Étude : les hackers ne sont pas toujours en quête d'argent
Lorsqu'ils participent aux programmes de chasse aux bogues

Le , par Coriolan, Chroniqueur Actualités
La question de sécurité devient de plus en plus préoccupante plus les entreprises. Pour cette raison, les programmes de chasses aux bogues se développent auprès de différentes multinationales et organisations gouvernementales comme Apple, le département de défense américain, Facebook, General Motors, Google, Microsoft, Panasonic, Uber, et plusieurs autres entités déterminées à coopérer avec les hackers afin de trouver les vulnérabilités et améliorer leur sécurité. Ces programmes de chasse aux bogues n’auraient pu exister sans l’existence d’une communauté de hackers dotée des compétences techniques et de la créativité, nécessaires pour trouver les failles de sécurité, sinon le programme de chasse aux bogues ne sera pas effectif.

De nos jours, les fuites de données sont devenues si régulières qu’on a tendance à confondre les termes “cybercriminel” et “hackeur”, cependant, ils ne sont pas les mêmes. Un hackeur est une personne qui résout des problèmes, « une personne qui apprécie le défi intellectuel de surmonter les limitations par la créativité ». Les hackers sont présents dans toutes les catégories d’âge et dans tous les pays du monde. À la différence d’un hacker, un cybercriminel exploite ses connaissances à des fins criminelles.

Pour son Bug Bounty Hacker Report de 2016, HackerOne, une entreprise basée à San Francisco et ayant une plateforme pour connecter les firmes avec les chercheurs de sécurité, a interrogé 617 hackers à succès pour en savoir plus sur cette communauté. La firme définit un hacker à succès comme toute personne ayant soumis au moins une vulnérabilité valide de sécurité sur HackerOne.

Parmi les chercheurs de sécurité interrogés, beaucoup ne sont pas impliqués dans ce domaine juste pour l’argent. Ainsi, 51 % des hackers ont indiqué qu’ils sont impliqués pour « faire du bien dans le monde » et 34 % vont participer à un programme de chasse aux bugs d’une firme spécifique parce qu'ils aiment cette firme. Néanmoins, l’argent reste un facteur clé pour 72 % des interrogés.


Les hackers sont localisés dans plus de 70 pays

Les hackers participants aux programmes de chasse aux bugs sont jeunes, plus de 90 % d’entre eux ont moins de 34 ans. Le groupe d’âge le plus important est constitué de ceux dont l’âge varie de 18 et 24 ans. Les hackers concernés par le sondage l’étude, ont indiqué qu’ils sont de 72 pays. L’Inde est le premier pays du classement, avec 21 % des participants localisés dans ce pays, suivis par les États-Unis à la deuxième position avec 19% et la Russie 8 %. Néanmoins, la concentration la plus importante de hackers par habitant se trouve (par ordre décroissant) aux Pays-Bas, en Suède et en Belgique. 97 % des participants ont indiqué être des hommes, contre 2 % pour les femmes. Cependant, avec la montée de la popularité des programmes de chasse aux bogues, ces chiffres sont appelés à changer dans le futur.

Suite à la popularisation des programmes de bug bounty et le recours de plus en plus croissant des firmes au service des hackers pour aider à renforcer leurs systèmes de sécurité, on a assisté à un changement d’attitude vis-à-vis de ces personnes. 31 % des participants ont indiqué que les firmes ont été plus ouvertes à recevoir les rapports de vulnérabilités trouvées par les chercheurs de sécurité durant l’année dernière, alors que 38 % ont dit que les firmes sont plutôt ouvertes.


Revenus annuels des hackers

Face à ce changement d'attitude, on se demande s’il est possible de vivre solennellement des programmes de chasse aux bugs à plein temps. Il apparait que certains ont réussi à le faire. Ainsi, 17 % des interrogés ont indiqué que leur principale source de revenus est tirée de ces programmes, alors que 26 % tirent de 76 % à 100 % de leur revenu annuel exclusivement de la chasse aux bogues (cependant, 27 % des participants ont préféré ne pas divulguer d’information). Les programmes de chasse aux bogues peuvent être très lucratifs, environ 11 % réalisent plus de 50 000$ dollars par an et 6 % gagnent plus de 100 000$; cependant, plus de la moitié des interrogés ont indiqué avoir participé à des programmes non rémunérés durant les six derniers mois.

Source : HackerOne

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de maequise maequise - Membre à l'essai https://www.developpez.com
le 15/09/2016 à 9:01
Citation Envoyé par Coriolan
qu’on a tendance à confondre les termes “cybercriminel” et “hackeur”, cependant, ils ne sont pas les mêmes.

Pas d'accord ...
Si il avait été écrit qu'il existe les White Hat et les Black Hat et que la conclusion avait été la même j'aurais été d'accord.

Le hacker cherchera toujours à s'introduire dans un système, à détourner un logiciel de son usage premier. Maintenant selon ce qu'il fera on le classera dans une catégorie ou une autre.
Avatar de awesomeman awesomeman - Membre régulier https://www.developpez.com
le 15/09/2016 à 9:34
Si il avait été écrit qu'il existe les White Hat et les Black Hat et que la conclusion avait été la même j'aurais été d'accord.

Le hacker cherchera toujours à s'introduire dans un système, à détourner un logiciel de son usage premier. Maintenant selon ce qu'il fera on le classera dans une catégorie ou une autre.

C'est pourtant ce qui est dit .. les hackers ne sont pas tous des criminels . il faut savoir distinguer les deux
Avatar de qvignaud qvignaud - Membre habitué https://www.developpez.com
le 15/09/2016 à 9:48
C'est comme le principe d'héritage de la POO : un cybercriminel est un hacker, mais un hacker n'est pas nécessairement un cybercriminel
(Quoique, même l'affirmation cyberciminel -> hacker est discutable)
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 16/09/2016 à 9:12
Et moi qui ait jamais rien gagné en révélant des bugs à des sociétés je suis tristes
Bon en même temps je tombe dessus en ne faisant rien de bien particulier, je gratte la surface quand je trouve un comportement qui me fait "sourciller" et je trouve une fois sur 2
Quand au débat Hacker/Cyber-Criminel il faut savoir que si vous avez déjà lus le code d'une autre personne pour le comprendre(le programme) alors vous êtes un Hacker, moi ça à commencé en démontant puis réparant des appareils électroniques(d'où mon bac Électronique).
Pour le Cyber-Criminel il le devient à l'usage de programme(s) ou de technique(s) visant à s'introduire dans un/plusieurs système(s) de manière(s) non autorisée(s).
Avatar de marsupial marsupial - Membre expérimenté https://www.developpez.com
le 30/09/2016 à 1:08
Citation Envoyé par maequise  Voir le message
Si il avait été écrit qu'il existe les White Hat et les Black Hat et que la conclusion avait été la même j'aurais été d'accord.

Les White Hat, reference aux chapeaux des bons cow-boys se trouvent dans la Blue Team (equipe de defense), les Black Hat, pour le chapeau noir des mauvais cowboys, se trouvent dans la Red Team (equipe attaquante). Ce sont des surnoms mais ce sont tous des hackers ethiques qui n exploitent pas leurs connaissances pour devenir des criminels. Les Black Hat detectent les failles d un reseau et les exploitent lors d audit de securite alors que les White Hat sont charges d empecher l intrusion. Un Black Hat peut se deguiser en livreur de pizza pour infecter un systeme et ensuite exploiter.

Le hacker sera celui qui modifie un programme, un appareil electronique pour un usage different ou adapte a un besoin. La creation des fonctions await / release pour les drivers videos, par exemple, provient du fait d une perte de donnees pour une raison de science physique, le bruit de flux magnetique generee par les hautes frequences des multipuces a multicoeurs. Perte creant un defaut d affichage aleatoire puisque la perte est aleatoire comme la collision de paquets en reseau. C est un hack conseille apres diagnostique du defaut fait par mes soins apres un rapport dans un article d un site anglo-saxon. Je n en suis pas cyber-criminel pour autant bien que j ai ouvert la beta du pilote pour cette occasion.

Edit : Dans ce cas, le hacker est meme couvert par la loi numerique

« 10° Les copies ou reproductions numériques réalisées à partir d’une source licite, en vue de l’exploration de textes et de données incluses ou associées aux écrits scientifiques pour les besoins de la recherche publique, à l’exclusion de toute finalité commerciale. Un décret fixe les conditions dans lesquelles l’exploration des textes et des données est mise en œuvre, ainsi que les modalités de conservation et de communication des fichiers produits au terme des activités de recherche pour lesquelles elles ont été produites ; ces fichiers constituent des données de la recherche ; »

Contacter le responsable de la rubrique Accueil