Des hackers éthiques au service des entreprises

Ils sont le cauchemar des entre­pris­es, ils usur­pent nos iden­tités, paral­y­sent les activ­ités des organ­i­sa­tions et cam­bri­o­lent des places bour­sières de cryp­to-mon­naie. Deux tiers des entre­pris­es mon­di­ales auraient subi une cyber­at­taque en 2020, ce qui représen­terait une perte de plus de 1000 mil­liards de dol­lars, soit env­i­ron 1% du PIB mon­di­al ¹.

Pour lut­ter con­tre les failles de cyber­sécu­rité, les entre­pris­es font de plus en plus appel à des pro­grammes de bug boun­ty [prime aux bogues]. Le principe est sim­ple : les entre­pris­es per­me­t­tent à des hack­ers d’explorer leurs pro­grammes, sites web ou appli­ca­tions à la recherche de failles de sécu­rité à sig­naler. Les avan­tages pour les firmes sont nom­breux, mais le prin­ci­pal est financier. L’entreprise ne paie une prime que si une nou­velle vul­néra­bil­ité est détec­tée, au con­traire des tra­di­tion­nels audits en cyber­sécu­rité, qui sont coû­teux et doivent être réal­isés fréquemment.

Démoc­ra­ti­sa­tion du phénomène

Les plate­formes met­tant en rela­tion les entre­pris­es et les hack­ers éthiques sont apparues dès fin 2013 et le marché se développe très rapi­de­ment. À titre d’exemple, HackerOne, le leader du marché enreg­istre plus de 7 000 entre­pris­es util­isant ses ser­vices, ce qui représente plus de 100 mil­lions de dol­lars de prime entre 2013 et mai 2020, et une crois­sance annuelle moyenne de 86% du mon­tant total des primes dis­tribuées par les entreprises.

Si à l’origine les pro­grammes de bug boun­ty étaient réservés aux entre­pris­es du secteur du Web et de la Tech (Netscape, Mozil­la, Google, Face­book, Microsoft…) ain­si qu’aux entre­pris­es spé­cial­isées dans la cyber­sécu­rité, on con­state à présent une général­i­sa­tion de son usage à la fois dans le secteur privé (Unit­ed Air­lines, BNP Paribas…) et pub­lic (la Com­mis­sion Européenne, Appli­ca­tion Anti­Covid…), autant dans des entre­pris­es éloignées du Web (Star­bucks, Hyatt, Gen­er­al Motors…) que celles qui sem­blaient réti­centes à partager des infor­ma­tions con­fi­den­tielles (la Défense ou l’Armée). Le développe­ment de ces plate­formes et de leur util­i­sa­tion mon­tre que l’utilisation des bug boun­ties devient aujourd’hui une pra­tique de plus en plus incon­tourn­able pour l’ensemble des organisations.

Une alter­na­tive au marché noir ?

De prime abord, on pour­rait penser que ce type de plate­forme détourne les hack­ers du traf­ic illicite sur le dark web. Pour un hack­er, il n’y aurait plus vrai­ment d’intérêt à ven­dre une faille sur le dark net quand il est pos­si­ble d’obtenir une prime en la repor­tant directe­ment – et légale­ment – à l’entreprise concernée.

La réal­ité s’avère plus com­plexe. Les bug boun­ties et le dark web per­durent en par­al­lèle sans que l’on observe beau­coup de passerelles entre les deux univers. Les moti­va­tions et les activ­ités des hack­ers sur les bug boun­ties et le dark web sem­blent être d’ailleurs rel­a­tive­ment dif­férentes. Sur le dark web, il ne s’agit pas de trou­ver une faille et de la cor­riger, il faut savoir pro­pos­er un « exploit », c’est à dire dévelop­per un out­il qui exploite la faille pour réalis­er des actions malveil­lantes, comme injecter des codes mali­cieux ou vol­er des don­nées con­fi­den­tielles. Au con­traire, les bug boun­ties offrent la pos­si­bil­ité à des hack­ers « éthiques » (les white hats) d’œuvrer pour la société à tra­vers une « bonne cause », mais aus­si de se for­mer et de devenir des experts en sécu­rité ².

Des pro­grammes et des tâch­es très variées

D’apparence, la manière de gér­er un pro­gramme de bug boun­ty sem­ble assez stan­dard­is­ée. Mais en réal­ité, la recherche de bugs peut recou­vrir des tâch­es et des activ­ités de natures var­iées. Dans cer­tains cas, la recherche de failles peut s’apparenter à des « micro-tâch­es » ³ mobil­isant un faible niveau d’expertise et une activ­ité plutôt rou­tinière. Mais dans d’autres, le tra­vail est plus libre, et néces­site des com­pé­tences plus dévelop­pées, notam­ment lorsque l’objectif est d’explorer les sys­tèmes à la recherche de failles zero-day ⁴.

 C’est le cas, par exem­ple, du célèbre con­cours Pwn2Own qui vise prin­ci­pale­ment les nav­i­ga­teurs web, les machines virtuelles et les voitures con­nec­tées. Les hack­ers sont invités à pren­dre le con­trôle d’un sys­tème en com­bi­nant plusieurs attaques. La com­plex­ité de la tâche se reflète d’ailleurs dans la rémunéra­tion du tra­vail réal­isé. Plus la faille est cri­tique, com­plexe et bien doc­u­men­tée avec des recom­man­da­tions pour la solu­tion­ner, plus la récom­pense sera grande : Google offre ain­si 100 000 dol­lars à celui ou celle qui parvien­dra à démon­tr­er en direct une faille dans le « bac à sable » ⁵ de Chrome.

Plate­forme, école et agence de recrutement

Pour un jeune hack­er qui s’intéresse à la sécu­rité infor­ma­tique, le bug boun­ty est aus­si un excel­lent moyen de se for­mer sur le tas. La plate­forme lui per­met de tra­vailler sur de vrais sites et appli­ca­tions, et ce de manière légale. La com­mu­nauté des hack­ers, ain­si que la plate­forme elle-même, jouent un rôle impor­tant dans la dif­fu­sion et l’échange de con­nais­sances. La pub­li­ca­tion sur la plate­forme des rap­ports « exem­plaires », les ren­con­tres de hack­ers organ­isées, ou les for­ma­tions en ligne sont autant d’éléments qui favorisent ces échanges et l’apprentissage.

La plate­forme agit égale­ment comme une vit­rine pour les hack­ers, qui peu­vent démon­tr­er leurs tal­ents et ain­si se con­stru­ire un « CV » auprès des entre­pris­es. Cha­cun dis­pose d’un pro­fil qui présente des sta­tis­tiques, vis­i­bles par tous, sur ses expéri­ences passées et son niveau de per­for­mance. Divers­es règles d’incitation à la con­cur­rence sont mis­es en œuvre, telles que la remise de trophées, de badges ou la tenue d’un pal­marès des meilleurs hack­ers ⁶. Rien d’étonnant, donc, à ce que ces plate­formes ser­vent aus­si au recrute­ment de per­son­nes com­pé­tentes en cyber­sécu­rité par les entre­pris­es, qui sont sou­vent con­fron­tées à des pénuries struc­turelles sur le marché ⁷.

Pour les entre­pris­es, à plus long terme le bug boun­ty peut apporter des avan­tages encore plus sig­ni­fi­cat­ifs que de la sim­ple exter­nal­i­sa­tion de tra­vail en cyber­sécu­rité. La diver­sité des pro­fils des hack­ers et leur regard extérieur sont une valeur ajoutée con­sid­érable, mais l’entreprise doit être capa­ble d’assimiler rapi­de­ment les infor­ma­tions acquis­es pour cor­riger les failles, et en prof­iter pour faire mon­ter en com­pé­tence les équipes internes. L’objectif est de ne pas faire repos­er toute l’expertise tech­nique sur quelques per­son­nes extérieures à l’entreprise.

Par ailleurs, l’enjeu est aus­si de trou­ver une gram­maire com­mune entre le lan­gage de l’entreprise et la cul­ture par­ti­c­ulière des hack­ers pour que la col­lab­o­ra­tion soit la plus pro­duc­tive possible.

Pirates des temps mod­ernes ou cyber-experts de demain ?

Les bug boun­ties sont à la fois les fruits des out­ils numériques et le ter­reau per­me­t­tant la crois­sance d’une nou­velle forme de « hack­ing » qui par­ticipe à la con­struc­tion de la cyber-exper­tise de demain. Néan­moins, le développe­ment du phénomène pose un grand nom­bre d’enjeux organ­i­sa­tion­nels pour nos entre­pris­es qui ne sont pas encore habituées à tra­vailler avec « la foule », en par­ti­c­uli­er sur des ques­tions aus­si sen­si­bles que la sécu­rité. Ces plate­formes offrent d’importantes oppor­tu­nités d’apprentissages pour les hack­ers mais égale­ment pour les entre­pris­es, pour qui l’enjeu est de cap­i­talis­er sur ces échanges et de men­er à bien le trans­fert de con­nais­sances et de com­pé­tences en matière de cybersécurité.