Hacker. Le mot a tendance à faire peur, surtout à l’ère du tout numérique. On l’imagine installé dans une pièce sombre, seulement éclairée par la lueur de ses écrans sur lesquels défilent des lignes de code destinées à voler vos données bancaires, vos photos de vacances ou votre identité.
Pourtant, il existe aussi des hackers éthiques qui oeuvrent chaque jour pour sécuriser vos données et protéger les entreprises.
De plus en plus d’entreprises font appel à ces hackers éthiques, que l’on surnomme aussi « white hats » (chapeaux blancs), dans le cadre de ce qu’on appelle un bug bounty. Concrètement, l’entreprise va demander à des hackers de mettre à l’épreuve son système de défense à la recherche de failles exploitables. « Un bug bounty, c’est un audit avec obligation de résultat, résume Ely de Travieso, président du Club de la sécurité de l’information en région (Clusir) Paca. En général, les entreprises font un audit par an. Le bug bounty va compléter cela. Il est très pratique pour les PME qui n’ont pas la maturité pour demander un audit qui coûte en moyenne 10 000€. » Ces challenges sont publiés sur des plates-formes spécialisées à destination des hackers. « Ils voient la liste des challenges ouverts. Ils cherchent, ils trouvent, on rémunère », explique simplement Ely de Travieso qui gère également Bug bounty zone, « une plate-forme qui centralise aujourd’hui 300 chercheurs », précise-t-il, et dont le siège social est situé à Marseille. « Parmi nos clients, on trouve la SNCF, Allianz, Sanofi… », reprend-t-il.
Les chapeaux blancs qui s’évertuent à trouver ces failles ont généralement le même profil. « Souvent, ce sont des gens qui sont très jeunes, note Julien Valiente, président de l’association Hack in Provence qui oeuvre pour promouvoir le piratage éthique dans notre région. Ils n’ont même pas forcément fini leurs études. Il y en a qui sont lycéens. Ils sont simplement passionnés par la technique. Ils se sont auto-formés. Aujourd’hui, c’est très rare d’avoir des profils qui ont une formation universitaire dans le hacking. Il y a très peu d’écoles qui le font. À Polytech’ (où il enseigne, NDLR), on y travaille. L’intérêt est de les former d’une manière très éthique avec des connaissances sur le plan juridique plutôt que de les laisser s’auto-former. »
La rémunération, elle, est souvent gardée secrète. Elle dépend essentiellement de la dangerosité créée par la faille trouvée. Mais les plus grandes entreprises n’hésitent pas à récompenser généreusement les pirates, car elles ont tout à y gagner. « Lorsqu’une entreprise crée un bug bounty, cela montre une vraie maturité par rapport à l’environnement numérique. Contrairement aux acteurs qui sont victimes de failles informatiques, ceux qui font des bug bounty le disent », reprend Ely de Travieso. En 2018, Facebook a par exemple dépensé 1,1 million de dollars en récompenses à la suite de bug bounties. En février, Apple a récompensé Grant Thompson, un adolescent de 14 ans qui avait trouvé une faille sur la nouvelle version d’iOS, le système d’exploitation de l’iPhone. Le jeune homme avait prouvé qu’il était possible de s’ajouter de force à un groupe Facetime (la logiciel de conversation par visioconférence de l’iPhone), de passer un appel et de forcer le destinataire à y répondre. Et donc d’accéder à la caméra de son iPhone. La firme de Cupertino a versé une compensation financière – dont le montant n’a pas été révélé – à la famille de Grant pour le récompenser d’avoir découvert la faille et prendra en charge une partie de ses frais de scolarité, selon le média américain The Verge.
À l’exception de ces failles particulièrement importantes, le montant des récompenses se situe généralement entre une centaine et quelques milliers d’euros pour les cas les plus fréquents.