Des hackers éthiques au service des entreprises

Ils sont le cau­che­mar des entre­prises, ils usurpent nos iden­ti­tés, para­lysent les acti­vi­tés des orga­ni­sa­tions et cam­briolent des places bour­sières de cryp­to-mon­naie. Deux tiers des entre­prises mon­diales auraient subi une cybe­rat­taque en 2020, ce qui repré­sen­te­rait une perte de plus de 1000 mil­liards de dol­lars, soit envi­ron 1% du PIB mon­dial ¹.

Pour lut­ter contre les failles de cyber­sé­cu­ri­té, les entre­prises font de plus en plus appel à des pro­grammes de bug boun­ty [prime aux bogues]. Le prin­cipe est simple : les entre­prises per­mettent à des hackers d’explorer leurs pro­grammes, sites web ou appli­ca­tions à la recherche de failles de sécu­ri­té à signa­ler. Les avan­tages pour les firmes sont nom­breux, mais le prin­ci­pal est finan­cier. L’entreprise ne paie une prime que si une nou­velle vul­né­ra­bi­li­té est détec­tée, au contraire des tra­di­tion­nels audits en cyber­sé­cu­ri­té, qui sont coû­teux et doivent être réa­li­sés fréquemment.

Démo­cra­ti­sa­tion du phénomène

Les pla­te­formes met­tant en rela­tion les entre­prises et les hackers éthiques sont appa­rues dès fin 2013 et le mar­ché se déve­loppe très rapi­de­ment. À titre d’exemple, Hacke­rOne, le lea­der du mar­ché enre­gistre plus de 7 000 entre­prises uti­li­sant ses ser­vices, ce qui repré­sente plus de 100 mil­lions de dol­lars de prime entre 2013 et mai 2020, et une crois­sance annuelle moyenne de 86% du mon­tant total des primes dis­tri­buées par les entreprises.

Si à l’origine les pro­grammes de bug boun­ty étaient réser­vés aux entre­prises du sec­teur du Web et de la Tech (Nets­cape, Mozilla, Google, Face­book, Micro­soft…) ain­si qu’aux entre­prises spé­cia­li­sées dans la cyber­sé­cu­ri­té, on constate à pré­sent une géné­ra­li­sa­tion de son usage à la fois dans le sec­teur pri­vé (Uni­ted Air­lines, BNP Pari­bas…) et public (la Com­mis­sion Euro­péenne, Appli­ca­tion Anti­Co­vid…), autant dans des entre­prises éloi­gnées du Web (Star­bucks, Hyatt, Gene­ral Motors…) que celles qui sem­blaient réti­centes à par­ta­ger des infor­ma­tions confi­den­tielles (la Défense ou l’Armée). Le déve­lop­pe­ment de ces pla­te­formes et de leur uti­li­sa­tion montre que l’utilisation des bug boun­ties devient aujourd’hui une pra­tique de plus en plus incon­tour­nable pour l’ensemble des organisations.

Une alter­na­tive au mar­ché noir ?

De prime abord, on pour­rait pen­ser que ce type de pla­te­forme détourne les hackers du tra­fic illi­cite sur le dark web. Pour un hacker, il n’y aurait plus vrai­ment d’intérêt à vendre une faille sur le dark net quand il est pos­sible d’obtenir une prime en la repor­tant direc­te­ment – et léga­le­ment – à l’entreprise concernée.

La réa­li­té s’avère plus com­plexe. Les bug boun­ties et le dark web per­durent en paral­lèle sans que l’on observe beau­coup de pas­se­relles entre les deux uni­vers. Les moti­va­tions et les acti­vi­tés des hackers sur les bug boun­ties et le dark web semblent être d’ailleurs rela­ti­ve­ment dif­fé­rentes. Sur le dark web, il ne s’agit pas de trou­ver une faille et de la cor­ri­ger, il faut savoir pro­po­ser un « exploit », c’est à dire déve­lop­per un outil qui exploite la faille pour réa­li­ser des actions mal­veillantes, comme injec­ter des codes mali­cieux ou voler des don­nées confi­den­tielles. Au contraire, les bug boun­ties offrent la pos­si­bi­li­té à des hackers « éthiques » (les white hats) d’œuvrer pour la socié­té à tra­vers une « bonne cause », mais aus­si de se for­mer et de deve­nir des experts en sécu­ri­té ².

Des pro­grammes et des tâches très variées

D’apparence, la manière de gérer un pro­gramme de bug boun­ty semble assez stan­dar­di­sée. Mais en réa­li­té, la recherche de bugs peut recou­vrir des tâches et des acti­vi­tés de natures variées. Dans cer­tains cas, la recherche de failles peut s’apparenter à des « micro-tâches » ³ mobi­li­sant un faible niveau d’expertise et une acti­vi­té plu­tôt rou­ti­nière. Mais dans d’autres, le tra­vail est plus libre, et néces­site des com­pé­tences plus déve­lop­pées, notam­ment lorsque l’objectif est d’explorer les sys­tèmes à la recherche de failles zero-day ⁴.

 C’est le cas, par exemple, du célèbre concours Pwn2Own qui vise prin­ci­pa­le­ment les navi­ga­teurs web, les machines vir­tuelles et les voi­tures connec­tées. Les hackers sont invi­tés à prendre le contrôle d’un sys­tème en com­bi­nant plu­sieurs attaques. La com­plexi­té de la tâche se reflète d’ailleurs dans la rému­né­ra­tion du tra­vail réa­li­sé. Plus la faille est cri­tique, com­plexe et bien docu­men­tée avec des recom­man­da­tions pour la solu­tion­ner, plus la récom­pense sera grande : Google offre ain­si 100 000 dol­lars à celui ou celle qui par­vien­dra à démon­trer en direct une faille dans le « bac à sable » ⁵ de Chrome.

Pla­te­forme, école et agence de recrutement

Pour un jeune hacker qui s’intéresse à la sécu­ri­té infor­ma­tique, le bug boun­ty est aus­si un excellent moyen de se for­mer sur le tas. La pla­te­forme lui per­met de tra­vailler sur de vrais sites et appli­ca­tions, et ce de manière légale. La com­mu­nau­té des hackers, ain­si que la pla­te­forme elle-même, jouent un rôle impor­tant dans la dif­fu­sion et l’échange de connais­sances. La publi­ca­tion sur la pla­te­forme des rap­ports « exem­plaires », les ren­contres de hackers orga­ni­sées, ou les for­ma­tions en ligne sont autant d’éléments qui favo­risent ces échanges et l’apprentissage.

La pla­te­forme agit éga­le­ment comme une vitrine pour les hackers, qui peuvent démon­trer leurs talents et ain­si se construire un « CV » auprès des entre­prises. Cha­cun dis­pose d’un pro­fil qui pré­sente des sta­tis­tiques, visibles par tous, sur ses expé­riences pas­sées et son niveau de per­for­mance. Diverses règles d’incitation à la concur­rence sont mises en œuvre, telles que la remise de tro­phées, de badges ou la tenue d’un pal­ma­rès des meilleurs hackers ⁶. Rien d’étonnant, donc, à ce que ces pla­te­formes servent aus­si au recru­te­ment de per­sonnes com­pé­tentes en cyber­sé­cu­ri­té par les entre­prises, qui sont sou­vent confron­tées à des pénu­ries struc­tu­relles sur le mar­ché ⁷.

Pour les entre­prises, à plus long terme le bug boun­ty peut appor­ter des avan­tages encore plus signi­fi­ca­tifs que de la simple exter­na­li­sa­tion de tra­vail en cyber­sé­cu­ri­té. La diver­si­té des pro­fils des hackers et leur regard exté­rieur sont une valeur ajou­tée consi­dé­rable, mais l’entreprise doit être capable d’assimiler rapi­de­ment les infor­ma­tions acquises pour cor­ri­ger les failles, et en pro­fi­ter pour faire mon­ter en com­pé­tence les équipes internes. L’objectif est de ne pas faire repo­ser toute l’expertise tech­nique sur quelques per­sonnes exté­rieures à l’entreprise.

Par ailleurs, l’enjeu est aus­si de trou­ver une gram­maire com­mune entre le lan­gage de l’entreprise et la culture par­ti­cu­lière des hackers pour que la col­la­bo­ra­tion soit la plus pro­duc­tive possible.

Pirates des temps modernes ou cyber-experts de demain ?

Les bug boun­ties sont à la fois les fruits des outils numé­riques et le ter­reau per­met­tant la crois­sance d’une nou­velle forme de « hacking » qui par­ti­cipe à la construc­tion de la cyber-exper­tise de demain. Néan­moins, le déve­lop­pe­ment du phé­no­mène pose un grand nombre d’enjeux orga­ni­sa­tion­nels pour nos entre­prises qui ne sont pas encore habi­tuées à tra­vailler avec « la foule », en par­ti­cu­lier sur des ques­tions aus­si sen­sibles que la sécu­ri­té. Ces pla­te­formes offrent d’importantes oppor­tu­ni­tés d’apprentissages pour les hackers mais éga­le­ment pour les entre­prises, pour qui l’enjeu est de capi­ta­li­ser sur ces échanges et de mener à bien le trans­fert de connais­sances et de com­pé­tences en matière de cybersécurité.