Mozilla a un forfait de 3 000 $ par bug, tandis que Facebook est capable d’offrir jusqu’à 20 000 $ pour une seule faille. 

Et c’est ce qui a permis à Evan de s’offrir un voyage et un BMX grâce à un seul bug identifié. 

POURQUOI C'EST IMPORTANT : 
Cela démontre les besoins croissants des secteurs privé et public en matière de cybersécurité. Et que si le nombre de freelances spécialisés explose, cela pose des enjeux légaux

WHAT'S THE DEAL ? 

Un programme « Bug Bounty » (bounty = prime) vise à récompenser toute personne qui débusquerait une faille ou une vulnérabilité dans le code d’un logiciel.

Éditeurs et autres entreprises sont donc plus en plus nombreux à proposer des rémunérations aux hackers qui leur feraient remonter l’existence de points faibles dans leur système informatique. 

Du coup, les plateformes réunissant les meilleurs hackers fleurissent :  

  • L'entreprise Bugcrowd, créée en 2011, a déjà lancé 700 programmes et versé $12 millions en prime.
     

  • HackerOne, sa jumelle, se targue de réunir plus de 200 000 hackers éthiques et a levé $74 millions. 
     

  • Ou encore la toute récente Federacy, qui cherche à rendre les services de ces chasseurs de prime disponibles mêmes aux plus petites start-ups.

ET ÇA RAPPORTE GROS 

Aujourd'hui, le marché des freelances explose. Mais la tendance semble encore plus forte concernant ceux qui sont spécialisés en cybersécurité. 

La raison ? Maintenir des équipes d'ingénieurs en interne coûte de plus en plus cher. Naturellement, ils se tournent donc vers les meilleurs hackers freelance pour leur signaler les failles les plus cruciales de leurs systèmes. 

Résultat : ces "Bug bounty hunters" sont déjà parmi les mieux payés des travailleurs indépendants. Bien entendu, les prix varient, fonctions des moyens et de la générosité des entreprises, et de l’importance des problèmes rapportés.

En 2016, Apple avait annoncé une récompense de 200 000 $ pour le repérage d’un défaut de conception dans l'OS de l'iPhone, iOS. 

Les primes pour détection de bugs peuvent rapporter très gros.

Les primes pour détection de bugs peuvent rapporter très gros.

Les hacks retentissants de Yahoo!, Sony, Uber ou Equifax démontrent que le besoin est croissant. Dans certains cas, ils engrangent même plus d’argent que les ingénieurs qui développent les logiciels, au grand dam des spécialistes

Bug Crowd y a vu un filon, et vient donc de lancer sa Bugcrowd Universitypour former toujours plus de hackers éthiques.

OUI, MAIS... EST-CE LÉGAL ? 

Un problème émerge : comment employer des techniques de hackers sans violer les lois anti-hacking des États ? 

# Évidemment, Le viol de ces lois comporte des risques de se retrouver trainé en justice. Aux États-Unis, c'est Ronald Raegan qui a insufflé la première loi anti-hacking en 1986, la CFAA, après avoir été effrayé par le film Wargames (true story)L'ONG Electronic Frontier Fondation se bat d'ailleurs contre celle-ci, considérant qu'elle permet aux entreprises de faire taire les hackers sur les bugs qu'ils trouvent. 

# Un modèle est donc à inventer. BugCrowd s'est récemment associé avec le chercheur Amit Elazari pour lancer disclose.io, un espace de travail réglementaire pour ces white hat. Il fournira une autorisation explicite aux travailleurs leur permettant d'utiliser des techniques qui violeraient normalement les lois. 

# L'ironie, c'est que ces techniques sont évidemment utilisées par les gouvernements eux-mêmes. Fin août se terminait le Hack The Marine Corps, un bug bounty program lancé par le Département de la Défense visant à déceler les failles du système d'information du corps des Marines. 

# Enfin, certains s’inquiètent que les jeunes codeurs préfèrent faire carrière dans la recherche de bugs… que dans les services qui permettent de les réparer quand la détection d'une faille du matériel Microsoft est rémunérée 250 000 $.

Le développement de sites de crowdsourcing permet de contractualiser la relation entre hackers et entreprises. Et c'est nécessaire : la cybercriminalité pourrait faire perdre $6 trillions d'ici 2021. 

NOW PLAYING... Dope VHS MASTER - Desmond Cheese (2010). Pour vous concentrer tranquillement 👌☀️