Bug bounty hunter Bug bounty hunter
Métiers

Bug bounty hunter

Tous les logiciels présentent des failles de sécurité. Il est donc essentiel de les trouver le plus rapidement possible avant que des cybermalveillants ne profitent d’une brèche pour récupérer des données. Cette course de vitesse aux bugs attire de plus en plus de « chasseurs de primes », car les entreprises et des plateformes ont mis en place des bugs bounty aux récompenses attractives. Si aucun diplôme n’est requis, il est indispensable d’être rigoureux et compétent.

Fiche métier mise à jour le
En résumé
Niveau d’études : Bac+5
Bac conseillé : Scientifique
Employabilité : Bonne
Salaire débutant : 3 333 € brut / mois
Salaire confirmé : 7 500 € brut / mois
Mobilité : Très bonne
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et Télécommunications
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

Métier

Tels les chercheurs d’or à l’époque du Far West, les bugs bounty hunter ne rêvent que d’une chose : dénicher une faille qui les rendra riches et célèbres. Mais comme au temps des cow-boys, les heureux élus sont rares. Ces chasseurs de primes version numérique sont très utiles aux entreprises et aux éditeurs de logiciels et d’application, car ils empêchent les cybercriminels de repérer les bugs à un stade précoce. A la clé, une prime qui est parfois très intéressante.

Un rapport 2020 de HackerOne (principale plateforme de bug bounty) a révélé que la prime moyenne versée pour les vulnérabilités critiques s’élevait à 3 650 dollars, et que la prime la plus importante versée à ce jour pour une seule faille était de 100 000 dollars. L’étude avait également révélé qu’au moins 50 hackers travaillant avec la plateforme avaient gagné un salaire moyen de 100 000 dollars par an en 2019. 

Mais les plus grosses primes sont logiquement versées par les géants de la Tech. Google a versé un montant record de 6,7 millions de dollars aux chasseurs de primes de bugs en 2020. Microsoft a versé 13,7 millions de dollars en 2019-2020, dont une récompense de 200 000 dollars. PayPal a remis près de 2,8 millions de dollars en primes de bug sur deux ans.

"De manière simple, le bug bounty est un procédé par lequel n'importe quelle entreprise / organisation peut faire appel à des hackers éthiques pour rechercher des vulnérabilités sur un périmètre spécifique de leur SI via ce qu'on appelle un programme de bug bounty. Programme dans lequel est spécifié une échelle définissant le montant des primes selon la criticité de la vulnérabilité trouvée, les types de vulnérabilités éligibles ou non pour une prime ainsi que différentes autres conditions. Pour moi en tant que hunter, c'est la liberté. La liberté de se spécialiser (ou non) dans un domaine tel que le Web, les API, le Mobile... C'est la possibilité de travailler sur des technologies spécifiques, de se challenger sur des cibles matures en termes de cybersécurité et sur n'importe quel type d'organisation (publique, privée, nationale, internationale, PME et grands groupes...). La liberté de gérer son temps et son organisation en tant qu'auto-entrepreneur. Pour les entreprises quant à elles, il s’agit de l'opportunité de profiter de l'expertise d'un grand nombre de professionnels plus ou moins confirmés sur un long délai et de manière contrôlée grâce à son fonctionnement particulier."
Mathis Pais De Sousa - Bug bounty hunter et consultant sécurité opérationnelle

Les missions

Un bug bounty hunter a deux tâches principales : 

  • Trouver des bogues et des failles de sécurité 
  • Signaler ces bogues et ces failles de sécurité de manière responsable. Lorsqu’un pirate découvre une faille dans un système, il signale sa découverte par courrier électronique. Un responsable du programme de bug bounty examine toutes les découvertes signalées et décide de récompenser ou non la personne responsable.

Une fois la décision prise, le responsable du programme de primes aux bugs envoie un chèque au chercheur et des instructions sur la manière de réclamer la récompense. Les chasseurs de bug bounty qui réussissent doivent également suivre des directives strictes lorsqu’ils signalent des failles. Ils doivent notamment préserver la confidentialité des informations personnelles, n’utiliser qu’un seul ordinateur à la fois et ne jamais divulguer de données sensibles sans autorisation.

Les responsabilités

Dans le cadre des programmes de bug bounty, les chercheurs en sécurité et les hackers sont invités à examiner en toute légalité diverses applications, plates-formes et services dans un cadre donné. Si une vulnérabilité est découverte et que son impact entre dans le cadre du programme, les chercheurs doivent soumettre un rapport de bogue par les canaux appropriés. Une fois que l’entreprise aura vérifié la menace et son impact, les chercheurs seront payés dans les délais impartis.

Dans le cadre des programmes de primes aux bugs, chaque programme spécifie les actifs que l’entreprise souhaite examiner, les liens pertinents et les instructions de partage pour se connecter, le cas échéant. Plus importants encore, les programmes de primes de bogues indiqueront clairement les zones du produit qui ne doivent pas faire l’objet d’une enquête, et l’enquête sur ces actifs est illégale. 

Les entreprises indiquent également la fourchette des paiements pour les bogues valides et, le cas échéant, les paiements moyens pour les primes précédentes. Elles peuvent également inclure d’autres récompenses, comme la reconnaissance, pour les experts qui cherchent à construire leur réputation.

Les petites et moyennes entreprises n’ont pas les moyens de mettre en place leur propre programme de bug bounty. Elles se tournent donc vers des plates-formes qui se chargeront du recrutement, de la vérification et de la gestion des chercheurs ainsi que de l’analyse des bogues découverts et de la gestion des paiements. 

Des entreprises de plus grande taille préfèrent mettre en œuvre de tels programmes en continu, de sorte que chaque fois qu’un chercheur trouve un bug, il est payé s’il s’agit d’une faille qui mérite d’être rémunérée. D’autres programmes sont mis en œuvre pour des périodes limitées et, dans ce délai, les chercheurs disposent d’une marge de manœuvre pour explorer les failles.

competences-metier

Compétences

Les bugs bounty hunter connaissent les principes fondamentaux de la cybersécurité, mais ils doivent surtout acquérir des connaissances approfondies et se perfectionner dans de nombreux domaines tels que le réseau, le codage, la sécurité, le cloud et la façon dont tout fonctionne ensemble. 

Mais ces compétences ne sont pas suffisantes ! Cela peut surprendre, mais de solides compétences en communication sont indispensables, car l’objectif de ce type de programme est de permettre à une entreprise de comprenne le risque et d’être capable de le résoudre.

Qualités

Vous devez avoir l’esprit d’un hacker, ce qui signifie que vous devez être curieux de savoir comment la technologie fonctionne, pourquoi le bug existe et comment l’exploiter. Ensuite, apprenez-en le plus possible. De cette façon, vous ne vous contenterez pas d’exploiter les bugs, mais vous développerez également des méthodologies sur la façon de les rechercher.

D’autres qualités permettent aussi de faire la différence et d’être plus efficace :

  • Soyez patient : si vous n’aimez pas rester assis toute la journée, la chasse aux bugs n’est probablement pas faite pour vous. En revanche, si vous aimez passer des heures et des heures à essayer de trouver des vulnérabilités dans divers sites, applications ou logiciels, cette activité vous conviendra parfaitement. La patience est l’une des choses les plus difficiles à surmonter, car vous ne serez pas payé tant que vous n’aurez pas trouvé de bug… Même les hackers talentueux peuvent chasser pendant des jours, voire des semaines, sans trouver un seul bug. Imaginez à quel point cela peut être frustrant !
  • N’oubliez pas de tout documenter : une fois que vous avez identifié une faille, faites des captures d’écran du site web affecté ainsi que son URL ou de l’application. Vous pouvez également enregistrer des séquences vidéo ou des enregistrements audio de l’attaque elle-même. Plus vous recueillerez de preuves, plus vous aurez de chances d’être payé.
  • Gardez une trace de vos progrès : comme indiqué précédemment, de nombreuses entreprises offrent des primes pour certains types de bogues. Veillez donc à consigner tous les exploits que vous découvrez. Ainsi, vous ne manquerez rien d’important.
  • C’est en forgeant qu’on devient forgeron : même si vous devriez déjà savoir coder, la pratique des défis de codage contribue à améliorer vos connaissances en matière de bug bounty. De plus, cela vous permet de vous entraîner à identifier les failles des applications.

Les soft skills recherchées par les entreprises

Le développement d’un état d’esprit de « hacker » est la première compétence dont les chasseurs de bogues ont besoin, suivie par une curiosité pour le fonctionnement du matériel et des logiciels.

"La compétence essentielle pour ce métier est la capacité à rechercher de l'information et à se documenter, en effet le bug bounty est principalement une question de connaissances et de pratique. Cela demande un investissement de temps et de persévérance important ainsi qu'une veille constante. Un domaine qui requiert de la passion."
Mathis Pais De Sousa - Bug bounty hunter et consultant sécurité opérationnelle

Niveau d’études nécessaire

Le niveau Bac +2 est le minimum requis.

Quelle école ?

Guardia Cybersecurity School propose un bachelor développeur informatique option cybersécurité et un MSc expert cybersécurité. Suivre un cursus spécialisé en cybersécurité permet d’acquérir de solides expériences et une méthodologie.

Salaire

Ne rêvez pas !  Être chasseur de bogues n’est pas un moyen de s’enrichir rapidement. La plupart des hackers gagnent moins de 20 000 dollars par an, mais au moins sept d’entre eux ont gagné plus d’un million de dollars et un hacker éthique roumain du nom de Cosmin Lordache ou @inhibitor181 a gagné plus de 2 millions de dollars grâce à HackerOne.

Quelles sont les bonnes questions à se poser avant de s’orienter

Se poser les bonnes questions pour son futur métier est essentiel. Une étape qu’il ne faut pas négliger notamment avant son orientation. Voici quelques questions incontournables :

  •     Ai-je un niveau suffisant en mathématiques ?
  •     Où se former pour devenir bug bounty hunter ?
  •     Quels sont les contenus des formations proposés par l’école ?
  •     Qui sont les intervenants et professeurs ?
  •     Des stages sont-ils organisés ?
  •     Quel est mon projet professionnel ?
  •     Les débouchés sont-ils importants ?
  •     Vais-je trouver un emploi facilement ?
"J'ai été attiré par la cybersécurité notamment offensive au début de mes études supérieures, j'ai commencé par faire du CTF, puis j'ai eu des opportunités en alternance qui m'ont permis de m'entraîner sur des environnements réels tout en alimentant mon blog personnel via ma veille et mes lectures régulières (https://blog.s1rn3tz.ovh). Une fois ces bases solides acquises, je me suis lancé dans ce domaine pour le challenge et les bénéfices cités précédemment." 
Mathis Pais De Sousa - Bug bounty hunter et consultant sécurité opérationnelle

Devenir bug bounty hunter

C’est à la fois, une activité passionnante, car vous passerez des jours à décortiquer une application à la recherche d’une vulnérabilité très critique qui vous fera connaitre de la communauté des hackers. Cette découverte vous permettra aussi de remporter une prime élevée. Mais il y a aussi le revers de la médaille. Passer tout son temps sur un logiciel peut devenir frustrant à la longue. Mais si cette perspective ne vous décourage pas, foncez ! De nombreuses entreprises et plateformes ont mis en place des programmes de bug bounty. Et n’oubliez pas cette citation du patron de Twitter, Elon Musk : « J’ai commencé SpaceX avec l’espoir d’un échec ».

"La cybersécurité est avant tout l'affaire de tous (experts comme simples employés et particuliers). C'est une question de partage et d'accompagnement. La cybersécurité est un domaine en croissance constante pour lequel les acteurs malveillants n'attendent pas et ne manquent pas d'imagination. Aujourd'hui, la place des systèmes informatiques est telle que la cybersécurité est devenue une question parfois de vie ou de mort. La cybersécurité est un domaine extrêmement vaste qui requiert des expertises et compétences très diverses, toutes complémentaires. Consultants, analystes, DevSecOps... autant de métiers qui ont tous leur importance dans la sécurisation des SI".
Mathis Pais De Sousa - Bug bounty hunter et consultant sécurité opérationnelle
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

FAQ

Quelles sont les missions du bug bounty hunter ?

Un bug bounty hunter a deux tâches principales : 

  • Trouver des bogues et des failles de sécurité 
  • Signaler ces bogues et ces failles de sécurité de manière responsable. Lorsqu’un pirate découvre une faille dans un système, il signale sa découverte par courrier électronique. Un responsable du programme de bug bounty examine toutes les découvertes signalées et décide de récompenser ou non la personne responsable.

Quel est le salaire du bug bounty hunter ?

Ne rêvez pas !  Être chasseur de bogues n’est pas un moyen de s’enrichir rapidement. La plupart des hackers gagnent moins de 20 000 dollars par an, mais au moins sept d’entre eux ont gagné plus d’un million de dollars et un hacker éthique roumain du nom de Cosmin Lordache, ou @inhibitor181, a gagné plus de 2 millions de dollars grâce à HackerOne.

Quel niveau d’étude et formation pour devenir bug bounty hunter ?

Pour devenir un bug bounty hunter, un bac +2 est requis.

Quel bac choisir ?

Au lycée, nous vous conseillons de suivre un BAC général ou technologique et d’opter pour l’une des spécialités suivantes, mathématiques, sciences de l’ingénieur ou numérique, sciences économiques et sociales et sciences informatiques.

 

En vidéo


Prévisualisation youtube
bouton play youtube
metiers-proche-bg

Métiers proches de Bug bounty hunter

Continuez vos recherches autour des métiers de la cybersécurité :