in ,

A la rencontre des hackers qui gagnent des millions… légalement

hackers
Jesse Kinser est payé pour trouver des pépins dans les logiciels de certaines des plus grandes entreprises du monde

Il s’agit des pirates éthiques ou pirates à “chapeau blanc”, qui peuvent gagner plus de 350 000 $ (208.417.202 FCFA) par année pour avoir repéré les faiblesses des logiciels avant qu’ils ne soient découverts par les méchants, ou “pirates à chapeau noir”.

Voici comment fonctionne l’industrie et les nombreux défis qu’elle doit relever dans sa quête d’un Internet plus sûr.

Un jour de l’été 2016, Pranav Hivarekar, un hacker à plein temps, est parti en mission pour trouver des failles dans la dernière fonctionnalité de Facebook.

Le géant des médias sociaux avait annoncé, seulement huit heures auparavant, qu’il permettrait aux utilisateurs de commenter les messages utilisant des vidéos.

Pranav a commencé à pirater le système pour repérer les faiblesses, les erreurs que les criminels pourraient exploiter pour pénétrer dans le réseau d’une entreprise et voler des données.

Et voici ce qu’il a trouvé : le code avait des failles qui pouvaient être utilisées pour supprimer n’importe quelle vidéo de Facebook.

“J’ai découvert que je pouvais exploiter le code et même supprimer une vidéo téléchargée par Mark Zuckerberg si je le voulais “, déclare Pranav, un pirate éthique de la ville indienne de Pune, à la BBC.

Il a signalé cette erreur, ou bug, à Facebook par le biais de son programme ‘bug bounty’.

En l’espace de quinze jours, il a été récompensé par une somme à cinq chiffres en dollars.

Chasseurs de failles

Certains pirates informatiques éthiques gagnent maintenant beaucoup d’argent, et l’industrie est en pleine croissance.

Les soi-disant chasseurs de failles sont généralement jeunes – plus des deux tiers d’entre eux sont âgés de 18 à 29 ans, selon les estimations de l’industrie.

Ils sont récompensés par un nombre croissant de grandes entreprises grâce à des primes pour trouver des failles dans le code web avant que les méchants ne le fassent.

Trouver un bug qui n’a jamais été découvert auparavant est très rare et peut mener à des gains importants, peut-être des centaines de milliers de dollars – une incitation énorme pour l’élite éthique ou pirates à “chapeau blanc”.

“Les primes sont la seule source de revenu pour moi”, dit Shivam Vashisht, une hacker éthique du nord de l’Inde qui a gagné plus de 125 000 $ (74.420.177 FCFA) l’an dernier.

“Je pirate légalement les plus grandes entreprises du monde et je suis payé pour ça, ce qui est amusant et stimulant.”

Sandeep Singh fait partie du top 10 des hackers sur la plateforme HackerOne

 

C’est un domaine qui ne nécessite pas d’éducation formelle ou d’expérience pour réussir.

Shivam, comme beaucoup d’autres, déclare qu’il a repris le processus par le biais de ressources en ligne et de blogs.

“J’ai passé de nombreuses nuits blanches à apprendre le piratage et le processus d’attaque des systèmes. J’ai même abandonné l’université en deuxième année.”

Il a maintenant transformé son désir insatiable de trouver des failles dans le code en une carrière lucrative, un peu comme un hacker américain nommé Jesse Kinser.

“Mon intérêt pour le piratage a pris son envol à l’université lorsque j’ai commencé à faire beaucoup de recherches indépendantes sur le piratage mobile et la criminalistique numérique “, a-t-elle expliqué par courriel.

“Au cours d’un projet, j’ai trouvé un moyen d’introduire des applications malveillantes dans la boutique d’applications Android sans détection.”

Beaucoup d’argent

Selon les experts, les programmes de primes aux mouchards informatiques jouent un rôle majeur dans leur motivation.

“Ces programmes constituent une alternative légale pour les personnes qui, autrement, seraient enclines à se livrer aux activités néfastes de pirater un système et de vendre ses données illégalement “, déclare Terry Ray, directeur de la technologie de la société Imperva, spécialisée dans la sécurité des données.

En 2018, les pirates informatiques des États-Unis et de l’Inde ont réclamé la part la plus élevée de primes dans le monde, selon la société de cybersécurité HackerOne.

Certains d’entre eux peuvent gagner plus de 350 000 $ (208.417.202 FCFA) par année.

Shivam Vashisht a repris le processus de piratage éthique au moyen de ressources en ligne et de blogs.

 

Sandeep Singh, aujourd’hui largement connu sous le nom de “geekboy” dans le monde des hackers, dit que cela implique beaucoup de travail.

“Il m’a fallu six mois et 54 soumissions pour obtenir mon premier rapport valide et gagner une prime.”

Renforcer la sécurité

Des entreprises telles que Hacker One, Bug Crowd, Synack et d’autres mènent maintenant des programmes de primes aux bugs pour le compte de grandes organisations, et même de gouvernements.

Ils agissent en tant qu’agents pour les hackers éthiques contrôlés, vérifiant le travail effectué et assurant la confidentialité pour les clients.

Hacker One, la plus grande des trois entreprises les plus connues en matière de primes aux bugs, compte près de 550 000 pirates informatiques dans ses livres et a déjà versé plus de 70 millions de dollars (plus de 41 milliards FCFA), déclare Ben Sadeghipour, responsable des opérations de piratage informatique au sein de la société.

“Les primes de bugs ne sont pas nouvelles dans l’industrie de la technologie, mais les récompenses augmentent comme une étape naturelle dans le renforcement de la posture de sécurité d’une organisation.”

Les entreprises comprennent que le risque de ne pas en faire assez pour trouver ces vulnérabilités peut mener à une attaque potentielle de piratage, entraînant le vol de données, des pertes financières et une réputation endommagée.

“Ces dernières années, les atteintes à la sécurité informatique ont augmenté de plus de 80 % d’une année à l’autre, mais il existe un nombre limité de spécialistes de la sécurité “, selon la société Synack.

Programmes de primes publics ou privés

Synack reste incertain des programmes publics de primes aux bugs qui sont gérés indépendamment par des géants de la technologie, y compris Facebook et Google, puisqu’ils donnent aux pirates non habilités ou non qualifiés l’accès aux actifs numériques sensibles d’une entreprise.

“Par exemple, un pirate informatique a violé le guide mondial des restaurants Zomato en 2017 et aurait menacé de vendre les données de 17 millions d’utilisateurs sur un marché du Web obscur, à moins que la société ne lance un programme de primes aux bugs”, explique Synack.

Zomato a écrit un billet de blog admettant qu’une “partie de notre infrastructure… a été violée par un pirate éthique”.

Finalement, l’entreprise a cédé aux exigences du pirate et a promis de lancer un programme de primes de bug, et le pirate a détruit les données.

Les experts conseillent aux entreprises d’avoir toute une série d’autres moyens de défense bien administrés en place bien avant d’envisager de laisser les chasseurs de primes sniffer.

“Les primes devraient être la fin du processus et non le début “, déclare Ian Glover, responsable de l’organisation Crest, qui certifie les compétences des testeurs de sécurité éthique au Royaume-Uni.

L’hameçonnage dans la nature suscite d’autres préoccupations, notamment le fait que l’accès non autorisé à un système est illégal dans de nombreux pays.

Les entreprises de cybersécurité affirment qu’elles peuvent offrir des tests plus contrôlés grâce à des pirates crédibles.

La société HackerOne de Ben Sadeghiphipour a déjà versé plus de 70 millions de dollars en primes de bugs.

 

Pour les hackers, il devient plus facile de signaler les erreurs car de nombreux sites Web ou applications n’ont pas non plus de structure formelle de rapport de bugs, à part une adresse email générique d’administrateur.

“Les entreprises de Bug Bounty aident à faire en sorte que les rapports d’erreurs parviennent aux bonnes personnes “, explique Robbie Wiggins, testeur de sécurité.

Enjeux de l’industrie

Qu’il soit public ou privé, l’espace des primes est de plus en plus encombré. Et tout le monde ne gagne pas beaucoup.

Quelques personnes ont gagné beaucoup d’argent, mais la plupart ne l’ont pas fait.

L’industrie est également confrontée à un autre problème flagrant : le déséquilibre entre les sexes.

“La cybersécurité a toujours été un domaine dominé par les hommes, il n’est donc pas surprenant que l’an dernier, seulement 4% de la communauté mondiale des pirates informatiques était composée de femmes”, nous dit Casey Ellis, de Bug Crowd.

L’entreprise, avec d’autres géants de l’industrie, dit qu’elle lance diverses initiatives pour encourager davantage de femmes à se joindre à eux dans leur quête pour faire d’Internet un endroit plus sûr.

Mais beaucoup de choses doivent changer.

“C’est le résultat du fait que le travail des femmes est moins valorisé que celui des hommes, et c’est un problème endémique “, a dit un jour Jesse Kinser à Mashable dans une interview.

“Donc, je vois ça comme un problème de société. Il ne s’agit pas d’intéresser plus de femmes à la technologie, nous le sommes déjà, et nous sommes nées prêtes.”

Alors que les demandes pour un Internet plus sûr se multiplient, elle espère qu’un plus grand nombre de femmes se joindront à nous et trouveront du soutien au sein de la communauté du piratage informatique. Et elle pense que même de petits changements sont bénéfiques.

“Tout, quelle que soit sa taille, est un élan positif dans la bonne direction “, dit-elle.

 

 

 

 

 

 

 

 

bbc.com

Abdourahmane

Written by Abdourahmane

Je suis Diplômé en Aménagement et Gestion Urbaine en Afrique, Spécialiste en économie urbaine en même tant Reporter et Éditeur au Journal Universitaire. Je suis également un passionné des TIC.

Africa Innovation Challenge/Concours d’Agrégation SJPEG 2019/Université à deux vitesse/étudiants exclus/Université chinoise de Yunnan/Forum Economique/délégation du PATS/Concours d’agrégation 2019/Justice pour Fallou Séne/400 millions au CROUS/étudiants responsables/Conférence sur la Recherche/COUR DES COMPTES SÉNÉGAL/Crise à l’Ugb/plainte contre les étudiants /technologies civiques/coordination SAES /UGB-CESL/CIVIC TECH/Mali-Massacre de villageois Peulhs/Journées Sans Tickets/budget 2019 du CROUS/journée noire/Master 2 documentaire de création/CROUS-UGB/UGB-CROUS/Année invalide à l’UGB/UGB-AU/Résultats du Cames 2018/AG du Campus de Sanar/Hult Prize/Année blanche

’’Africa Innovation Challenge’’ : des pensionnaires de l’UGB reçoivent leur prix

Business Development Manager BAC + 4/Eco Afrique recrute un Business Development Manager/Responsable de Plateforme Logistique régional/relations avec les commerciaux/Expert en Gestion des récoltes rizicoles/Ingénieur Exploitation Monétique/Assistante de Direction rattachée au chef projet/Responsable Juridique BAC + 4/5/Chef de Projet MELITEJI/Chef de projet Marketing/Coordinateur terrain agroécologie/Chef de Projet Cash/Techniques Santé/Nutrition/Chef de Produit hydraulique/Assistant Commercial et Marketing/Specialiste national en suivi et évaluation/Conseiller Commercial Auto/Administrateur Systèmes en CDI/Conseiller Technique en Santé/Recrutement d'un Assistant Marketing et Communication/Expert en appui institutionnel/Business Développeur/Senior et Junior/Assistance et Protection des Migrants/bénévoles Infographiste/Responsable des partenariats/OSHUN Sénégal/Responsable des opérations/Consultant en Production de Vidéo/Technico-Commercial en Assurances/Responsable exploitation/Responsable de Production Extrusion Gonflage/agent commercial pour le Canal Moderne/responsable opérations/Agents Service Client/Chargé de la Robotisation/transports urbains/Ingénieur Électricien Senior/E&I Techniciens/Fitters/Executive Assistant/Chef de chantier principal – Aide conducteur de travaux/Juriste Et Repression Criminelle/Consultant Réseaux Sociaux/Chargés d’Affaires Grandes Entreprises/Conservateur de Documents en CDI/Ingénieur Principal / Architecte/Chargé de développement RH/Stagiaire Assistant aux Finances/Assistant Directrice Projet/Ingénieur chargé d’Etudes/Consultant en Audit sur le Genre/Volontaire Homme/Femme/Chargé de Suivi et Evaluation/Électromécaniciens à Dakar/Commerciaux en Assurance Vie/Contrôleur de Gestion International Projet/Responsable du Programme Education/Gestionnaire de Programme MPME/ Agriculture/Chargé de projet/Responsable Bureau D’études/Spécialiste Automatisme Régulation/Développement RH/Responsable des fonds /Technicien de Maintenance/Stagiaire Design et Médias Sociaux/Responsable de production Homme/Femme/Spécialiste en passation de marchés/Suivi et Evaluation-Projet OPTIFARE/Chargé de Gestion Contractuelle/Superviseur de la Formation/Swiss Fresh Water/Responsable Maintenance Mécanique/Spécialiste Produits/Responsable des canaux/Responsable du service de l’Agronomie/jeune ingénieur /Responsable régional des Opérations/Recrutement d'un Responsable/Responsable Ressources Humaines/Consultant transformation RH/hôtesse d’accueil en stage/Comptable PRN Saraya/Responsable Développement des Ventes/Spécialistes en Planification/Spécialiste en renforcement/plusieurs Administrateurs Systèmes/Stagiaires Commerciaux terrain/Chargés de Clientèle h/f/Chef de Mission/Responsable Académique/Directeur des Ressources Humaines h/f/Gestion International Projet/Consultant chargé de l’organisation/Directeur Général Adjoint/Stagiaire Digital Marketing & Com/Business Developer/Assistant Service Technique Homme/Femme/Responsable Opérationnel Qualité/enfants handicapés/Ingénieur Développeur Java/JEE Confirmé/Responsable Wash CTE/Business Development Manager/Prestation des Services de Santé/Responsable de Production/Stagiaire Web Marketeur/Chargé de développement/Professeur de physique chimie/Médical Responsable Projet/Winrock International/Chef d’Equipe Billettique/Chef d’unité voie caténaires abords/Chef de Projet Monétique/Aide Magasinier/Gestionnaire de Données/Chargés d’études/Analyste Risques de Crédits/Commercial expert pickup double cabine/Responsable dépôt (H/F) /Responsable programmes immobiliers/Communication et Visibilité H/F/Stagiaire Assistant Administratif/Chef de projet DIABETE/chauffeurs poids léger/Business Development Manager/Assistant pilotage de performance/Chargé Qualité/bénévoles en finances et administration/communication-réceptionniste/Ce poste vous intéresse ? Merci envoyer votre CV et rcommis de salle/Contrôleur de Gestion  Homme/Femme/Atelier Automobile/Directeur Technique-Directeur Travaux H/F/Hydraulicien/PPDC/Chargés de Clientèle Homme/Femme/Analyste de Programme/Directeur d’Exploitation de Carrière /Téléconseillers Homme/Femme/Africa Transaction Processing and Services/chargé de l’entrepreneuriat rural/Maersk/Stagiaire en Développement de Projets/Ingénieur Génie Civil spécialiste en Travaux Côtiers/Agent d’entretien des espaces verts/Chef de Produit Outillage/recrute un Responsable/Stagiaire en Administration/Opérateur de Chaudières-Turbines/Marketeur Digital/Technicien Ingénieur de Bâtiment/Technicien Ingénieur de Bâtiment/Stagiaire en Administration et Logistique H/F/Expert en Entreprise au Sénégal/Formateurs Sûreté Sécurité/Assistant qualité pilotage performance/INTERFACE/Responsable des Ressources/Directeur de la Formation Continue/établissement scolaire moyen et secondaire/Superviseurs de Conduite du TER/Réseau/Responsable QHSE/Stagiaires Administratifs/Regional Sales & Marketing Director/Directeur Technique Homme/Femme/Architecte digital Homme/Femme/Responsable Régional Ressources Humaines/Responsable Communication et  Développement/Contrôleur Qualité-Technicien Laboratoire/Développeur Full Stack/CREPMF/Chargé de qualité à Diamniadio/gérant Boutique H/F/Chef de projet organisation Homme/Femme/Coordonnateur et chargé de la mise/Responsable académique des études/Chef de ferme adjoint/Assistante Administrative Bilingue/Activateurs Phase Test/Référent Technique/Designer graphique/Contrôleur de gestion Homme/Femme /Responsable Logistique Programme/Chefs de projets/Chemonics/Directeur des Ventes/Chargé de communication Homme/Femme/C2K Staffing/Consultant Analyste Homme/Femme/Suivi essai clinique des plantes/ONG ONE/Coordonnateur Acquisition et Gestion des ressources/projet PROFUTURO/Assistant Gestion Programme/Importante Société/Maximerit/maintenance de systèmes de refroidissement/Spécialiste en Maintenance Datacenter/Swissaid/programme des énergies durables/Facilitateur en Nutrition/Gérant de la maintenance/Digital Business Developer/Chargé de développement marketing/Développeur PHP/projet REDISSE/Merci dEnseignante spécialisée/Responsable Matériel/Responsable Showroom/Chargé National des Affaires Humanitaires/Coordonnateur du service client/Chauffeur/Mécanicien/Développeur Java/NCBA Clusa/Assistant Pilotage Production Fibre

Recrutement d’un Consultant en Production de Vidéo