Qui sont les chasseurs de failles des Bug Bounties ?

Les programmes de Bug Bounty deviennent incontournables pour auditer la sécurité des sites. Afin de dénicher les failles, les plateformes s’appuient sur des milliers de hackers. Bugcrowd a dressé le profil de ces chasseurs de bugs.

Il suffit de discuter avec des DSI, des RSSI pour voir l’intérêt de plus en plus croissant pour les programmes de Bug Bounty. Lancés aux Etats-Unis, ces initiatives visent à soumettre les sites des organisations à l’analyse de spécialistes de sécurité. La découverte de failles donne droit à des récompenses pouvant être financières ou autres. Plusieurs plateformes sont nées avec ce phénomène, dont les plus connue sont HackerOne, Synack ou Bugcrowd. La France n’est pas en retard sur cette tendance avec l’initiative bountyfactory.io ou la start-up Yogosha. La valeur de ces plateformes réside dans les chasseurs de bugs.

Des jeunes diplômés en quête de challenges

Mais qui sont ces hackers ? Bugcrowd comprend une base de 65 000 personnes et vient de réaliser une étude sur le profil de ces experts. La communauté des hackers est relativement jeune, près de 60% des répondants ont entre 18 et 29 ans. La tranche des 30-45 ans représente 34%. Au niveau éducation, ils sont 79% à détenir un diplôme universitaire ou d’études supérieures. Les compétences les plus représentées sont les tests des applications web, des API, l’intrusion sur les réseaux et l’analyse de code source.

Pour une grande majorité, la recherche de failles est une activité complémentaire. Ils sont seulement 15% à travailler à temps plein à la découverte de failles. Parmi ces spécialistes, les développeurs sont fortement représentés (23%) ; suivi des experts en sécurité, pen testeur (17%) et ingénieur sécurité (15%). Pour les hackers à temps partiel, 27% souhaitent à terme en faire leur activité principale.

La course aux rétributions n’est pas la principale motivation des hackers, ils sont 62% à réinvestir leur gain pour acquérir d’autres compétences (formations) ou des solutions de tests de sécurité plus performantes. L’intérêt numéro un pour eux est le challenge, le défi de trouver des failles et de se mesurer à d’autres chasseurs.

Une communauté en pleine croissance et variée

La communauté de hackers de Bugcrowd se renforce et renouvelle sa population. La plateforme revendique une augmentation du nombre d’experts de 141% sur 1 an. 46% des membres ont au moins 3 ans ou plus d’ancienneté dans l’industrie de la sécurité. 41% des chasseurs ont tenté l’aventure du Bug Bounty depuis seulement 1 à 2 ans. 14% des membres déclarent ne pas avoir d’expérience dans la sécurité et viennent d’autres horizons, comme le jeu vidéo par exemple. Autre fait amusant, à la question de définir leur travail en tant que chasseur de bugs, 22% des répondants se définissent comme des « testeurs d’intrusion », 18% comme des « consultants en sécurité » et 15% comme des étudiants.

A travers cette cartographie de la communauté de hackers, Bugcrowd veut tordre le cou à l’image du hacker souvent apparenté à celle du pirate informatique. En effectuant une recherche sur Google, le hacker est souvent représenté avec une capuche derrière un ordinateur avec parfois un masque de Guy Fawkes (masque utilisé par le groupe de Anonymous). Aux Etats-Unis, il existe une distinction entre les white hacker et les black Hat existe, alors qu’en Europe, le terme hacker s’attache à la notion de pirate. Le hacker pâtit également d’une absence de communication montrant les mérites de ce métier. Il reste donc encore du travail.

Photo credit: foreverdigital via Visual Hunt /  CC BY-NC-ND

 

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s