C’est une course mondiale à l’échalote, mais invisible pour le quidam, avec des dizaines, voire des centaines de milliers de participants. Cela fait environ dix ans que les hackers trouvent des failles de sécurité dans nos logiciels par le biais de programmes de bug bounty toujours plus nombreux. Au sein du microcosme de la cybersécurité, ce type d’activité s’est totalement banalisé. C’est même devenu un tremplin pour la carrière des chercheurs en sécurité. Mais comment ce travail hors du commun est-il vécu par les hackers ? Et sont-ils heureux ?
Nous avons discuté avec « Saxx » et « Hisxo », deux membres reconnus de la communauté française des hackers. Âgés de moins de trente ans, ils sont passionnés par la recherche en sécurité et leur chemin vers le bug bounty s’est fait de manière très naturelle. « À l’origine, je suis un grand passionné d’informatique, nous explique Hisxo. J’ai toujours voulu comprendre comment ça fonctionne. J’ai fait une formation assez classique en informatique et, au fil de l’eau, je me suis orienté vers la cybersécurité de façon autodidacte. À l’époque, il y avait très peu de formations dédiées. J’ai découvert le bug bounty fin 2017, quand je faisais des audits de sécurité ‘(pentest, ndlr). J’ai trouvé ma première faille sur un programme en 2018, et petit à petit je suis monté dans le classement. »
A découvrir aussi en vidéo :
De son côté, Saxx est arrivé dans le métier par le biais de la Nuit du Hack, l’un des principaux évènements de hackers en France. « Pour moi, ça a commencé vers 2015. Durant cet évènement, certaines entreprises nous incitaient à trouver des failles de sécurité dans leurs produits et à la fin de la soirée, on repartait avec un petit chèque, en fonction de ce que l’on avait trouvé. C’était un peu les prémisses du bug bounty en France. Par la suite, je me suis inscrit sur une plateforme et j’ai continué », nous explique-t-il.
Pour nos deux hackers, les affaires ont plutôt bien tourné. Sur la plate-forme française YesWeHack, Hisxo et Saxx sont arrivés à se positionner rapidement dans le top 5 du classement. Saxx a même été premier pendant plus de trois ans et demi. Être bien classé est important, car cela permet d’accéder plus facilement aux programmes de rétribution privés, où les participants sont triés sur le volet et la concurrence moins féroce. Mais le jeu en vaut la chandelle. « Cela a été un énorme complément financier. Il m’arrivait de gagner trois fois mon salaire mensuel en l’espace d’une semaine », souligne Saxx. « Oui, c’est clairement intéressant. Dans de rares cas, il peut m’arriver de gagner plusieurs milliers d’euros pour une heure de travail. J’étais là au bon moment dans le bon programme, se remémore Hisxo. On peut sans doute très bien gagner sa vie dans le bug bounty, certains sont même devenus millionnaires. »
Mais ces moments d’exploit — qui existent — ne doivent pas faire oublier la réalité quotidienne du bug bounty, qui peut se traduire par de longues heures à passer seul devant un écran, quitte à parfois faire chou blanc. « J’y consacrais mes soirs et les week-ends, nous explique Saxx, qui ne fait plus de bug bounty que de manière exceptionnelle. Pendant un moment, je ne faisais que ça durant mon temps libre. Je faisais même des nuits blanches. Pour autant, j’ai toujours réussi à garder un équilibre professionnel et social. C’est important. »
Certes, les chercheurs peuvent décider librement du temps qu’ils veulent consacrer à cette activité, mais si c’est trop peu, cela ne peut pas être payant. « Il faut au minimum passer une heure tous les jours si l’on veut arriver à quelque chose. Il faut accepter l’idée d’y passer du temps. Personnellement, j’y consacre deux à trois heures par soir, y compris le week-end. Mais je n’ai pas de pression. Je m’arrête si j’ai envie, car j’ai un travail régulier à côté. Et j’ai aussi une vie de famille. Mais je connais des chercheurs qui en ont fait leur activité principale et pour qui ça s’est terminé en burn out », explique Hisxo. Bref, il vaut mieux que le bug bounty reste un à-côté, un bonus. En faire un travail à plein temps risque de générer beaucoup de stress… et de l’incompréhension chez le conseiller bancaire le jour où l’on cherchera un prêt immobilier !
Avoir du temps disponible est donc une condition nécessaire pour faire du bug bounty. Mais ce n’est pas suffisant. Il faut aussi avoir un mental d’acier. « Il faut trois choses pour réussir dans le bug bounty, estime Saxx. Premièrement, il faut être curieux et se former en permanence. Il faut lire les rapports de recherche des autres chercheurs pour comprendre leur cheminement de pensée. Deuxièmement, il faut savoir coder en Python ou en Bash, afin de pouvoir créer des preuves de concept. Enfin, il faut avoir beaucoup de rigueur et de discipline. Il faut se concentrer sur une ou deux cibles maximum et les bosser à fond, plutôt que de s’éparpiller. »
Twitter, une source d’informations très pratique
C’est également le conseil que donne Hisxo. « Quand on commence dans le bug bounty, on a tendance à changer de programme au bout de quelques jours, parce qu’on ne trouve rien. Mais ce n’est pas un bon calcul. Il faut être persévérant et constant, se limiter à un ou deux programmes au départ, puis petit à petit agrandir cette liste en fonction des invitations que l’on reçoit. Et comme c’est un domaine qui évolue très vite, il est important de toujours rester à la page. Personnellement, je consulte beaucoup les publications d’intervenants connus sur Twitter. C’est très pratique. J’assiste aussi aux conférences de sécurité, ce qui permet de rencontrer des gens et de voir comment ils travaillent. Dans le hacking, il y a autant de méthodologies que de hackers », souligne le chercheur.
L’éthique aussi est importante. Les deux chercheurs interrogés ont toujours travaillé pour des programmes à visée défensive, jamais offensive. Pas question de vendre des failles à Zerodium pour qu’elles puissent être exploitées dans des logiciels de surveillance. « Les prix sont nettement supérieurs, c’est vrai, mais c’est un choix », explique Saxx.
Et à quoi ressemble la retraite ? « Pour l’instant, je ne vois pas de raison de m’arrêter. Je ne pense pas faire ça toute ma vie, mais assez longtemps quand même. Je suis trop passionné », explique Hisxo. Pour sa part, Saxx a un peu tourné la page. Il préfère s’investir dans un projet qui lui tient à cœur, à savoir l’association « Hackers sans frontières », qu’il vient de cofonder. Cette ONG fournira gratuitement des compétences et des services en cybersécurité pour protéger les activités humanitaires des cyberattaques, notamment dans les zones de conflit et de catastrophes naturelles.