Il y a un peu plus d'un an, nous avons examiné dans quelle mesure la chasse aux bogues (ou bug hunting) peut être rentable. L'histoire d'un adolescent argentin montre maintenant combien la recherche de failles de sécurité dans le code peut s’avérer être une entreprise lucrative.
Santiago Lopez, un jeune homme de 19 ans originaire de Buenos Aires, est devenu la première personne à remporter plus d'un million de dollars US en récompenses sur la plateforme HackerOne, principal plateforme pour les primes au bogue.
« Je suis extrêmement heureux de voir que mon travail est reconnu et valorisé. Pas seulement pour l'argent, mais parce que derrière cette réalisation, on retrouve des entreprises et des personnes dorénavant plus en sécurité qu'ils ne l'étaient auparavant, et c'est incroyable, » se réjouit Lopez.
Il ajoute être « totalement autodidacte » et que ce n’est qu’en 2015 qu’il a rejoint HackerOne et enfilé le chapeau de hacker éthique. L'année suivante que l'adolescent, utilisant l'alias « try_to_hack », a empoché son premier paiement - 50 $ US - pour une faille logicielle qui aurait pu mener à des attaques de Cross-Site Request Forgery (CSRF).
On peut dire qu’il a bien appris, ayant depuis traqué plus de 1 670 vulnérabilités de code dans des services d'entreprises telles que Verizon, Twitter et WordPress. Parmi celles-ci, on retrouve une faille qui pourrait permettre le lancement d’attaques SSRF (Server Side Request Forgery). C’est pour cette découverte que Lopes a obtenu sa plus grosse récompense monétaire, soit 9 000 $ US.
Ce qui n’était au départ qu’un petit boulot après l’école est devenu au fil du temps un véritable travail, qui occupe Santiago environ 6-7 heures par jour et lui permet de gagner bien davantage que le salaire typique d’un ingénieur en logiciel à Buenos Aires.
« Ce qui m'intéresse le plus quand je cherche des failles, c'est de trouver autant de bogues que possible en peu de temps et d'essayer d'obtenir de bonnes récompenses pour en échange. Je sais qu'on dit la qualité prime sur la quantité, mais c’est la quantité qui me passionne, » précise-t-il.
Quelques jours après avoir l’atteinte de ce chiffre record, il a été égalé par un autre chasseur de bogues. En effet, Mark Litchfield, bien connu dans l'industrie, a rejoint Lopez dans le club de primes d'un million de dollars pour les insectes. Précisons que Litchfield avait démarré avec un peu d'avance sur Lopez, puisqu’il avait déjà accumulé près de 500 000 dollars US en 2016.
Une année lucrative
En plus d’avoir souligné l'exploit de Lopez, HackerOne a également publié son Hacker Report 2019. La plateforme, qui agit comme intermédiaire entre les entreprises et les chapeaux blancs, note que les hackers éthiques ont empoché plus de 19 millions $ US en primes en 2018 seulement, ce qui est presque équivalent aux 24 millions de dollars US réalisés par les membres de HackerOne au cours des cinq années précédentes.
En effet, de plus en plus de gens se joignent à cette communauté. Le nombre de membres de HackerOne a dépassé les 300 000, une augmentation de près du double en un an. Les chasseurs de bogues provenant des États-Unis et de l'Inde représentent près du tiers des membres.
Neuf membres de HackerOne sur 10 ont moins de 35 ans et près d'un sur deux a entre 18 et 24 ans. Comme Lopez, la plupart (81 pour cent) sont autodidactes, tandis que seulement 6 pour cent ont suivi une formation ou une certification officielle sur le piratage.