Mr. Robot, Millenium, Hacker/Black Hat… Dans toutes ces fictions audiovisuelles récentes, les hackers sont des héros qui arrivent à déjouer les forces du mal grâce à leurs mystérieux superpouvoirs du codage.
Évidemment, ces clichés hollywoodiens ne correspondent pas à la réalité. Moins flamboyante, elle vient d’être décrite de façon intéressante et sans fioritures dans un rapport publié par l’institut de recherche américain Data & Society. Intitulé Bounty Everything, il décrit de manière historique et socio-économique la vie des hackers, ces éternels damnés de l’informatique.
Dans l’imaginaire collectif, les hackers sentent bon la révolte et l’anarchie. Et ce n’est pas totalement infondé. Prenant sa source dans le milieu académique — et notamment le MIT — le hacking a généré à partir des années 60 une sous-culture fondée sur le partage, la connaissance, la transparence, la liberté, le refus de l’autorité, et l’humour. Cet esprit existe toujours.
Pour s’en rendre compte, il suffit d’aller aux grands rassemblements de hackers, comme Def Con, aux États-Unis, ou la conférence du Chaos Computer Club, en Allemagne.
Face à l’importance croissante des grands éditeurs privés et de l’État dans l’informatique, cette sous-culture a créé, dans les années 80/90, le principe du logiciel libre, ainsi que les mouvements cypherpunk et cryptoanarchiste, focalisés sur la protection de la vie privée et la lutte contre la surveillance de masse.
C’est dans ce contexte que la pratique du full disclosure, c’est-à-dire la publication sauvage de failles informatiques, était encouragée et prenait tout son sens. Révéler les failles des grands éditeurs était un acte anti-establishment, un doigt d’honneur au capitalisme high-tech pour le forcer à revoir sa copie.
Mais selon le rapport Bounty Everything, l’année 1995 a été un tournant historique. Ian Goldberg, étudiant au MIT, a trouvé une énorme faille SSL dans le navigateur Netscape et l’a publié dans la mailing-list « alt. cypherpunks ». Rien de très anormal.
Mais cette fois, l’information est reprise par la presse et le cours de bourse de Netscape a dévissé. L’affaire ne pouvait pas s’arrêter avec la mise à disposition d’un patch. L’éditeur avait accéléré son cycle de développement, afin de pouvoir publier tous les six mois une nouvelle version de son navigateur. Le dommage collatéral se retrouvait dans le code, de plus en plus truffé de failles.
Comme il n’était pas question de revenir en arrière sur cette décision business ni de rester à la merci des hackers, l’entreprise américaine a eu une idée de génie : elle a créé un programme de bug bounty.
Elle allait rémunérer les hackers pour chaque faille qu’ils allaient trouver. Cela permettait d’améliorer la qualité du logiciel, de se mettre ces empêcheurs de tourner en rond dans la poche, et d’avoir le contrôle total sur la publication des failles. C’est un retournement spectaculaire de la situation.
Toutefois, ce concept ne s’est pas généralisé tout de suite. Il a fallu attendre les années 2010 pour que les grands éditeurs, comme Google ou Facebook, créent à leur tour des programmes de bug bounty.
Puis, rapidement, les premières plates-formes sont apparues : Bugcrowd en 2011, HackerOne en 2012, ou encore YesWeHack en 2013. Elles permettent à n’importe quelle entreprise de faire ausculter ses systèmes par des experts, et cela dans un cadre de confiance.
Même le secteur militaire fait désormais appel à elles (« Hack the Pentagon »). C’est définitivement la fin d’une époque. Exit les cypherpunks contestataires et ingérables, l’heure est désormais aux travailleurs de plate-forme.
Aujourd’hui, les entreprises font la loi
Pour les entreprises, la nouvelle situation est tout à leur avantage, car l’audit et la maintenance de systèmes informatiques peuvent coûter très cher. Le bug bounty minimise ce coût en faisant appel à une force de travail internationale, totalement flexible et rémunérée à la tâche. C’est une ubérisation du hacking dans laquelle les entreprises imposent clairement leurs conditions. C’est à prendre ou à laisser.
Pour les hackers — que l’on appelle désormais « chercheurs en sécurité » — ce système a de bons et de mauvais côtés. Pour peu que le hacker soit doué, cette approche permet de rentrer dans le circuit de la sécurité informatique, de générer des revenus, et de poser les premiers jalons d’une carrière. Que l’on soit diplômé ou non, importe peu.
Mais le rapport montre aussi que cela ne va pas au-delà. Le bug bounty n’est pas considéré comme un véritable emploi. Seuls 25 % des chasseurs de failles le font à plein temps et deux tiers ont moins de 30 ans. Les conditions de travail sont trop précaires pour que l’on ait envie d’y rester longtemps.
Car, trouver une faille de sécurité, c’est beaucoup de travail, et il n’est pas rare que l’on fasse chou blanc après des heures passées devant son écran. Et toutes ces heures, évidemment, ne sont pas rémunérées.
Pour peu que l’on décide quand même de s’accrocher, on risque le burn out. « L’ironie est évidente : on utilise des travailleurs vulnérables pour corriger nos logiciels et systèmes vulnérables », constatent les auteurs du rapport, qui invitent les acteurs du marché à chercher des formes d’organisation et de rémunération plus justes et plus durables.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
