Bug Bounty : une manne pour (certains) hackers « éthiques »

Les primes de chasse aux failles informatiques (bug bounty) ont atteint de nouveaux sommets, relève HackerOne dans son rapport 2020* sur les hackers « éthiques ».

La plateforme revendique, à fin février 2020, une communauté internationale de 600 000 inscrits, dont 90% d’hommes, et plus de 150 000 vulnérabilités découvertes et résolues.

Un bémol : 63% des profils techniques interrogés disent avoir trouvé des failles de sécurité et décidé de ne pas les signaler aux organisations concernées. La première raison, citée par 38% des répondants, est le « langage juridique menaçant » publié sur le site web de ces entités à propos de la découverte de vulnérabilités. L’absence d’un canal évident de signalement (21%) et le manque de réaction aux rapports de bugs précédents (15%) arrivent ensuite.

Ces freins n’empêchent pas la hausse du nombre des programmes et des montants de primes versés par de grandes entreprises et administrations.

Qui peut gagner des millions ?

En 2019, des chercheurs de failles critiques passés par HackerOne se sont partagés près de 40 millions de dollars de primes de chasse aux bugs. Une somme presque équivalente au montant total octroyé jusqu’ici, a souligné l’équipe en charge de la plateforme lancée en 2012 à San Francisco. En outre, à la fin de l’année dernière, les gains cumulés obtenus pour des rapports de vulnérabilité valides ont atteint plus de 82 millions de dollars.

Ces montants s’expliquent à la fois par la progression du nombre de programmes de chasse aux bugs traités par HackerOne (1700 programmes en 2019, contre 1200 en 2018) et par la hausse de la prime moyenne. À 3384 dollars, celle-ci a presque doublé en un an.

Les profils techniques basés outre-Atlantique sont les mieux lotis. En outre, la majeure partie des sommes attribuées (53%) se répartissent entre les six pays suivants : États-Unis (19%), Inde (10%), Russie (8%), Chine (7%), Allemagne (5%) et Canada (4%).

Hacking « éthique » à la demande

Chez HackerOne, 40% des inscrits déclarent consacrer 20 heures ou plus par semaine à leur activité de recherche de vulnérabilités informatiques. Tandis que 18% se présentent comme des hackers « à temps plein » prêts à faire carrière dans le piratage éthique.

Le rapport révèle également que 7 chercheurs en sécurité ont franchi le cap du million de dollars de revenus obtenus via les programmes bug bounty traités par la plateforme, à ce jour. 13 autres ont touché plus de 500 000 dollars et 146 ont déjà gagné 100 000 dollars.

Les sommes obtenues par la majorité sont bien plus modestes.

HackerOne souligne ainsi que la majeure partie des membres de sa communauté gagnent moins de 20 000 dollars par an. En outre, le plus grand nombre de répondants (27%) déclarent que 10% seulement de leurs revenus émanent de la recherche active de bugs.

Malgré tout, l’expérience acquise dans ce domaine peut servir de tremplin pour la suite. Aussi, près de 8 hackers indépendants sur 10 (78%) disent utiliser leur expérience du piratage éthique pour soutenir ou trouver une opportunité de carrière.

« Le piratage [éthique] devenant un élément essentiel de la sécurité pour des organisations plus nombreuses, plus grandes et plus réticentes au risque, les dirigeants d’entreprise considèrent simplement les chercheurs de failles comme des consultants, des prestataires ou d’autres experts externes supplémentaires », ont souligné les auteurs du rapport.

En outre, de leur point de vue, face à la pénurie de professionnels de la cybersécurité et à la hausse de leur rémunération, « la sécurité externalisée devient une nécessité, pas un luxe. »

_{*Le « 2020 Hacker Report » de HackerOne s’appuie sur des données propriétaires concernant 1700 programmes de chasse aux bugs et sur les résultats d’une enquête maison à laquelle ont participé 3 150 hackers « éthiques » dans le monde.}

_{(crédit photo © shutterstock)}