Au Forum international de la cybersécurité 2021, Futura a rencontré les hackers éthiques de Yes We Hack, une plateforme qui met en relation des pirates et des entreprises du secteur high-tech, de l'industrie, des administrations et d'autres organisations. Ces chasseurs de prime 2.0 se sont retrouvés sur le salon pour un challenge de recherche de failles sur le service Doctolib et le site de la Croix rouge. Voici notre reportage.
au sommaire
Ils s'appellent Victor et Brice et ce sont des hunters, c'est-à-dire des hackers chasseurs de primes. Leurs cibles : les bugsbugs, les failles et vulnérabilités des applicationsapplications, logiciels et services en ligne. Leurs armes : de simples ordinateurs portables et des serveurs distants. En cas de réussite, ces chasseurs de primes 2.0 obtiennent des bug bounty, c'est-à-dire des primes aux bugs provenant des applications et services qu'ils viennent scruter.
“Un petit monde dans lequel tout le monde se connait, du moins sous la forme de pseudos”
Nos deux hackers éthiques sont bretons et en ont fait leur métier depuis quelques années. Ils ont même créé une société spécialisée baptisée BZHunt. Ils passent parfois quelques heures, ou des mois à débusquer les vulnérabilités des applications ou des services en ligne en échange de primes. Un sport confidentiel que pratiquerait une centaine de hackers français.
Un petit monde dans lequel tout le monde se connait, au moins sous la forme de pseudos. Et justement, sur cette édition du Forum international de la Cybersécurité 2021 (FIC) qui se tenait à Lille jusqu'à ce jeudi, les deux compères se trouvent parmi une vingtaine d'autres hunters sur le stand d'un organisme français baptisé Yes We Hack.
Des hackers éthiques qui traquent les failles
Cette plateforme, qui prend de l'importance au niveau international, met en relation des éditeurs et fabricants de matériel informatique qui sollicitent des hackers pour chercher et trouver la petite ou grosse bête pouvant mettre en danger leur produit ou service. Parmi ses clients, se trouve d'ailleurs l'incontournable application TousAntiCovid. Une bonne façon de renforcer la sécurité. Cette technique du bug bounty est d'ailleurs employée par les plus grands noms du secteur et, aux premiers rangs, AppleApple, MicrosoftMicrosoft et GoogleGoogle. Ce dernier annonce régulièrement des primes cumulées de plusieurs millions d'euros pour ces hunters.
Une prime de 10.000 euros en cas de faille critique
Et durant cette édition du FIC, à l'arrière du stand de Yes We Hack, les hackers se succèdent dans une ambiance propre aux fameuses Lan Arena, avec les boissons énergisantesboissons énergisantes, des sandwichs, des câbles et des PC portables dont la coque est souvent recouverte d'une multitude d'autocollants. Sur les écrans noirs, défilent les incontournables lignes de codes cabalistiques conformes à ce que l'on peut attendre des pirates. S'ils sont ici, c'est encore une fois pour chasser la prime. Et les cibles du jour ne sont pas n'importe lesquelles. Il s'agit de l'incontournable Doctolib qui a rythmé nos mois de pandémiepandémie et de la Croix rouge. Pour cette dernière, la prime est moins importante, mais pour Doctolib, elle s'élève à 10.000 euros pour la découverte d'une faille critique.
C'est pourquoi, dans cette ambiance particulière, les hackers utilisent le meilleur de leurs ressources pour chercher la petite bête. Mercredi, vers 14 h 30, le top départ est donné et quelques minutes avant le coup de feufeu, les deux complices mettent en place leurs serveurs distants pour bénéficier d'une bonne bande passante. Ils activent également leurs outils de prédilection pour réaliser leurs tests d'intrusion et autres tours de passe-passe.
“Quelques heures après, Victor explique qu’il a trouvé quelque chose d’intéressant”
Comme des athlètes, ils se projettent mentalement dans cette épreuve. Quelques heures après, Victor explique qu'il a trouvé quelque chose d'intéressant. Il est déjà en train d'adresser son rapport à Doctolib. Sur l'écran de la compétition, on peut voir s'afficher les premiers résultats. Mais le challenge est loin d'être terminé, puisque les hackers avaient jusqu'à 16 h 30, ce jeudi, pour parvenir à décrocher le gros lot ! Éreintés, mais très satisfaits, les deux associés sont finalement sortis grands vainqueurs de cette épreuve en cumulant le maximum de points. Confidentialité oblige, on ne saura pas vraiment quelles sont les failles qui ont été décelées chez les deux cibles.
L’European Cyber Cup, l'e-sport des chasseurs de bugs
Un peu plus loin, se déroule un autre concours. Il s'agit de la première édition de l’European Cyber Cup, une compétition de e-sport qui n'a rien à voir avec les jeux vidéojeux vidéo. Là aussi, il s'agit de traquer les bugs, failles et vulnérabilités sur des plateformes simulées. En tout, 16 équipes de dix membres, issues d'écoles d'ingénieurs ou de professionnels du secteur, s'affrontent durant deux jours. Ici, règne le même type d'ambiance électrique avec les rangées de tables bardées d'ordinateurs et un écran géant au centre. Au bout des deux jours d'épreuve, ce sont les étudiants rassemblés sous l'étendard « ESNArcotrafiquants » (l'École Supérieure du NumériqueNumérique Appliqué) qui sont les grands gagnants de la compétition. Ce challenge a pour objectif de découvrir les hackers les plus doués, puisqu'en guise de public, se trouvent essentiellement des recruteurs.
