Le Covid-19 a secoué tous les modèles organisationnels. Télétravail, urgence sanitaire et nouvelle gouvernance dans l’achat de vaccins. Sous pression, les organisations ont fait encore plus d’erreurs qu’habituellement pour protéger leurs systèmes informatiques, leurs infrastructures et la continuité de leurs opérations. Fin avril 2020, .
Pas étonnant que le «bug bounty», ce secteur d’activité qui consiste à récompenser des hackers éthiques qui découvrent des failles de sécurité, soit, lui aussi, en plein boom!
, HackerOne, ces pirates ont empoché 40 millions de dollars de récompenses. Neuf de son million de hackers sont même devenus millionnaires en 2020 et l’un d’entre eux a même gagné deux millions de dollars.
82% d’entre eux sont des hackers à temps partiel, plus de la moitié ont moins de 25 ans, et tous ont l’intention de faire progresser leurs connaissances pour continuer à travailler dans le secteur. Apprendre est une motivation supérieure à l’argent pour cette cohorte d’anonymes.
Leur activité pose même un problème inattendu: un hacker sur deux de HackerOne n’a pas révélé le bug qu’il a découvert, soit parce que l’entreprise n’avait pas de structure pour l’entendre (27%), soit parce que, déjà contactée, l’entreprise n’avait pris aucune mesure de correction (27%), soit parce qu’aucune récompense n’était offerte (19%).
Les bugs sont découverts dans de nombreux secteurs, mais majoritairement dans le domaine assez vague d’internet (59%), devant les services financiers (47%), les fournisseurs de logiciels (43%) et le commerce (41%). Si les applications web restent le principal terrain de jeu des pirates, les API sont en hausse de près de 700% sur un an, et ce qui est lié à Android de plus de 600%. Un phénomène reste encore marginal, mais leur intérêt pour l’internet des objets a augmenté de 1.000% en un an.
Le «cross-site scripting», la possibilité d’injecter du contenu dans une page web, reste la vulnérabilité la plus répandue (en augmentation de 26%), devant la possibilité d’avoir accès à des données personnelles et confidentielles (+65%) et l’«improper access control», la défaillance à contrôler l’accès de son site à des non-utilisateurs ou non-consommateurs (+53%).
Google, qui fait partie des prestigieux clients du leader mondial (comme General Motors, Starbucks, Uber, Yahoo et Toyota), a payé 6,7 millions de dollars de récompenses l’an dernier.
Le numéro deux mondial du marché, américain également, Bugcrowd, assure que les failles de sécurité critiques ont augmenté de 65% l’an dernier, une donnée particulièrement problématique pour le secteur financier, qui a dû complètement modifier ses processus à cause de la pandémie.
Le premier européen, dans le top 5, la française YesWeHack, utilisée par certaines entreprises luxembourgeoises, a détecté deux fois plus de bugs en 2020 qu’en 2019 grâce à ses 22.000 pirates de 170 pays, générant des bounties qui restent inconnus puisqu’elle ne communique pas sur le sujet.
Son challenger, français également, Yogosha, a vu son chiffre d’affaires augmenter de 110% l’an dernier, avec une petite particularité. Le fournisseur de «bug bounties» s’est engagé dans un process de recrutement de hackers éthiques. Seuls 15% des candidats réussissent les tests à l’entrée. Cette idée lui a permis de séduire de grands comptes, comme le ministère français des Armées, Zadig & Voltaire, Cdiscount, Thales, Veolia, Bouygues et BNP Paribas.
Selon une autre étude, le même travail fourni par des hackers moins éthiques aurait coûté plus d’un milliard de dollars aux entreprises, soit 25 fois plus.
: la plateforme d’échange de bitcoins Sovryn offre 1,25 million de dollars. Ces récompenses sont plafonnées à 22.000 dollars par bug avec un bonus de 30% pour ceux qui trouveront une faille dans les 30 premiers jours du programme. Ou comment s’offrir un coup de pub géant sous couvert d’éthique.