Socialnetlink Les hackers éthiques font moins parler d’eux que les cybercriminels et pourtant, leur métier n’est pas si différent. Alors, qui sont ces professionnels de la sécurité que s’arrachent les entreprises?
Ils n’ont pas de carte de visite. Tout juste un pseudonyme. Dans le monde de la sécurité informatique, on les appelle les “hackers éthiques”. Une communauté discrète dont les membres, simples amateurs et chercheurs confirmés en cybersécurité, tiennent à leur discrétion. Car, à l’heure où se multiplient les cyberattaques, leurs compétences sont rares. Pour éviter que ce genre d’événements n’arrive, rien de mieux que de mettre hacker dans son camp. Et cela, les entreprises l’ont bien compris. Depuis quelques années, des centaines d’entre elles ont déjà fait appel à leurs compétences pour anticiper de potentielles attaques. De grandes sociétés acceptent de leur confier ce qu’elles ont de plus précieux, leur système informatique, pour y détecter des failles. Des points vulnérables, qui pourraient exposer leurs données en cas d’intrusion. Une activité devenue une source considérable de revenus pour certains, qui en ont même fait leur métier. Challenges les a rencontrés.
« Tout système est vulnérable »
“Quand il faut expliquer ce que je fais à mon banquier, c’est vrai que ce n’est pas toujours évident”, nous confie l’un d’eux, qui se fera appeler BitK. “En général, je leur dis que mon travail consiste à trouver des bugs sur les pages Web et les applications en ligne”. Depuis trois ans, cet ancien développeur informatique installé à Lyon se consacre à son activité de “pentesteur” (pour « test de pénétration »). Chaque jour, il évalue la possibilité de s’introduire sur le serveur des entreprises sans leur permission. “J’ai trouvé des failles sur les sites de grosses sociétés, comme Orange, ou Deezer, qui m’ont valu des récompenses de plusieurs milliers d’euros”. Un pedigree impressionnant, mais qui n’empêche pas ce trentenaire de rester modeste. “Je pars du principe que tout système est vulnérable. Dans ce cas, il suffit de trouver les subtilités de son langage pour voir ce qui se passe lorsqu’on lui demande ce qui n’était pas prévu.”
En temps normal, sur un site, un simple visiteur ne possède pas le droit d’exécuter n’importe quelle action. Si le code est bien rédigé, il lui sera interdit de consulter les pages qui contiennent des informations sensibles, comme les mots de passe, ou les identifiants de connexion de chaque utilisateur, par exemple. Pas pour un spécialiste comme BitK. Les entreprises ont donc bien compris l’intérêt de recourir à des “chapeaux blancs”, comme lui, pour éviter que ces informations précieuses ne tombent entre de mauvaises mains. Pour s’attirer leurs services, elles n’hésitent pas, donc, à offrir des récompenses aux hackers pour qu’ils les aident à remonter des informations critiques auprès d’elles. Depuis dix ans, d’ailleurs, même les plus grands ne peuvent plus se passer de leurs services. Pas même Google, qui a reconnu avoir versé près de 29 millions de dollars de primes à ces “chercheurs en sécurité”. Depuis 2011, ils l’auraient aidé à détecter plus de 11.000 brèches par l’intermédiaire de son programme de VRP (pour « vulnerability rewards program »).
« Chasseurs de bugs »
Un modèle popularisé sous le nom de “bug bounty” (littéralement, “chasse aux bugs”), qui connaît un succès bondissant depuis l’apparition de plateformes spécialisées dans ce type de service, comme HackerOne, aux États-Unis, ou YesWeHack, en France. “Le principe consiste à mettre en relation les hackers avec des entreprises qui cherchent à tester leur niveau de sécurité, explique son fondateur, Guillaume Vassault-Houlière. Les chasseurs, comme on les appelle, viennent à nous pour trouver des vulnérabilités et sont récompensées en fonction de ce qu’ils trouvent.” Les primes peuvent aller de 50 à 250.000 euros, en fonction de la “criticité” de leurs découvertes, nous explique-t-il. A ce jour, le site revendique plus de 25.000 partenaires à travers 160 pays et une traçabilité totale sur les transactions qui sont effectuées. Rien à voir, donc, avec le marché noir, pratiqué sur le DarkNet par des hackers moins scrupuleux.
Une transparence récompensée par les investisseurs, qui viennent de confirmer leur intérêt auprès de YesWeHack. Le 22 juillet dernier, la société a entamé une nouvelle levée de fonds de 16 millions d’euros, financée par la Banque des territoires et le fonds d’investissement, Eiffel Investment Group, pour accélérer son expansion à l’étranger. Un signe de plus, s’il en fallait, que les hackeurs éthiques peuvent rapporter de l’argent, mais aussi en faire gagner aux entreprises. Même si tous ne peuvent prétendre aux plus hautes récompenses, comme le rappelle BitK, la plupart se contentant de primes plus modestes : « Au Pakistan, ou en Inde, où se trouvent de nombreux hackers, le montant des petits bugs à 50 ou 100 euros, peut vite représenter une somme intéressante dans la vie de tous les jours ».
Sécurité de l’emploi
D’ailleurs, de moins en moins de hackers se cachent de leur activité. “Éthique, cela ne veut pas dire désintéressé, cela signifie simplement que nous choisissons la légalité”, insiste Daniel Le Gall, un hackeur suisse, inscrit sur les réseaux sous le nom de Blaklis. “En ce qui me concerne, je m’attaque spécialement aux pages Web”, insiste cet autodidacte qui concède s’être mis au code, à ses 11 ans, dans l’objectif d’apprendre à “tricher aux jeux vidéo”. Sa “cible préférée”? Swisscom, l’opérateur national des télécoms dans son pays. “Il m’est arrivé de rapporter jusqu’à 290 vulnérabilités auprès d’eux, ces trois dernières années, soit l’équivalent de 418.000 euros en primes. Alors, forcément, on a appris à se connaître. Mais ce n’est rien encore, par rapport à ce qu’elles m’auraient rapporté si je les avaient vendues au marché noir”.
Un calcul trop risqué, selon lui, qu’il préfère laisser à d’autres. “En ce qui me concerne, j’ai la chance de pouvoir me verser un salaire fixe depuis que j’ai créé ma propre entreprise.” Avec un simple BTS en informatique en poche (“pour le papier”), et des heures à étudier en solitaire, Daniel Le Gall s’est assis une solide réputation, qui lui permet de mener le train de vie confortable (plus de 4.000 euros par mois) à seulement 28 ans. A Lonay, près de Lausanne, Bugscale, sa petite société emploie cinq salariés à temps plein. Un travail d’équipe, qui permet à chacun de toucher son pourcentage sur les failles rapportées au cours du mois. “On peut dire que j’ai la sécurité de l’emploi, s’en réjouit-il. « D’ailleurs, il ne se passe pas un mois sans que je reçoive le message d’un recruteur sur LinkedIn qui me propose d’aller chez un client de grand renom”, ajoute Blaklis. Mais le risque existe, selon lui, de s’engager dans un parcours comme le sien.
Un manque de formations
Car la concurrence est appelée à se renforcer, au fil des années. “Au moment où nous avons commencé, il existait encore peu de formations sur la cybersécurité. A nos débuts, il fallait se contenter de diplômes d’ingénieur en informatique qui comportaient une vague option en sécurité”, se souvient Sébastien Dartigalongue, l’un des fondateurs de l’association Root-Me, plateforme d’apprentissage à la sécurité informatique et au hacking. Or, la situation a changé depuis l’apparition de nombreux sites, sur le modèle de HackThisSite, de l’hacktiviste américain Jeremy Hammond, qui proposent à des débutants de se former aux bases du métier, tout seul. Et aux plus confirmés, de monter eux-mêmes en compétences contre des victimes fictives. “Au début, on a pu nous accuser de former des hackers, car nos défis apprenaient à contourner les dispositifs de sécurité, poursuit-il. Mais aujourd’hui, c’est nous que les écoles ou les sociétés de services numériques, comme Thales ou Capgemini, viennent chercher pour entraîner leurs équipes”.
Un succès confirmé par le nombre de joueurs inscrits sur la plateforme. Plus de 500.000 abonnés, répartis à travers le monde, se sont déjà frottés à l’un des défis proposés sur le site, comme injecter du code, ou récupérer des informations en utilisant un script. Une méthode ludique, qui permet également à des recruteurs de repérer les futurs talents en se portant partenaires sur des compétitions. Comme les CTF (pour « capture the flag »), ces simulations d’attaques où deux équipes s’affrontent pour « récupérer le drapeau » de l’autre. Ainsi, le ministère des Armées, ou encore la DGSE, ont déjà mis au point leurs propres « challenges ». De quoi assurer un avenir, en France, à cette profession qui peine encore à trouver sa place dans les universités.
Une comble quand on sait que 3,5 millions d’emplois restent à pourvoir en 2021 dans le milieu de la cybersécurité, rapporte une étude menée par le cabinet PwC. Mais ce n’est pas la dernière des surprises. Ce serait oublier l’absence des femmes dans cette profession, dont la proportion n’a que peu évolué depuis 2013. Selon les chercheurs de la californienne, Cybersecurity Ventures, elles ne seraient que 20%, actuellement, à occuper des postes dans le domaine de la cybersécurité. Bien peu, donc, par rapport aux perspectives d’emploi qui existent sur le marché. Un défi dont personne, à présent, n’a encore réussi à percer le code.
Mais les hackers courent un autre risque, affirme le chercheur au CNRS, Olivier Alexandre, celui de voir leur valeur se faire « approprier » par la Silicon Valley, en devenant des « hackers-entrepreneurs ». « Les entreprises tentent en effet de faire des hackers une population ressource à la fois en termes de production et de consommation de leurs services », écrit-il, mais cette « stratégie » pourrait finir par se retourner contre eux. Car leur activité pourrait finir par se fondre dans les autres métiers de la sécurité et ainsi, perdre sa singularité.
Par Challenges
