Hacker éthique, un métier d’avenir pour les jeunes ?
L’argentin Santiago Lopez n’a que 19 ans, mais vit déjà confortablement de son travail consistant à détecter et signaler des vulnérabilités de sécurité dans les logiciels et les services en ligne. Un jeune de 19 ans a gagné plus d’un million de dollars dans sa quête pour trouver et signaler les vulnérabilités des logiciels et des services en ligne.
Santiago Lopez d’Argentine, qui opère sous le nom de @try_to_hack, a rejoint la plateforme de bug bounty HackerOne en 2015. Depuis cette année, Santiago a signalé plus de 1 670 bugs distincts affectant les produits de fournisseurs tels que Verizon Media Company, Twitter, WordPress, et Automattic.
Le hacker autodidacte a montré ce qu’il est possible d’accomplir en tant que white hat (hacker éthique). Lopez a appris à détecter les failles, y compris certaines des vulnérabilités les mieux payées, telles que les failles Insecure Direct Object Reference (IDORS) et Cross-Site Request Forgery (CSRF), grâce à des ressources sur Internet et des vidéos YouTube.
En un rien de temps, il a été payé pour son travail dans des programmes privés et publics de bug bounty, à commencer par 50 $ pour une faille de sécurité CSRF, puis un plus gros paiement de 9.000 $ pour une vulnérabilité SSRF (Server Side Request Forgery) dans un programme privé. Lopez est désormais l’un des meilleurs hackers du classement HackerOne.
« Je suis incroyablement fier de voir que mon travail est reconnu et valorisé » déclare le pirate informatique. « Pas seulement pour l’argent, mais parce que cette réalisation signifie que l’information des entreprises et des personnes sont plus en sécurité qu’elles ne l’étaient avant, et c’est incroyable. »
Lopez est peut-être millionnaire, mais le hacker n’a cependant pas l’intention de jeter l’éponge de sitôt.
« Je suis sûr que quiconque découvre des programmes de bug bounty se rendra bientôt compte qu’ils ouvrent de nouvelles opportunités à la fois pour les hackers et les entreprises engagées dans la sécurité » ajoute le hacker.
Parallèlement à l’étude de cas, HackerOne a publié le Hacker Report 2019. D’après une enquête menée auprès de 3667 chasseurs de bugs sur la plateforme, plus de 42 millions de dollars ont été versés à des hackers depuis sa création, dont 19 millions de dollars en 2018.
Au total, 81% des personnes interrogées ont déclaré être autodidactes et 90% des hackers ont moins de 35 ans, dont 47% appartiennent à la catégorie des 18 à 24 ans.
Les sites Web semblent être l’option préférée des chasseurs de failles. Plus de 70% des personnes interrogées déclarent les domaines comme leur sujet de prédilection, suivis par les API (6,8%), la technologie de stockage de données (3,7%), les applications Android, les systèmes d’exploitation et les logiciels à télécharger.
