Pourquoi les entreprises doivent s’ouvrir aux hackers

Longtemps, les hackers ont fait peur. Désormais, la distinction est de plus en plus claire entre les "hackers blancs" et les "hackers noirs", autrement dit entre ceux qui mettent leur savoir-faire technique au service de tous, dans la légalité, et les cybercriminels.

A l'heure où la sécurité devient un enjeu fondamental pour les entreprises, celles-ci commencent à changer leur regard sur les hackers. Elles sont même de plus en plus nombreuses à solliciter leurs services dans le cadre de "bugs bounty". Des bugs bounty ? "Des événements organisés pour le compte d'une entreprise, pendant lesquels des hackers cherchent à trouver des failles de sécurité dans le système informatique, sur un périmètre donné, pendant un laps de temps défini", explique Manuel Dorme, de Yes We Hack, une société connue pour co-organiser, tous les ans, "La Nuit du hack", qui se tiendra cette année les 2 et 3 juillet prochains.

Le principe est simple. Dès qu'un hacker trouve une vulnérabilité, il la consigne dans un rapport. S'il est le premier à la faire remonter, il reçoit une récompense et éventuellement des points, pour le faire progresser dans le classement des hackers, ce qui lui permet d'améliorer sa réputation et éventuellement d'être invité à des bug bounty privés, plus rémunérateurs.

Le prix, payé généralement en dollars ou en bitcoins, peut aller de rien du tout (quand la communauté se mobilise pour aider une startup naissante, par exemple), à plusieurs milliers d'euros selon la taille de la société et de la dangerosité de la vulnérabilité décelée. Logiquement, un petit bug de design sur une application vaudra moins cher qu'une énorme faille logicielle compromettant les données personnelles des clients d'une société.

Première plateforme européenne de bug bounty

Pour les entreprises, le bug bounty peut représenter une alternative au très cher audit de sécurité, mais aussi une action complémentaire. "Les sociétés vont soumettre leur produit ou leur système informatique à une communauté de hackers déchaînés, dotés de compétences multiples et complémentaires, qui vont tout retourner mais faire remonter toutes les failles", explique Nicolas Grégoire, hacker depuis vingt ans et fondateur d'Agarri, une microsociété spécialisée dans la sécurité.

Conséquence de l'engouement naissant autour des bugs bounty depuis deux ans, notamment aux Etats-Unis, les geeks de Yes We Hack ont décidé d'accélérer le mouvement en Europe. En début d'année, ils ont lancé la version béta de la Bug Bounty Factory, qu'ils ont présenté le 26 mai à Paris, dans les locaux de l'école d'informatique 42, fondée par Xavier Niel.

Héritière de HackerOne ou de BugCrowd aux Etats-Unis, la BBF est la première plateforme européenne de bug bounty. Elle se donne pour mission de mettre en relation la communauté des hackers avec des entreprises désirant améliorer leur sécurité, en organisant pour elles des bug bounty dans un cadre légal. Concrètement, la plateforme démarche les entreprises. Avant chaque bug bounty, la société publie un programme, dans lequel elle définit les règles du jeu, à savoir la durée du hack (un jour, une semaine, un mois) et le périmètre d'action (une application, des pages web...). Si le hacker ne respecte pas les règles, il n'est pas payé et peut même recevoir des points de pénalité.

Google et Facebook ont payé plus d'1 millions de dollars en 2014

Si de plus en plus d'entreprises, à l'image des Français Qwant (moteur de recherche éthique) et DenyAll (logiciels) s'y mettent, le bug bounty est encore loin d'être une démarche répandue. "Surtout en Europe, où la culture web est moins forte et où les entreprises ont toujours beaucoup de mal à laisser des éléments extérieurs accéder à leur système", souligne Manuel Dorme.

Il faut dire que le mouvement est récent. Le premier bug bounty a vu le jour en octobre 1995. Il était organisé par la société Netscape, pour la version 2 de son navigateur. Avec de très faibles montants de récompense à la clé. En 2004, Mozilla, le concepteur du navigateur Firefox, a relancé la pratique en proposant une récompense maximale de 500 dollars pour chaque faille trouvée.

Sans surprise, la plupart des entreprises qui se sont converties se situent dans le secteur de la high tech. Mais les bugs bounty ont vraiment commencé à prendre de l'ampleur lorsque les géants du net, à commencer par Google, en 2010, et Facebook, en 2011, s'y sont mis, comprenant enfin l'intérêt de maîtriser ce qu'ils ne peuvent empêcher. "De toutes façons, les hackers passent leur temps à chercher des failles de sécurité. Autant qu'ils le fassent en collaboration avec les entreprises", relève Nicolas Grégoire.

Grâce à leur colossale puissance financière, l'arrivée des deux géants a été synonyme de récompenses en forte hausse. En 2014, Mark Zuckerberg, le cofondateur et PDG de Facebook, se disait prêt à lâcher un million de dollars si une faille de sécurité majeure lui était communiquée. En réalité, le réseau social aux 1,6 milliards d'amis a lâché 1,3 million d'euros cette année-là, répartis entre 300 hackers qui ont découvert 700 failles de sécurité. Google, lui, a dépensé 1,5 millions de dollars en 2014 (200 hackers, 500 failles). Une jolie somme... qui reste une goutte d'eau pour ces mastodontes.

24.000 dollars pour la découverte d'une faille critique dans le Yahoo Store

La multiplication des attaques informatiques et des vols de données, de LinkedIn à Ashley Madison, en passant par certains hôpitaux américains ou encore le fabricant de jouets connectés VTech, prouvent qu'une sécurité renforcée n'est plus un luxe.

Microsoft, Apple, Yahoo, Uber, Tesla, les russes Yandex et Mail.ru et bien d'autres les ont rejoints. Désormais, ils sont même rejoints par des entreprises de la "vieille économie", comme la compagnie United Airlines et Western Union. En Europe, la première entreprise à s'être prêtée au jeu est la Deutsche Post, en 2010. Récemment, la plateforme pornographique Pornhub et le ministère de la Défense américain lui-même ont annoncé leur intention d'organiser un bug bounty.

De leur côté, Facebook et Microsoft se sont alliés pour lancer The Internet Bug Bounty, une plateforme internationale incitant les hackers à trifouiller dans les principaux serveurs qui font tourner le web, comme Apache, Flash, Nginx ou encore Ruby.

Parfois, les vulnérabilités décelées sont majeures et pourraient être dévastatrices pour l'entreprise si elles étaient découvertes par des hackers malveillants, prêts à les vendre une fortune sur le marché noir de la donnée. En mars 2015 par exemple, le hacker Mark Litchfield, également chercheur en sécurité et référence dans le milieu du hacking, a trouvé dans un bug bounty organisé par Yahoo une énorme faille critique, qui permettait d'obtenir un accès administrateur total à la plateforme de e-commerce Yahoo Store. Une découverte qui lui a valu 24.000 dollars.

Détourner les hackers du marché noir

Pour les chasseurs de failles, ces grandes fêtes du hacking représentent un formidable terrain de jeu, un fantastique défi intellectuel et, parfois, une manne financière non-négligeable. "Pénétrer dans des applications ou dans des logiciels utilisés par des millions et des millions de personnes et conçus par des entreprises solides en sécurité comme Facebook ou Google, c'est assez génial et ça paye bien", affirme Nicolas Grégoire. En 2015, le hacker Mark Lichfield, une référence, a déclaré avoir gagné plus de 300.000 dollars grâce aux bugs bounty.

Si de tels revenus restent très rares, "de plus en plus de hackers vivent correctement de leur passion", poursuit le fondateur d'Agarri. De plus, la construction d'un écosystème du hacking légal permet de faire revenir certaines brebis égarées sur le droit chemin.

"Il y aura toujours des gens attirés par le marché noir, car cela paye beaucoup mieux, estime un directeur de la sécurité des systèmes informatique d'une entreprise française. Mais la plupart des hackers s'intéressent surtout au défi, au frisson de trouver des failles, et préfèrent le faire pour améliorer la sécurité plutôt que pour détruire et faire de l'argent sur le dos des autres".