Profession : chasseur de primes. Sur le CV, ça claque ! Il faut dire que les gens capables dans ce domaine sont peu nombreux. Nos primes, ce sont les failles laissées par les soi-disant experts en sécurité informatique. Les entreprises nous paient pour que l’on s’infiltre dans leurs systèmes. Si nous y parvenons, ils nous récompensent en échange de la faille utilisée.
Si aujourd’hui notre profession est reconnue, il n’en était pas de même au début du siècle. Les gens se méfiaient de nous. S’ils nous apercevaient, ils prévenaient la sécurité. Il faut dire qu’on trainait une mauvaise réputation. Nos chapeaux ne sont pas de la bonne couleur. Nous sommes des indépendants. Alors, lorsque nous intervenons à l’insu de nos clients, au début ceux-ci prennent peur.
Certains de nos compagnons ont fini en tôle. Aider les entreprises, ce n’était pas payant. Les puissantes compagnies nous accusaient de piratage alors qu’on ne faisaient que les prévenir de leurs propres lacunes. Les temps ont changé. Les systèmes informatiques sont présents et critiques pour le développement de la moindre entreprise. Alors, des gens qui vous informe de vos faiblesses, c’est précieux.
Indépendants dans l’âme, nous avons décidé de rester à notre compte. Hors de question devenir un chapeau blanc et d’être au service d’un grand groupe. Nous préférons choisir nos clients. Pour cela, une méthode, le tableau. Sur des sites spécialisés (yeswehack.com, yogosha.com, openbugbounty.org, …), des entreprises proposent de rechercher les failles sur leurs territoires.
A chaque faille (Bug) trouvée, elles s’engagent à verser une prime (Bounty). De l’autre côté, nous, les chasseurs (Hunters), cherchons ces failles. Le premier qui en trouve une gagne la prime. C’est à celui qui sera le plus rapide ou qui trouvera la faille la mieux cachée. Il faut s’accrocher pour rester dans le métier. Ce n’est pas à la portée du premier venu.
Nous ne sommes pas des testeurs qui recherchent des ‘anomalies’ dans les programmes d’un développeur. Le client nous présente son produit fini qu’il pense parfait. C’est à nous de percer le mystère de la boîte noire et de trouver une faille. Qu’il s’agisse d’un service internet ou du dernier gadget à la mode, nous relevons toujours le défi. Et nos clients découvrent que rien n’arrête un hacker.
Aucun logiciel n’est infaillible. Même si le programmeur a usé de toutes les précautions, il lui est impossible de contrôler tous les éléments sur lesquels s’exécutent son application. Il suffit d’une seule faille et nous avons déjà pris le contrôle de son site parfaitement protégé. Les failles ‘zero-days’ coûtent cher mais elles rapportent d’autant. Le moindre champ de saisie est une porte d’entrée pour du Cross-site scripting (XSS).
Pour un produit matériel, c’est encore plus simple. Vous vous pensez en sécurité dans votre Tesla équipée du confort moderne. Vous entrez. Votre téléphone est reconnu et commence à diffuser votre liste musicale préférée sur le système d’enceinte Harman. Vous la quittez sur un parking pour acheter votre repas et en revenant … elle a disparu. Merci la connexion Bluetooth.
Le métier a bien changé. De nos jours, nous sommes reconnus et payés. Les entreprises nous engagent pour ces missions. Nous faisons progresser leurs experts en sécurité. Bien sûr, il nous faut investir pour rester au top et trouver les primes avant nos concurrents. Sans un bon équipement, il est impossible de percer dans le métier. L’équipement c’est du matériel et du logiciel.
Certains vous diront que tout est réalisable avec des logiciels libres et du recyclage de vieux téléphones. Mais bien sûr. Au temps du Far West aussi, il était possible d’arrêter un bandit, à pied, armé d’un bâton. Mais si vous ne voulez pas que la prime vous passe sous le nez, il vaut mieux un bon cheval et un Smith & Wesson.
Il faut que j’invite Cheyenne au restaurant.