Ces hackers « éthiques » que s’arrachent les entreprises

Face à la recrudescence des cyberattaques pendant la crise, les entreprises font de plus en plus appel à ces hackers « bienveillants », chargés de trouver les failles de leur système informatique.

Ils peuvent récupérer vos codes de carte bleue, débarquer au milieu de votre pot de départ en visioconférence, s’immiscer dans vos téléphones portables. Techniquement, les hackers ont ces compétences. Moralement, c’est une autre affaire. Tels de valeureux chevaliers – mais rémunérés, tout de même -, certains ont décidé de mettre leur savoir au service des entreprises pour traquer les failles de cybersécurité de leurs plateformes et autres applications. « C’est comme si on embauchait des cambrioleurs pour s’assurer que votre maison est bien fermée », vulgarise Lucas Philippe, alias BitK, un hacker et ingénieur informatique de 29 ans.

La demande d’experts est d’autant plus croissante que la crise sanitaire a généré une hausse de ces effractions. Pas une semaine ne passe sans qu’une société, publique ou privée, n’en soit victime, à l’instar d’une vague d’attaques dont ont été victimes des hôpitaux français dernièrement. En réaction, l’Etat a annoncé un plan d’1 milliard d’euros fléchés vers la cybersécurité. « Beaucoup d’entreprises se sont retrouvées avec leurs collaborateurs travaillant sur des plateformes non gérées par l’entreprise. L’application de visioconférence Zoom, qui avait des nombreuses failles par exemple, était très simple d’utilisation. Mais aucun contrôle sur les données qui étaient transférées n’avait été fait à l’époque », explique Raphaël Walter, 29 ans, à la tête de la « Red team » (ceux qui attaquent, en opposition à la « Blue team », qui défend) chez Sekoia, une start-up de cybersécurité qui a levé 10 millions d’euros fin 2020.

« Les menaces modernes ont évolué : les attaques prennent la forme de campagnes sur plusieurs jours voire semaines, avec des signaux faibles qu’il faut savoir identifier, alors même que le volume de données a explosé », poursuit Freddy Milesi, le PDG de la start-up. Dernier exemple en date : un rapport de l’Agence nationale de la sécurité des systèmes d’information, publié la semaine dernière, alerte sur la découverte d’une intrusion informatique russe sur plusieurs années, entre 2017 et 2020, « touchant plusieurs entités françaises » via le logiciel français Centreon.

Ce qui est sécurisé à 99% n’est pas sécurisé ?

Dans un monde du tout numérique, les hackers dits « éthiques » sont donc plus que jamais courtisés par les entreprises. L’Etat les a même appelés à la rescousse pour sécuriser son application StopCovid. Plus récemment, le célèbre hackeur Peiter Zatko, aussi connu sous le nom de « Mudge », a été recruté au poste de responsable de la sécurité des services d’information (RSSI) de Twitter. « J’ai des demandes de recruteurs toutes les semaines », assure Raphaël Walter. Dans son entreprise, un consultant junior peut gagner entre 38.000 et 40.000 euros brut en fixe, un manager entre 60.000 et 70.000 euros, à Paris.

Le « bug bounty », ou la chasse aux primes

Si les pionniers dans les années 1990 avaient tendance à bidouiller dans leur garage, en 2020, ils ont un bureau et une entreprise, et se présentent désormais comme des experts en cybersécurité. L’image du hacker a fait long feu. « Le milieu s’est beaucoup professionnalisé, ce qui a conduit à sa démystification. C’est devenu un gros marché. Environ 3,5 millions de postes ne sont pas pourvus dans la cybersécurité à travers le monde », estime Guillaume Vassault-Houlière, le cofondateur de YesWeHack, une plateforme leader en France dans la mise en relation des entreprises avec des hackers éthiques. Lancée en 2013, la plateforme avait vocation à « transposer quelque chose qu’on faisait pour le fun à un niveau industriel et mondial », poursuit l’entrepreneur de 37 ans, un ancien électronicien, qui compte dix-sept années de cybersécurité à son actif. Objectif atteint : 21.000 hackers proposent leurs services à plus de 200 clients présents dans 120 pays.

Chez YesWeHack, les hackers sont tous indépendants. Ils font ce que le milieu appelle du « bug bounty » (prime à la vulnérabilité). C’est une sorte d’appel d’offres : ceux qui trouveront le plus de failles pour le compte d’une entreprise seront récompensés par une prime oscillant entre quelques centaines et plusieurs millions d’euros. Aux Etats-Unis, le géant du secteur s’appelle HackerOne, et compte 800.000 membres. En 2020, ses clients ont versé 44 millions de dollars (38,2 millions d’euros) de récompenses, un record. L’intérêt pour le télétravail a également conduit au bond (+59 %) des inscriptions chez HackerOne avec une hausse d’un tiers des récompenses versées, rapporte l’AFP.

De son côté, Facebook fait appel à des hackers éthiques depuis 2011. Dans un récent rapport, le réseau social explique avoir reçu plus de 130.000 signalements dont 6.900 ont bénéficié de primes, pour près de 2 millions de dollars versés dans plus de 50 pays.

« Comme Dieu sur la machine »

« Souvent, les entreprises passent en mode bounty pour découvrir des bugs plus complexes qui n’auraient pas forcément été remontés lors d’une semaine d’audit », précise Raphaël Walter, qui à côté de son CDI chez Sekoia, participe de temps en temps à des bugs bounty. Comme lui, la plupart des hackers ont une double casquette : les primes d’un côté, le CDI de l’autre dans la cybersécurité ou l’ingénierie. « Je connais des personnes qui travaillent tranquillement dans leur canapé, sans contraintes horaires, et gagnent jusqu’à 200.000 euros à l’année avec ce métier », indique Guillaume Vassault-Houlière de YesWeHack.

Clément Domingo, alias SaxX, a longtemps été premier sur la plateforme, qui classe les hackers en fonction de leurs résultats. Depuis, il a raccroché pour se consacrer à d’autres projets. « Ce travail avait un côté gratifiant : lorsqu’on fait du bug bounty, on sait que l’application, par exemple, a déjà été testée une ou deux fois. Et quand nous trouvons une faille assez critique, un sentiment d’adrénaline monte. L’instant de cinq minutes, on est comme Dieu sur la machine », confie-t-il. Sa trouvaille la plus mémorable ? Le jeune homme de 29 ans se souvient de l’audit de l’application d’une entreprise « assez sensible » (mais nous n’en saurons pas plus). Au bout d’une heure, il avait trouvé « un petit point d’entrée qui était sous les radars ». Ni une, ni deux, il a réussi à pénétrer au sein de la société et à avoir accès à tous les ordinateurs.

Le cybercrime rapporte plus que la drogue

Passer du côté obscur de la force a-t-il déjà tenté ces hackers ? La bascule peut sembler facile. Exemple : récupérer l’entièreté d’une base de données et la revendre au plus offrant sur le marché noir. Un marché estimé en 2019 à plus de 1.000 milliards de dollars (en détournements de données, usurpation d’identité, demandes de rançons, etc.), soit 1 % du PIB mondial détourné, d’après une étude McAfee pour CSIS, Centre for Stratégie and International Studies. Selon les estimations, c’est plus que le marché de la drogue.

Mais, face à l’appât du gain, la réponse de tous les hackers interrogés est univoque : non. « On ne recrute personne qui a fait des actions illégales et qui, pire, s’en vante », abonde Raphaël Walter. Et les informations ont tendance à circuler rapidement. La personne prend ainsi le risque de se « griller ».

Sans oublier que ces actions ne sont pas sans conséquence. « Revendre une vulnérabilité pose clairement des questions éthiques. Certaines informations peuvent être utilisées dans des pays où les libertés ne sont pas respectées, contre des journalistes, ou pour surveiller une opposition », ajoute Fred Raynal, le fondateur de Quarkslab, une société qui développe une méthode de protection pour les entreprises, combinant des techniques offensives et défensives.

A 48 ans, Fred a pas mal de bouteille dans ce milieu. « Au départ, on ne parlait pas même pas de hackers. Seulement de personnes qui, comme moi, détournaient des choses de leur usage normal. Assez vite sont apparus des gens qui faisaient de ces compétences une bonne ou mauvaise utilisation ». Pour lui, la professionnalisation du métier s’est opérée autant du côté des « gentils » que des « méchants, où le but est le profit ou l’activisme », détaille-t-il.

Gare aux illusions

L’attractivité pour ce métier d’un genre nouveau reste forte, en particulier du côté des plus jeunes. Attirés par l’image du hacker, sa rémunération ou tout simplement par amour du « bidouillage », les jeunes se forment de plus en plus. Les programmes abondent dans les écoles d’informatique et d’ingénieurs (CentraleSupélec, lycée militaire de Saint-Cyr, Epitech, etc.) pour répondre aux pénuries dans la cybersécurité. « Avant, il fallait s’y intéresser par soi-même, avoir la curiosité nécessaire, savoir fouiller, se poser les bonnes questions. Ceux qui sortent d’école maîtrisent souvent mieux les outils techniques et ont des connaissances plus larges, mais moins approfondies », analyse Lucas Philippe, qui à presque 30 ans, fait déjà partie de la seconde garde.

A LIRE AUSSI :Cybersécurité : les entreprises draguent les jeunes talents

Le métier jouit d’une bonne réputation. D’un côté même glamour dans l’imaginaire collectif, grâce notamment au personnage d’Eliot, ce justicier du net dans la série « M. Robot », créée par Sam Esmail. Mais gare aux illusions. « Beaucoup de jeunes retiennent uniquement l’aspect argent facile. Ils ne voient pas l’envers du décor : on travaille comme des acharnés, sans aucune garantie de résultat et certains ont du mal à payer leurs factures », rappelle Clément Domingo. Sans oublier la forte compétition qui fait rage entre certains hackers, avec des pressions parfois dures à supporter. « Il faut être bien physiquement pour ne pas tomber dans une forme de burn-out et avoir une vie sociale suffisamment riche », complète le jeune hacker.

(*) Camille Wong est journaliste aux Echos Start en France