Sur le stand de Yes We Hack, une vingtaine de participants se sont retrouvés à la recherche de bugs et de vulnérabilités pour empocher des primes allant de 50 à 10.000 euros. © Futura
Tech

FIC 2021 : rencontre avec les chasseurs de prime 2.0 du hacking

ActualitéClassé sous :technologie , cybersécurité , hacker éthique

-

Au Forum international de la cybersécurité 2021, Futura a rencontré les hackers éthiques de Yes We Hack, une plateforme qui met en relation des pirates et des entreprises du secteur high-tech, de l'industrie, des administrations et d'autres organisations. Ces chasseurs de prime 2.0 se sont retrouvés sur le salon pour un challenge de recherche de failles sur le service Doctolib et le site de la Croix rouge. Voici notre reportage.

Cela vous intéressera aussi

[EN VIDÉO] Qu'est-ce qu'une cyberattaque ?  Avec le développement d'Internet et du cloud, les cyberattaques sont de plus en plus fréquentes et perfectionnées. Qui est derrière ces attaques et dans quel but ? Quelles sont les méthodes des hackers et quelles sont les cyberattaques les plus massives ? 

Ils s'appellent Victor et Brice et ce sont des hunters, c'est-à-dire des hackers chasseurs de primes. Leurs cibles : les bugs, les failles et vulnérabilités des applications, logiciels et services en ligne. Leurs armes : de simples ordinateurs portables et des serveurs distants. En cas de réussite, ces chasseurs de primes 2.0 obtiennent des bug bounty, c'est-à-dire des primes aux bugs provenant des applications et services qu'ils viennent scruter.

Un petit monde dans lequel tout le monde se connait, du moins sous la forme de pseudos

Nos deux hackers éthiques sont bretons et en ont fait leur métier depuis quelques années. Ils ont même créé une société spécialisée baptisée BZHunt. Ils passent parfois quelques heures, ou des mois à débusquer les vulnérabilités des applications ou des services en ligne en échange de primes. Un sport confidentiel que pratiquerait une centaine de hackers français.

Un petit monde dans lequel tout le monde se connait, au moins sous la forme de pseudos. Et justement, sur cette édition du Forum international de la Cybersécurité 2021 (FIC) qui se tenait à Lille jusqu'à ce jeudi, les deux compères se trouvent parmi une vingtaine d'autres hunters sur le stand d'un organisme français baptisé Yes We Hack.

Des hackers éthiques qui traquent les failles

Cette plateforme, qui prend de l'importance au niveau international, met en relation des éditeurs et fabricants de matériel informatique qui sollicitent des hackers pour chercher et trouver la petite ou grosse bête pouvant mettre en danger leur produit ou service. Parmi ses clients, se trouve d'ailleurs l'incontournable application TousAntiCovid. Une bonne façon de renforcer la sécurité. Cette technique du bug bounty est d'ailleurs employée par les plus grands noms du secteur et, aux premiers rangs, Apple, Microsoft et Google. Ce dernier annonce régulièrement des primes cumulées de plusieurs millions d'euros pour ces hunters.

Brice et Victor se préparent mentalement à la compétition pour être les premiers à trouver le maximum de failles éventuelles sur le service Doctolib. © Futura

Une prime de 10.000 euros en cas de faille critique

Et durant cette édition du FIC, à l'arrière du stand de Yes We Hack, les hackers se succèdent dans une ambiance propre aux fameuses Lan Arena, avec les boissons énergisantes, des sandwichs, des câbles et des PC portables dont la coque est souvent recouverte d'une multitude d'autocollants. Sur les écrans noirs, défilent les incontournables lignes de codes cabalistiques conformes à ce que l'on peut attendre des pirates. S'ils sont ici, c'est encore une fois pour chasser la prime. Et les cibles du jour ne sont pas n'importe lesquelles. Il s'agit de l'incontournable Doctolib qui a rythmé nos mois de pandémie et de la Croix rouge. Pour cette dernière, la prime est moins importante, mais pour Doctolib, elle s'élève à 10.000 euros pour la découverte d'une faille critique.

C'est pourquoi, dans cette ambiance particulière, les hackers utilisent le meilleur de leurs ressources pour chercher la petite bête. Mercredi, vers 14 h 30, le top départ est donné et quelques minutes avant le coup de feu, les deux complices mettent en place leurs serveurs distants pour bénéficier d'une bonne bande passante. Ils activent également leurs outils de prédilection pour réaliser leurs tests d'intrusion et autres tours de passe-passe.

Quelques heures après, Victor explique qu’il a trouvé quelque chose d’intéressant

Comme des athlètes, ils se projettent mentalement dans cette épreuve. Quelques heures après, Victor explique qu'il a trouvé quelque chose d'intéressant. Il est déjà en train d'adresser son rapport à Doctolib. Sur l'écran de la compétition, on peut voir s'afficher les premiers résultats. Mais le challenge est loin d'être terminé, puisque les hackers avaient jusqu'à 16 h 30, ce jeudi, pour parvenir à décrocher le gros lot ! Éreintés, mais très satisfaits, les deux associés sont finalement sortis grands vainqueurs de cette épreuve en cumulant le maximum de points. Confidentialité oblige, on ne saura pas vraiment quelles sont les failles qui ont été décelées chez les deux cibles.

L’European Cyber Cup est la première édition d’une compétition particulière de e-sport puisqu’il s’agit là encore de chercher des failles de sécurité. © Futura

L’European Cyber Cup, l'e-sport des chasseurs de bugs

Un peu plus loin, se déroule un autre concours. Il s'agit de la première édition de l’European Cyber Cup, une compétition de e-sport qui n'a rien à voir avec les jeux vidéo. Là aussi, il s'agit de traquer les bugs, failles et vulnérabilités sur des plateformes simulées. En tout, 16 équipes de dix membres, issues d'écoles d'ingénieurs ou de professionnels du secteur, s'affrontent durant deux jours. Ici, règne le même type d'ambiance électrique avec les rangées de tables bardées d'ordinateurs et un écran géant au centre. Au bout des deux jours d'épreuve, ce sont les étudiants rassemblés sous l'étendard « ESNArcotrafiquants » (l'École Supérieure du Numérique Appliqué) qui sont les grands gagnants de la compétition. Ce challenge a pour objectif de découvrir les hackers les plus doués, puisqu'en guise de public, se trouvent essentiellement des recruteurs.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !