Chasseur de bug, un métier plus lucratif que développeur

HackerOne, la plateforme de Bug Bounty, montre dans une étude que les meilleurs chasseurs de bugs peuvent gagner en moyenne près de 3 fois plus que le salaire moyen d’un développeur dans le pays concerné.

La recherche de vulnérabilités peut être un métier rémunérateur comme le montre le rapport Hacker 2018 de HackerOne. La plateforme propose des Bug Bounty où des sociétés ou des administrations sollicitent la communauté de white hackers pour trouver des failles de sécurité en échange de récompenses financières.

Un métier très lucratif en Inde

Ces rétributions constituent un pécule non négligeable et qui selon les pays constituent un salaire très confortable et donc une professionnalisation de la recherche de bugs. C’est le cas dans les pays où les revenus sont les moins élevés. En Inde, les chasseurs de bug les plus performants peuvent gagner jusqu’à 16 fois plus que le salaire moyen d’un développeur. Le contingent indien au sein de HackerOne est majoritaire en représentant 23% de la communauté.

Parmi les autres pays, on peut citer l’Argentine où la rémunération des chercheurs de bugs est 15,6 fois plus importante que le salaire moyen d’un développeur. Elle est de 8,1 fois plus en Egypte, 7,6 fois à Hong Kong, 5,4 fois aux Philippines et 5,2 fois en Lettonie.

Les écarts sont moindres dans les pays développés. Aux Etats-Unis, représentant le deuxième contingent de la communauté HackerOne, les white hackers peuvent prétendre à des appointements 2,4 plus importants que le salaire moyen d’un développeur. Au Canada, il faut tabler sur une bascule de 2,5 fois, en Allemagne de 1,8 fois et de 1,6 fois en Israël.

L’argent n’est pas la principale motivation

Pour autant, si la rémunération est un élément important, elle n’est pas la principale motivation des membres de la communauté de HackerOne. La première finalité est l’opportunité d’apprendre des techniques et des astuces de sécurité. En second lieu, on trouve un besoin d’émulation en se confrontant à des concurrents. En troisième position, ce travail est jugé divertissant.

Selon le rapport, le profil type du white hacker est un jeune entre 18 et 24 ans, il passe entre 1 à 10 heures par semaine à chasser les bugs. Son expérience est relativement faible (entre 1 à 5 ans) et il travaille majoritairement en solitaire. Pour mener à bien ses recherches, il fait appel à des solutions de sécurité comme Burp Suite, même si certains créent leurs propres outils. Il cible majoritairement les sites web et à une grande appétence pour les attaques de cross-scripting (XSS).

Enfin, le rapport s’est intéressé à l’utilisation des récompenses de Bug Bounty. Elle est très variée en allant de l’achat d’une maison pour les parents du gagnant au recrutement de personnes pour développer sa société.

Photo credit: foreverdigital on Visual Hunt /  CC BY-NC-ND

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s