hacker éthique hacker éthique
Métiers

Bug bounty hunter

Tous les logiciels présentent des failles de sécurité. Il est donc essentiel de les trouver le plus rapidement possible avant que des cybermalveillants ne profitent d’une brèche pour récupérer des données. Cette course de vitesse aux bugs attire de plus en plus de « chasseurs de primes », car les entreprises et des plateformes ont mis en place des bugs bounty aux récompenses attractives. Si aucun diplôme n’est requis, il est indispensable d’être rigoureux et compétent.

Fiche métier mise à jour le
En résumé
Niveau d’études : Bac +2 minimum
Bac conseillé : Scientifique
Employabilité : Bonne
Salaire débutant : € brut/an
Salaire confirmé : € brut/an
Mobilité : Bonne
Code ROME :
Code FAP :
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

Métier

Tels les chercheurs d’or à l’époque du Far West, les bugs bounty hunter ne rêvent que d’une chose : dénicher une faille qui les rendra riches et célèbres. Mais comme au temps des cow-boys, les heureux élus sont rares. Ces chasseurs de primes version numérique sont très utiles aux entreprises et aux éditeurs de logiciels et d’application, car ils empêchent les cybercriminels de repérer les bugs à un stade précoce. A la clé, une prime qui est parfois très intéressante.

Un rapport 2020 de HackerOne (principale plateforme de bug bounty) a révélé que la prime moyenne versée pour les vulnérabilités critiques s’élevait à 3 650 dollars, et que la prime la plus importante versée à ce jour pour une seule faille était de 100 000 dollars. L’étude avait également révélé qu’au moins 50 hackers travaillant avec la plateforme avaient gagné un salaire moyen de 100 000 dollars par an en 2019. 

Mais les plus grosses primes sont logiquement versées par les géants de la Tech. Google a versé un montant record de 6,7 millions de dollars aux chasseurs de primes de bugs en 2020. Microsoft a versé 13,7 millions de dollars en 2019-2020, dont une récompense de 200 000 dollars. PayPal a remis près de 2,8 millions de dollars en primes de bug sur deux ans.

Les missions

Un bug bounty hunter a deux tâches principales : 

  • Trouver des bogues et des failles de sécurité 
  • Signaler ces bogues et ces failles de sécurité de manière responsable. Lorsqu’un pirate découvre une faille dans un système, il signale sa découverte par courrier électronique. Un responsable du programme de bug bounty examine toutes les découvertes signalées et décide de récompenser ou non la personne responsable.

Une fois la décision prise, le responsable du programme de primes aux bugs envoie un chèque au chercheur et des instructions sur la manière de réclamer la récompense. Les chasseurs de bug bounty qui réussissent doivent également suivre des directives strictes lorsqu’ils signalent des failles. Ils doivent notamment préserver la confidentialité des informations personnelles, n’utiliser qu’un seul ordinateur à la fois et ne jamais divulguer de données sensibles sans autorisation.

Les responsabilités

Dans le cadre des programmes de bug bounty, les chercheurs en sécurité et les hackers sont invités à examiner en toute légalité diverses applications, plates-formes et services dans un cadre donné. Si une vulnérabilité est découverte et que son impact entre dans le cadre du programme, les chercheurs doivent soumettre un rapport de bogue par les canaux appropriés. Une fois que l’entreprise aura vérifié la menace et son impact, les chercheurs seront payés dans les délais impartis.

Dans le cadre des programmes de primes aux bugs, chaque programme spécifie les actifs que l’entreprise souhaite examiner, les liens pertinents et les instructions de partage pour se connecter, le cas échéant. Plus importants encore, les programmes de primes de bogues indiqueront clairement les zones du produit qui ne doivent pas faire l’objet d’une enquête, et l’enquête sur ces actifs est illégale. 

Les entreprises indiquent également la fourchette des paiements pour les bogues valides et, le cas échéant, les paiements moyens pour les primes précédentes. Elles peuvent également inclure d’autres récompenses, comme la reconnaissance, pour les experts qui cherchent à construire leur réputation.

Les petites et moyennes entreprises n’ont pas les moyens de mettre en place leur propre programme de bug bounty. Elles se tournent donc vers des plates-formes qui se chargeront du recrutement, de la vérification et de la gestion des chercheurs ainsi que de l’analyse des bogues découverts et de la gestion des paiements. 

Des entreprises de plus grande taille préfèrent mettre en œuvre de tels programmes en continu, de sorte que chaque fois qu’un chercheur trouve un bug, il est payé s’il s’agit d’une faille qui mérite d’être rémunérée. D’autres programmes sont mis en œuvre pour des périodes limitées et, dans ce délai, les chercheurs disposent d’une marge de manœuvre pour explorer les failles.

competences-metier

Compétences

Les bugs bounty hunter connaissent les principes fondamentaux de la cybersécurité, mais ils doivent surtout acquérir des connaissances approfondies et se perfectionner dans de nombreux domaines tels que le réseau, le codage, la sécurité, le cloud et la façon dont tout fonctionne ensemble. 

Mais ces compétences ne sont pas suffisantes ! Cela peut surprendre, mais de solides compétences en communication sont indispensables, car l’objectif de ce type de programme est de permettre à une entreprise de comprenne le risque et d’être capable de le résoudre.

Qualités

Vous devez avoir l’esprit d’un hacker, ce qui signifie que vous devez être curieux de savoir comment la technologie fonctionne, pourquoi le bug existe et comment l’exploiter. Ensuite, apprenez-en le plus possible. De cette façon, vous ne vous contenterez pas d’exploiter les bugs, mais vous développerez également des méthodologies sur la façon de les rechercher.

D’autres qualités permettent aussi de faire la différence et d’être plus efficace :

  • Soyez patient : si vous n’aimez pas rester assis toute la journée, la chasse aux bugs n’est probablement pas faite pour vous. En revanche, si vous aimez passer des heures et des heures à essayer de trouver des vulnérabilités dans divers sites, applications ou logiciels, cette activité vous conviendra parfaitement. La patience est l’une des choses les plus difficiles à surmonter, car vous ne serez pas payé tant que vous n’aurez pas trouvé de bug… Même les hackers talentueux peuvent chasser pendant des jours, voire des semaines, sans trouver un seul bug. Imaginez à quel point cela peut être frustrant !
  • N’oubliez pas de tout documenter : une fois que vous avez identifié une faille, faites des captures d’écran du site web affecté ainsi que son URL ou de l’application. Vous pouvez également enregistrer des séquences vidéo ou des enregistrements audio de l’attaque elle-même. Plus vous recueillerez de preuves, plus vous aurez de chances d’être payé.
  • Gardez une trace de vos progrès : comme indiqué précédemment, de nombreuses entreprises offrent des primes pour certains types de bogues. Veillez donc à consigner tous les exploits que vous découvrez. Ainsi, vous ne manquerez rien d’important.
  • C’est en forgeant qu’on devient forgeron : même si vous devriez déjà savoir coder, la pratique des défis de codage contribue à améliorer vos connaissances en matière de bug bounty. De plus, cela vous permet de vous entraîner à identifier les failles des applications.

Les soft skills recherchées par les entreprises

Le développement d’un état d’esprit de « hacker » est la première compétence dont les chasseurs de bogues ont besoin, suivie par une curiosité pour le fonctionnement du matériel et des logiciels.

Niveau d’études nécessaire

Le niveau Bac +2 est le minimum requis.

Quelle école ?

La meilleure école est celle de la vie ! Avoir un esprit d’attaquant et être méthodique valent toutes les écoles. Mais suivre un cursus d’ingénieur en cybersécurité permet d’acquérir de solides expériences et une méthodologie.

Salaire

Ne rêvez pas !  Être chasseur de bogues n’est pas un moyen de s’enrichir rapidement. La plupart des hackers gagnent moins de 20 000 dollars par an, mais au moins sept d’entre eux ont gagné plus d’un million de dollars et un hacker éthique roumain du nom de Cosmin Lordache, ou @inhibitor181, a gagné plus de 2 millions de dollars grâce à HackerOne.

Quelles sont les bonnes questions à se poser avant de s’orienter

Se poser les bonnes questions pour son futur métier est essentiel. Une étape qu’il ne faut pas négliger notamment avant son orientation. Voici quelques questions incontournables :

  •     Ai-je un niveau suffisant en mathématiques ?
  •     Où se former pour devenir bug bounty hunter ?
  •     Quels sont les contenus des formations proposés par l’école ?
  •     Qui sont les intervenants et professeurs ?
  •     Des stages sont-ils organisés ?
  •     Quel est mon projet professionnel ?
  •     Les débouchés sont-ils importants ?
  •     Vais-je trouver un emploi facilement ?

Devenir bug bounty hunter

C’est à la fois, une activité passionnante, car vous passerez des jours à décortiquer une application à la recherche d’une vulnérabilité très critique qui vous fera connaitre de la communauté des hackers. Cette découverte vous permettra aussi de remporter une prime élevée. Mais il y a aussi le revers de la médaille. Passer tout son temps sur un logiciel peut devenir frustrant à la longue. Mais si cette perspective ne vous décourage pas, foncez ! De nombreuses entreprises et plateformes ont mis en place des programmes de bug bounty. Et n’oubliez pas cette citation du patron de Twitter, Elon Musk : « J’ai commencé SpaceX avec l’espoir d’un échec ».

01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

En résumé

Quelles sont les missions du bug bounty hunter ?

Un bug bounty hunter a deux tâches principales : 

  • Trouver des bogues et des failles de sécurité 
  • Signaler ces bogues et ces failles de sécurité de manière responsable. Lorsqu’un pirate découvre une faille dans un système, il signale sa découverte par courrier électronique. Un responsable du programme de bug bounty examine toutes les découvertes signalées et décide de récompenser ou non la personne responsable.

Quel est le salaire du bug bounty hunter ?

Ne rêvez pas !  Être chasseur de bogues n’est pas un moyen de s’enrichir rapidement. La plupart des hackers gagnent moins de 20 000 dollars par an, mais au moins sept d’entre eux ont gagné plus d’un million de dollars et un hacker éthique roumain du nom de Cosmin Lordache, ou @inhibitor181, a gagné plus de 2 millions de dollars grâce à HackerOne.

Quel niveau d’étude et formation pour devenir bug bounty hunter ?

Pour devenir un bug bounty hunter, un bac +2 est requis.

Quel bac choisir ?

Au lycée, nous vous conseillons de suivre un BAC général ou technologique et d’opter pour l’une des spécialités suivantes, mathématiques, sciences de l’ingénieur ou numérique, sciences économiques et sociales et sciences informatiques.

metiers-proche-bg

Métiers proches de Bug bounty hunter

Continuez vos recherches autour des métiers de la cybersécurité :