Hackers éthiques, les chasseurs de prime du web

Ces hackers mettent leurs compétences au service d’institutions ou d’entreprises. Objectif : détecter les failles de sécurité numérique en simulant une cyberattaque. Une “nouvelle profession” pour certains, un hobby rémunéré pour les autres.

Le 18/08/2020 par Morgane Russeil-Salvan

Payés à la prime, les hackers éthiques travaillent souvent en parallèle de leur véritable emploi. (Crédit : Shutterstock)

Le 15 juillet dernier, un trio de hackers piratait le réseau social Twitter et s’emparait des comptes d’Elon Musk, de Bill Gates et des multinationales Apple et Uber. Les cybercriminels s’en sont servis pour inciter les internautes à leur envoyer des bitcoins, avec la promesse d’en recevoir le double. Au total, ils ont amassé l’équivalent en bitcoins de près de 116 000 dollars.

Cette figure du hacker comme cybercriminel motivé par l’appât du gain est celle que l’on connaît le mieux. Pourtant, le hacking peut être légal. Et, pour certain, devenir un métier à temps plein.

On les appelle des “hackers éthiques” ou des “bounty hunters” (chasseurs de prime). Leurs clients sont des entreprises, de la plus petite à la plus grande, ou même des institutions : pour évaluer la sécurité de son application StopCovid, c’est vers le hacking éthique que s’est tourné le gouvernement français !

Ces “hunters”, dont l’âge se situe généralement entre 18 et 34 ans, identifient les failles de sécurité en utilisant les même techniques que des cybercriminels. Le principe ? Si l’un d’entre eux peut déceler une brèche et s’y engouffrer, un hacker mal intentionné en sera également capable. Les failles sont donc rapportées au client pour être corrigées.

Depuis 2019, neuf “hackers éthiques” sont devenus millionnaires

La “chasse” paraît ludique mais ne paie pas forcément bien. Les hackers ne sont pas rémunérés en fonction du temps qu’ils passent sur un site, mais à chaque “bug” recensé, d’où l’appellation de “bug bounty” pour décrire leur pratique. “En moyenne, nos primes tournent autour de 300 euros”, explique Marine Magnant, directrice marketing de l’entreprise Yes We Hack. “Mais il y a des écarts : pour une faille critique, on peut monter jusqu’à 20 000 euros.”

Yes We Hack fait partie de ces plateformes qui mettent en relation hackers et clients. Elle est la première sur le marché européen. Outre-Atlantique, c’est son équivalent Hacker One qui domine le secteur. Les deux entreprises travaillent avec des hackers de tous les horizons.

Hacker One est adepte des success stories : “Santiago Lopez, jeune argentin de 20 ans, est devenu l’an dernier le premier hacker au monde à dépasser un million de dollars de gains via ses activités de hacking éthique” soulignent ses communiqués de presse. “Plus remarquable encore : Santiago est un autodidacte, ce qui prouve qu’il n’est pas nécessaire de passer par une formation universitaire ou une école d’ingénieur pour gagner sa vie en tant que hacker.”

À Yes We Hack, on préfère mitiger le propos. “Les trois quart de nos hunters pratiquent le bug bounty en parallèle de leur emploi », précise Marine Magnant. Et s’il n’existe pas encore de formation officielle dédiée au hacking éthique, on ne peut pas vraiment parler de hackers complètement autodidactes, “la plupart d’entre eux [travaillant] déjà dans la sécurité numérique”.

Les États-Unis, à la pointe de la chasse à la prime

Si la majorité des hackers éthiques disposent d’une formation initiale en informatique, ils acquièrent le reste de leurs talents sur le tas, en général grâce à l’aide de leur propre communauté. Selon un sondage réalisé par Hacker One, 84 % des hackers considèrent les ressources en ligne et les blogs comme leur principale source d’apprentissage. Aux États-Unis, où la pratique est plus développée, ils peuvent également compter sur des conventions spécialisées, où ils se réunissent pour d’immenses opérations de hacking.

L’Europe n’y est pas encore. Alors que Hacker One comptabilise plus de 600 000 hackers – dont 18 % de ressortissants indiens et 11 % d’Américains – Yes We Hack n’en recense que 17 000, répartis dans plus de 120 pays. Et les entreprises du Vieux Continent sont encore frileuses à l’idée de laisser des hackers s’infiltrer dans leurs systèmes, regrette Marine Magnant.

Une profession – ou un hobby ? – en plein essor

Malgré tout, la pratique commence à s’imposer. Depuis sa création en 2013, Yes We Hack a triplé son nombre de hackers et multiplie les clients : Deezer, StopCovid, les Aéroports de Paris… “Sans compter, nous explique Marine Magnant, les clients du programme privé” : ces entreprises-là tiennent à rester anonymes en raison de la sensibilité de leurs services.

Le travail des hackers éthiques est suffisamment reconnu pour que même ces entreprises choisissent de confier l’analyse de leur sécurité numérique à ces professionnels… qui n’en sont pas vraiment !

Compétents sans être diplômés, ces chasseurs de bugs sont souvent attirés par le défi que représente le hacking plus que par l’appât du gain. 68 % des “hunters” de Hacker One classent le challenge en tête de leurs sources de motivation. Des passionnés qui, nous confie Marine Magnant, « démontaient déjà le système informatique de leur collège”…

A lire aussi :

Impact Job Fair 2023 : rendez-vous ce 12 octobre pour trouver un emploi engagé
Organisée chaque année, l'Impact Job Fair est l'occasion pour de jeunes passionnés de la transition écologique de trouver l'emploi de leur rêve.
WE DEMAIN 100% ado n°6 : 50 métiers pour sauver la planète
Avocate de la nature, poissonnier végétal, hackeur de chaleur… autant de métiers aujourd'hui méconnus qui seront sans doute sur le devant de la scène demain. Découvrez notre nouveau numéro WE DEMAIN 100% ado.
Les clubs de rugby se dotent de « Covid managers »
Dans le "monde d’après" le Covid-19, voici un nouveau métier. Chargé de faire respecter les règles sanitaires, le "Covid manager" est déjà un rouage essentiel dans l’univers du sport collectif, et particulièrement du rugby amateur.

Nos partenaires :

Les Napoleons : au-delà des sommets
Cette communauté de décideurs et d'acteurs du changement (innovation, environnement, social) organise, chaque année, deux sommets pour favoriser la collaboration et le partage d'idées novatrices. L'occasion aussi de proposer une plateforme pour les penseurs avant-gardistes et, ainsi, inspirer la transition.
« Plus de 1000 start-up françaises sont aujourd’hui des entreprises à impact »
DG de France Digitale, collectif de 2 000 start-up, Maya Noël est la marraine 2024 du Prix Entreprendre pour demain créé par la Fondation Sopra Steria- Institut de France et qui met en avant des start-up qui font sens. Le thème de cette édition ? "Une Tech responsable au service de l’environnement et de la solidarité."
OUI DEMAIN : « Avec le Web3, l’utilisateur reprend le contrôle de ses données »
Hélène Jacquinet, consultante blockchain & crypto, était l’invitée de la nouvelle masterclass OUI DEMAIN, animée par WE DEMAIN pour les étudiants du groupe OMNES Education. Avec pour thème : “Blockchain, cryptomonnaies, metaverse, Web3 : vers une nouvelle ère d'Internet ?”