Chaque matin, Daniel Le Gall démarre sa journée par la même question : «Ai-je envie de travailler aujourd’hui ?», se demande ce chercheur en cybersécurité dès qu’il met un pied hors du lit. Souvent, la réponse est positive. Mais il arrive aussi que ce prodige des réseaux informatiques délaisse un temps ses ordinateurs pour se plonger dans des romans d’heroic fantasy ou aller respirer l’air pur sur les rives des lacs du Jura, près de son domicile de Gex (Ain), tout proche de la Suisse. «Etant à mon compte, j’ai cette liberté de pouvoir prendre deux ou trois mois de vacances d’affilée, sans trop m’inquiéter pour mes fins de mois», dit-il.
A lui seul, l’an dernier, il a réalisé un chiffre d’affaires de 404 000 euros brut grâce à ses talents de hacker. «Mon job consiste à m’introduire dans les réseaux informatiques des entreprises, à leur demande, pour pointer leurs vulnérabilités», résume-t-il. Quand il débusque une faille de sécurité – et un chasseur de sa trempe rentre rarement bredouille –, il rédige un rapport afin d'aider son client à la colmater.
Un bug à 75 000 euros
Son plus beau trophée ? «Un site de contenu pour adultes. J’ai mis un mois à l’infiltrer, mais le jeu en valait la chandelle», confie-t-il. Nom, prénom, adresse mail des utilisateurs, numéro de carte bancaire… Un pirate malhonnête aurait pu exploiter cette mine d’or pour amasser une petite fortune. Daniel, lui, a passé la main à l’administrateur de la plateforme, tout heureux d’avoir eu affaire à un hacker réglo… En récompense, il a empoché un chèque de 75 000 euros.
De plus en plus d’entreprises font appel aux services de Daniel et de ses confrères traqueurs de bugs de sécurité informatique, des «bug bounty hunters» comme ils se désignent dans leur jargon anglo-saxon. Payer des hackers pour se faire pirater ? Ce drôle de concept a germé dès les années 2010, avec l’essor des cybermenaces et les premières attaques ciblées contre les géants du Net. Pour mieux se protéger, Google puis Facebook avaient tour à tour invité la communauté des white hats (des hackers honnêtes) à déceler des brèches dans leurs barricades numériques. L’objectif étant de les réparer avant que des black hats (de vilains pirates) ne les prennent d’assaut.
Depuis, l’activité de ces sympathiques passe-murailles a explosé, sous l’impulsion d’intermédiaires comme l’américain HackerOne, numéro un mondial, ou son challenger européen, le français YesWeHack, qui mettent les entreprises en relation avec les as du hacking. «De LVMH à Vinci, en passant par Dassault Systèmes ou Orange, 80% des multinationales du CAC 40 proposent des défis de bug bounty sur notre plateforme», explique Guillaume Vassault-Houlière, en sirotant son café au huitième étage du Campus Cyber, cœur battant de la cybersécurité tricolore installé dans le quartier d’affaires de la Défense (Hauts-de-Seine). Via YesWeHack, la start-up que cet ex-hacker a cofondée en 2015, les entreprises soumettent un millier de défis de cybersécurité à la sagacité de quelque 100 000 chasseurs de bugs, répartis dans 160 pays.
Ils piratent la Tesla.... et remportent la voiture en prime
Cette puissante communauté rassemble aussi bien des ingénieurs et des experts aguerris que des autodidactes et de jeunes loups à capuche qui viennent se frotter sans complexe à la crème des hackers, pour apprendre le métier sur le tas et parfois rafler le jackpot. «Même quand je rentre bredouille, je ne regrette pas le temps consacré à mes recherches, car ces tentatives de piratage me font progresser. Ce sont des choses que l’on n’apprend pas dans les livres !», témoigne Hanissa Sadir, alias pwnwithlove, son pseudo sur les réseaux.
Elle aurait tort de s’en priver. Alors qu’elle mène en alternance ses études d’ingénieure en cybersécurité, cette jeune femme de 22 ans affiche déjà un tableau de chasse prometteur. L’an dernier, elle a décroché 70 000 euros de prime, dont 50 000 pour avoir identifié une faille critique sur une grande plateforme médicale. «J’ai démontré qu’il était possible d’exfiltrer les données de santé de milliers de patients, sans même se faire repérer», confie l’accorte hackeuse. Depuis, cette Bourguignonne expatriée en Bretagne s’est prise de passion pour les serveurs des banques, pas toujours aussi blindés qu’ils devraient l’être, à en croire son expérience...
Comme elle, beaucoup opèrent le soir et les week-ends, en dehors de leur job ou de leurs cursus étudiant. «Voilà quelques années, deux de nos collaborateurs sont venus me demander l’autorisation de participer à un programme de bug bounty pour pirater la Tesla», raconte Renaud Feil, le patron de Synacktiv, spécialiste des audits de cybersécurité. Il a bien fait de leur laisser carte blanche. Ses deux petits génies ont gagné le concours plusieurs fois de suite, raflant plus de 600 000 euros de primes. Avec, en bonus, les deux véhicules électriques qu’ils étaient parvenus à contrôler à distance.
Les sites marchands restent truffés de grossières failles de sécurité
Dans le métier, les chasseurs de primes ont tous un terrain de jeu favori. Pour Brice Augras, un hacker brestois, ce sont les sites marchands. «Les processus de paiement sont souvent vulnérables ; 7 fois sur 10 à peu près, mes recherches aboutissent à des failles grossières», confie-t-il. Son tour de passe-passe le plus bluffant ? Faire valider un panier d’achat avec un montant négatif. Résultat : «Vous saisissez votre numéro de carte bancaire, vous vous faites livrer l’article gratuitement et en plus, son prix est crédité sur votre compte courant !» Entre autres ruses, il lui arrive aussi d’appliquer plusieurs fois le même bon de promotion ou de jouer sur les quantités commandées : «Certaines billetteries en ligne, par exemple, acceptent que l’on achète 0,1 place de concert. Un pirate peut ainsi se faire livrer le QR Code de son billet par mail, au dixième de son prix.»
Pour autant, son job de passionné n’a pas toujours été une partie de plaisir. «Quand j’ai débuté, il y a une dizaine d’années, après avoir lâché mon DUT, j’ai cherché un poste en entreprise, mais on me disait que je n’étais pas assez diplômé», se souvient Brice Augras. L’apprenti hacker a dû faire ses preuves, passer par les cases chômage et RSA, tout en finançant lui-même ses certifications pour se former, en autodidacte, pendant trois ans. Le déclic est survenu en 2019 lorsqu’il a débusqué, avec un ami, une importante faille de vulnérabilité sur un logiciel exploité par Microsoft. Cet exploit technique et la prime de 100 000 euros partagée avec son compère ont tout changé.
Depuis, Brice a fondé sa boîte, BZHunt, connue notamment pour ses quatre victoires consécutives lors des concours de bug bounty, organisés à l’occasion du très réputé Forum international de la cybersécurité à Lille. Après s'être introduits dans les systèmes informatiques de Doctolib, de Decathlon et des JO 2024, Brice Augras et quelques-uns de ses collaborateurs s’en sont pris l’an dernier aux ordinateurs de la Caisse des dépôts et consignations, excusez du peu. Malgré tout, son plus beau souvenir reste sa victoire décrochée en 2022 face à l’Inde, en finale de l’Ambassador World Cup. Organisée par la plateforme américaine HackerOne, cette compétition est au hacking ce que la Coupe du monde de football est au ballon rond. Un succès partagé avec une vingtaine d’autres hackers français qui défendaient en équipe les couleurs de leur pays.
Pour être plus efficaces, les hackers chassent en meute
Pour découvrir le plus de failles possibles, à chaque pirate sa stratégie. Il y a ceux qui opèrent surtout en loup solitaire, comme Alexis Laborier, un Dijonnais de 25 ans comptant déjà un millier de vulnérabilités à son palmarès. A la tête de Cyberactis, le cabinet de conseil qu’il a fondé il y a deux ans, l’expert classé dans le top 50 mondial de la plateforme HackerOne cible en priorité les grandes infrastructures informatiques. «Pas forcément celles qui paient le plus, précise-t-il, mais celle suffisamment vastes pour espérer épingler plusieurs failles. Je finis toujours par trouver, sans savoir à l’avance le temps que ça va me prendre.» C’est un des travers du métier. Vous pouvez aussi bien pointer une faille critique en cinq minutes que galérer des semaines avant de découvrir quelque chose.
C’est pourquoi les hackers chassent de plus en plus en meute, histoire de s’attaquer à plusieurs cibles en même temps. A la fin, ils se partagent le butin. Question d’efficacité. «Ce métier fait parfois l’effet d’une drogue, estime Brice Augras. Dénicher une faille critique à plusieurs dizaines de milliers d’euros vous procure un shoot d’adrénaline, mais passé le pic d’euphorie, gérer la descente s’avère délicat. Quand vous êtes seul, il est parfois difficile de retrouver la motivation pour repartir de zéro sur un nouveau projet.»
Dans les arènes de live hacking, l'argent coule à flot
De toute façon, fini le temps où le hacker restait au fond de sa grotte, derrière son écran d’ordinateur. Obtenir une reconnaissance mondiale nécessite désormais d’en découdre en présentiel, en se mesurant à ses pairs, dans les arènes de live hacking. Lors de ces événements devenus incontournables, il s’agit le plus souvent de relever en un temps limité et en un lieu donné des défis de sécurité informatique lancés par les mastodontes du numérique.
C'est ainsi qu'en août dernier, Victor Poucheret, 28 ans, a passé quatre jours et quatre nuits dans les salons de l’hôtel Luxor, à Las Vegas, où il avait été invité – tous frais payés – à fouiner dans les systèmes d’Epic Games, géant américain des jeux vidéo. «C’était assez dingue de se retrouver là, après deux semaines de préparation, pour pirater l’une des plus grosses boîtes du secteur, tout en regardant les dollars tomber sur un écran géant», raconte cet ex-étudiant en pharmacie. Son escapade dans la Mecque du jeu fut bien plus rentable qu’une partie de bandit manchot : il est revenu avec 60 000 dollars. Presque un amuse-bouche, comparé aux 200 000 dollars gagnés en duo trois mois plus tard, à Edimbourg, pour avoir cette fois percé les systèmes d’AWS, la filiale cloud d’Amazon.
L'intelligence artificielle, un nouveau terrain de jeu
On pourrait croire qu’avec le temps, les poids lourds de l’informatique donnent de plus en plus de fil à retordre à ces as de l’intrusion. Il n’en est rien. «Depuis l’avènement de l’intelligence artificielle (IA), es failles de sécurité se multiplient », constate Roni Carta, alias 0xLupin, hacker grenoblois de 23 ans et fan inconditionnel du gentleman cambrioleur. Les développeurs ont de plus en plus recours à cette technologie pour générer plus rapidement du code informatique, mais cela rend aussi les applications plus vulnérables.» Ce jeune expert en sécurité, qui avait débuté sa carrière chez le spécialiste du bricolage ManoMano quelques mois seulement après avoir décroché son bac, s’est forgé une réputation mondiale sur ce nouveau terrain de jeu. En avril, à l’occasion d’un concours organisé par Google dans ses bureaux de Tokyo, le globe-trotteur a même pris en défaut pour la troisième fois la sécurité de Gemini, l'IA du géant du Net.
L’exploit, réalisé en équipe avec trois de ses compères, lui a valu de partager avec eux un butin de 120 000 euros. Grâce au demi-million d’euros amassés depuis ses débuts de chasseur de primes, Roni a musclé la R&D de Lupin & Holmes, sa bien nommée start-up de cybersécurité fondée il y a deux ans. Son objectif ? Développer des outils de cyberdéfense, entièrement automatisés, au bénéfice des entreprises. «Tout ce que j’ai appris en piratant Google, j’entends le mettre au service de mes clients afin de faire barrage aux pirates malveillants», ambitionne-t-il. Hacker vaillant, rien d’impossible !
- Accès à tous les articles réservés aux abonnés, sur le site et l'appli
- Le magazine en version numérique
- Navigation sans publicité
- Sans engagement
