Hacker éthique : dans la peau d’un chasseur de primes

Vous connaissiez les méchants hackers, qui s’introduisent dans les systèmes informatiques pour voler des données et faire chanter leurs propriétaires ? Voici leur pire ennemi. Clément, alias SaxX, l’une des stars françaises du hacking éthique, raconte à WE DEMAIN comment il pirate pour mieux protéger.

Le 11/08/2021 par Gabriel Thierry

Vendredi soir. Malgré une semaine bien remplie par son job en cybersécurité pour une grande société, Clément commence sa deuxième journée. (Crédit : Philippe Renault/Ouest France/Maxppp)

Le monde numérique est un far-west où bons, brutes et truands s’affrontent autour d’un nouveau butin : les données. Parmi ces nouveaux acteurs, voici le chasseur de primes, ou « hacker éthique ». Moyennant récompense, il traque les failles informatiques avant que des hackers moins bien intentionnés ne les exploitent.

Cette chasse, aussi appelée « bug bounty » (prime au bug), est devenue indispensable aux entreprises présentes sur le Web – c’est-à-dire toutes. Au cours des années 2010, des plateformes les mettant en relation avec des « hackers éthiques » ont émergé. Le leader mondial est l’Américain HackerOne, qui en février annonçait que huit de ses hunters avaient franchi le cap du million de dollars de récompenses. En France, deux champions ont aussi émergé, YesWeHack et Yogosha. Actif sur la première plateforme depuis 2016, SaxX – Clément, dans la vraie vie – est aujourd’hui classé parmi les trois meilleurs hunters du site. Ce jeune homme de 29 ans a accepté de nous ouvrir son quotidien de chasseur de prime pendant trois semaines.

Cet article a initialement été publié dans WE DEMAIN n° 30, paru en mai 2020, toujours disponible sur notre boutique en ligne.

Jour 1

Vendredi 14 février, au soir. Malgré une semaine bien remplie par son job en cybersécurité pour une grande boîte de services numériques, Clément a encore fort à faire. Il ouvre les deux mails d’invitation reçus dans la semaine via YesWeHack. Le premier concerne une entreprise du textile, le second une banque. Les deux sociétés veulent faire tester leurs sites Internet. Des vulnérabilités informatiques pourraient leur causer de sérieux problèmes, que ce soit pour la protection des données personnelles de leurs clients, leur image ou leurs finances.

Jour 2

Début de week-end studieux. Dans son appart du centre-ville de Rennes, Clément dégaine son stylo et des post-its. Avant d’élaborer sa stratégie, il faut analyser les conditions de la chasse du jour : son périmètre, la façon dont les vulnérabilités doivent être signalées à l’entreprise, et bien sûr la grille des « rewards », les rémunérations. Déjà bien payé par son employeur, le jeune homme ne souhaite pas dévoiler le montant de ces primes. Un autre hacker bien classé de YesWeHack dit gagner 5 000 euros les bons mois, 100 euros les mauvais.

Au bout d’une heure, Clément commence par traquer les failles observables à partir d’une simple requête sur Google : des URL (adresses Internet) qui devraient rester privées sont-elles par exemple accessibles ? « Il faut être méthodique, c’est comme cela qu’on trouve la majorité des vulnérabilités », explique-t-il.

À lire aussi : GAFA : comment je suis devenu invisible

Jour 3

Ce dimanche, Clément déjeune avec un ami puis se rend aux Champs libres, la grande médiathèque rennaise où il travaille souvent, que ce soit pour son boulot ou pour ses scripts, ces petits programmes qui lui permettent de tester automatiquement la protection des sites visés.

Casque sur les oreilles, le hacker trouve vite la concentration nécessaire à l’écriture du code informatique. Aujourd’hui, il a déjà débusqué un défaut de configuration sur l’un des deux sites sur lesquels il chasse le bug. Pour trouver ces failles, SaxX utilise la suite logicielle préférée des hunters, Burp. Elle permet d’analyser les échanges entre un serveur et le navigateur web. Il utilise également Docker, un logiciel prisé pour effectuer des tests de sécurité informatique.

Jour 4

Après sa journée de boulot, Clément passe acheter des invendus alimentaires proposés par l’appli Too Good To Go. Puis il se remet sur son ordinateur, équipé de la dernière version de Debian, un système d’exploitation libre. Bingo : en explorant le code javascript du site de la banque, le hacker trouve une vulnérabilité. En changeant un simple paramètre de l’URL dans son logiciel simulant l’échange entre serveur et navigateur Web, on peut tromper l’internaute visitant le site en le renvoyant à une autre adresse ! Une sacrée faille, qui permettrait par exemple de récupérer les mots de passe d’un internaute en lui faisant croire qu’il est sur la page d’authentification de sa banque.

À minuit, SaxX décroche : il doit avancer sur le livre sur la cybersécurité que lui a commandé l’éditeur Fayard. Clément noircit quelques pages puis se couche vers 4 heures du matin. Un rythme habituel pour ce tout petit dormeur.

Jour 6

L’agenda du hacker est un peu chamboulé. Une application de transfert d’argent va sortir en Afrique de l’Ouest et on lui propose de chercher les vulnérabilités de ce service sensible. Du boulot en perspective. Pour ce projet urgent, SaxX est prêt à laisser de côté les deux autres recherches de failles. Le nouveau chantier va permettre d’améliorer une sécurité informatique encore souvent trop fragile en Afrique. Une cause chère à SaxX, Franco-sénégalais arrivé à 17 ans en Bretagne.

Jour 13

Début de la recherche de vulnérabilités sur l’appli de transfert d’argent en Afrique de l’Ouest. Le hacker trouve très vite des failles critiques. Il s’intéresse à la notification par SMS d’un transfert d’argent. L’envoi n’est limité ni en nombre de destinataires, ni par zone géographique. Un pirate malveillant pourrait très bien détourner le système et spammer les téléphones de millions de personnes.

Jour 16

Figure de son secteur, SaxX est contacté par un journaliste de presse écrite qui souhaite l’interroger sur les dessous de la cybersécurité. Puis Clément enchaîne sur un resto entre amis avant d’aller rendre visite à des personnes âgées en maison de retraite. Cela fait un an qu’il donne de son temps, sous la forme de balades et de lectures, pour des aînés. Un engagement consécutif à un grave accident de moto qui a fait réfléchir le jeune homme – de confession chrétienne – sur le sens de la vie.

Jour 20

Il est 1 h 30 et, comme souvent, le hacker ne dort pas. Très excité, il m’envoie un texto. Il s’est remis sur le bug bounty d’un opérateur téléphonique. Cela faisait six mois qu’il n’avait pas travaillé sur ce programme, mais il vient de trouver une très belle vulnérabilité : il a réussi à détourner le système de gestion des rendez-vous. Il me propose d’être cobaye. Les jours suivants, je recevrai sur mon téléphone des notifications, puis des appels, pour des rendez-vous jamais pris dans l’une des boutiques de cet opérateur mobile.

Jour 23

C’est l’heure du bilan de ces trois semaines de recherche de vulnérabilités. En tout, SaxX en a déniché 23. Une par jour, en moyenne. Un chiffre moyen pour le hunter, qui a connu des périodes plus fastes. Mais au regard du temps passé, le butin reste très honorable. Entre l’instabilité de l’activité et le risque de se renfermer sur soi, SaxX préfère chasser les primes à temps partiel. Exemple ce week-end, où le jeune homme a prévu d’aller mixer à Paris pour les 30 ans de deux copains. Le bug bounty attendra.

A lire aussi :

Pollution, disparition… comment bien choisir son saumon ?
Jusqu’aux années 1950, le saumon symbolisait l’eau pure des torrents et océans, une nourriture saine. Depuis, la pollution de la nature et le cloaque chimico-excrémentiel de la pisciculture ont sapé la santé des poissons, et la nôtre. Le saumon d’élevage est truffé de molécules néfastes et le sauvage est en voie de disparition. Voici quelques conseils pour bien le choisir.
Pour le cerveau, il n’y a pas de Covid heureux
Presque deux ans de pandémie et le coronavirus nous prend toujours autant la tête. Dans tous les sens du terme. Les études le confirment : le Sars-CoV-2 peut diffuser dans notre cerveau et entraîner des troubles neurologiques. Explications.
« Il est grand temps de monter en compétence et de se former à ce qu’Edgar Morin appelle ‘la pensée complexe' »
Nelly Pons, écrivaine et essayiste, autrice de "Océan plastique" et "Débuter son potager en permaculture", a répondu aux questions de WE DEMAIN sur l'urgence climatique.

Nos partenaires :

Les Napoleons : au-delà des sommets
Cette communauté de décideurs et d'acteurs du changement (innovation, environnement, social) organise, chaque année, deux sommets pour favoriser la collaboration et le partage d'idées novatrices. L'occasion aussi de proposer une plateforme pour les penseurs avant-gardistes et, ainsi, inspirer la transition.
« Plus de 1000 start-up françaises sont aujourd’hui des entreprises à impact »
DG de France Digitale, collectif de 2 000 start-up, Maya Noël est la marraine 2024 du Prix Entreprendre pour demain créé par la Fondation Sopra Steria- Institut de France et qui met en avant des start-up qui font sens. Le thème de cette édition ? "Une Tech responsable au service de l’environnement et de la solidarité."
OUI DEMAIN : « Avec le Web3, l’utilisateur reprend le contrôle de ses données »
Hélène Jacquinet, consultante blockchain & crypto, était l’invitée de la nouvelle masterclass OUI DEMAIN, animée par WE DEMAIN pour les étudiants du groupe OMNES Education. Avec pour thème : “Blockchain, cryptomonnaies, metaverse, Web3 : vers une nouvelle ère d'Internet ?”