Accueil High-Tech Les chasseurs de primes de bogues peuvent faire beaucoup d'argent avec le bon hack

Les chasseurs de primes de bogues peuvent faire beaucoup d'argent avec le bon hack

0
0

                
                                                        
                            
        
        

Les primes de bogues sont une industrie de plusieurs millions de dollars. Un petit groupe de pirates talentueux ont décidé de faire leur vie.

                                                    James Martin / Camaraderielimited
                                                

En 2002, Tommy DeVoss avait des invités indésirables à sa porte: des agents du FBI, prêts à attaquer sa maison.

Il menait une équipe de piratage à travers une année d'attaques contre des sites internet du gouvernement et des géants de l'internet comme Yahoo.

Une décennie et demie plus tard, il est celui qui frappe à la porte de certains des plus grands sites Web, et les entreprises derrière eux sont heureux de lui payer des milliers de dollars pour ses efforts de piratage.

DeVoss fait partie d'un groupe rare de chasseurs de primes à temps plein, des experts en piratage qui consacrent leurs journées à trouver des vulnérabilités sur des sites Web dans l'espoir de récompenses, l'équivalent numérique d'Indiana Jones. Ces chasseurs de bogues ont été utiles aux petites entreprises qui n'ont pas les moyens d'embaucher des experts à temps plein pour tester leur sécurité et même aux grandes entreprises de haute technologie qui cherchent à accroître leurs efforts de sécurité. Ils peuvent aider à trouver des failles qui pourraient empêcher les hacks majeurs par les cybercriminels.

                            
                
                                
                                                
    

                        

A l'heure où les hackers malveillants exploitent les vulnérabilités de manière importante – considérons les 145 millions de personnes touchées par la violation d'Equifax, ou les 3 milliards de personnes qui ont volé des informations dans le superhack Yahoo – les entreprises sont plus vigilantes sur le besoin se protéger. Pour DeVoss, cela signifie que les affaires sont bonnes.

En effet, il a du mal à trouver un emploi, compte tenu de ses antécédents de condamné, à quitter un emploi confortable et piéton en tant que développeur de logiciels qui a payé 90 000 $ par année. C'était à la fin de 2016, quand il s'est tourné vers la chasse aux bugs logiciels à temps plein. Il vise à faire 100 000 $ cette année et a déjà dépassé 84 000 $ en primes d'ici juillet.

DeVoss et d'autres chasseurs d'insectes ont été occupés. Des sociétés comme Google, Apple, Facebook, Chrysler et United Airlines, ainsi que des agences gouvernementales, y compris le ministère de la Défense, lancent souvent des programmes de primes contre les pirates qui trouvent des failles de sécurité avant les criminels.

«Notre programme de prime aux bogues est un pilier essentiel de notre stratégie de sécurité», a déclaré un porte-parole de Oath, une unité de Verizon à laquelle Yahoo appartient maintenant, a déclaré dans un courriel.

C'est comme payer un expert en cambriolage pour venir vous raconter toutes les façons dont quelqu'un pourrait entrer. Plus la vulnérabilité est grande, plus la récompense est élevée.

Alors que ces programmes sont populaires, sur les plus de 53 000 chasseurs de primes de bogues actifs depuis mars, seulement 15 pour cent sont considérés à plein temps comme DeVoss, selon Bugcrowd.

Certains d'entre eux sont riches, comme Mark Litchfield, un vétéran qui gagne plus d'un demi-million de dollars par an en primes aux insectes. D'autres ont des ambitions plus humbles, comme l'indien Jasminder Singh, qui noue des primes pour financer son démarrage.

Voici ce que c'est d'être un chasseur de primes de bogues, de leur propre point de vue.

L'ex-con

Tommy DeVoss a passé plusieurs années en prison pour piratage. Maintenant c'est son boulot.

                                                    Avec l'aimable autorisation de BugCrowd
                                                

À l'adolescence, Tommy DeVoss a défiguré plus de 160 sites Web gouvernementaux sous son pseudonyme, DawgyG. DeVoss a couru le groupe de piratage du monde de l'enfer et a pensé qu'il était intouchable.

Alors le monde de l'enfer s'est effondré. Les agents ont arrêté chaque membre entre 2002 et 2003.

Il a été lent à apprendre sa leçon. DeVoss a eu trois passages différents en prison pour piratage au cours des prochaines années.

Après avoir fini par se redresser et obtenir un travail respectable en tant que développeur de logiciels pour une petite startup, il a vu un article sur un programme de primes de bugs pour Facebook. Il l'a tout d'abord effacé – après tout, un juge lui avait dit que sa prochaine condamnation entraînerait la peine maximale.

"Cela semblait trop beau pour être vrai, que les gens allaient me payer pour les pirater et ne pas appeler à nouveau le FBI", a déclaré DeVoss.

Puis en 2015, il se rend à Defcon, le rassemblement annuel des pirates à Las Vegas, où les chasseurs de primes de bogues lui disent combien d'argent ils gagnent. Il a décidé de lui donner un coup de feu, à la fois de l'ennui et de l'envie.

DeVoss est même retourné sur les lieux de son dernier crime: Yahoo. Il avait piraté le site depuis 1997 et pensait que près de deux décennies d'expérience lui donneraient un avantage.

         "Cela semblait trop beau pour être vrai, que les gens allaient me payer pour les pirater et ne plus appeler le FBI."
         

Tommy DeVoss

     

Il était toujours nerveux à propos de pirater son vieil ennemi. DeVoss pensait qu'il ferait quelque chose de simple, quelque chose qui ne le mettrait pas en difficulté avec les agents fédéraux.

Il a trouvé l'essentiel de Yahoo – une collection de codes privés – accessible au public sur Github, grâce à une simple recherche, sans piratage. Il ne pensait pas que cela valait la peine, mais il suffirait de tester les eaux d'un programme de primes de bogues.

La compagnie lui a payé 300 $ pour cela.

«J'ai eu 300 $ pour trouver quelque chose grâce à une recherche Google», a déclaré DeVoss.

De là, il était accro. Il passait la plupart de son temps au travail à chercher des bugs au lieu de faire son travail et finit par cesser de fumer.

Il a payé sa dette de prêt étudiant et ses frais d'injonction de ses crimes passés avec des primes de bogue. Cela rapporte quand vous pouvez gagner 9 000 $ en 15 minutes, comme l'a fait DeVoss en juin pour trouver un seul bogue.

«Je devrais être le PDG d'une entreprise Fortune 500 pour faire le même salaire horaire que je fais tout en travaillant sur les bugs", a déclaré DeVoss.

Le grand rouleau

Mark Litchfield a été le chasseur de bestioles le plus rentable en 2016, et il est sur la bonne voie pour conserver son titre en 2017.

                                                    Avec l'aimable autorisation de HackerOne
                                                

"Si tu n'es pas le premier, tu es le dernier."

Ce n'est pas seulement une citation loufoque de «Talladega Nights», mais le mantra qui a permis à Mark Litchfield de devenir le chasseur de primes de bagnots le plus rémunérateur, gagnant 600 000 $ en 2016.

le premier à envoyer un bug, vous pouvez perdre 10 000 $, a déclaré Litchfield. Il se souvient, car il avait frappé le jackpot en 2015 après avoir découvert un bug majeur dans le code de PayPal qui permettait l'exécution de code à distance, ce qui donne à un attaquant potentiellement un contrôle dommageable sur un site.

Le défaut a permis au résident de Las Vegas de gagner rapidement 15 000 $. Quelques jours plus tard, un autre chasseur de bogues a trouvé la même erreur de codage, puisque PayPal ne l'avait pas encore corrigé. Le retardataire a obtenu seulement 5 000 $, mais par des normes de primes de bogue, c'est généreux.

"Si vous arrivez en deuxième, c'est un doublon et vous ne serez pas payé", a déclaré Litchfield. "Cela arrive à tous les chasseurs de bogues, et cela peut être extrêmement frustrant."

Litchfield a décidé de devenir un chasseur de bogues à temps plein en 2014 grâce à HackerOne, un autre service de primes de bogues, après qu'il soit confiant qu'il pourrait payer toutes ses factures en piratant. Comme DeVoss, Litchfield s'est senti ennuyé au travail et a pensé qu'il pourrait gagner beaucoup plus d'argent en allant all-in après les primes.

         "Si vous arrivez en deuxième, c'est un doublon et vous ne serez pas payé."
         

Mark Litchfield

     

À Litchfield, chaque programme de primes de bogues est une course. Et l'année dernière, il en a gagné plusieurs. Il chasse des bugs majeurs, pas des petits défauts que tout autre chasseur de primes ramasse. Si une prime est inférieure à 500 $, dit Litchfield, il ne prend même pas la peine de le toucher. Ses cibles peuvent valoir jusqu'à 50 000 $ par mois.

L'astuce consiste à trouver des exploits pour les services que les entreprises considèrent comme importants. Quand il a rejoint le programme bug bounty de Yahoo, il est allé après ses publicités et courriels – le pain et le beurre de l'entreprise.

Au lieu d'utiliser un scanner capable de détecter automatiquement les bugs, Litchfield adopte l'approche manuelle. Il passe en revue des applications importantes, recherchant tout ce qui lui donnerait des privilèges d'administrateur. Il va creuser le code, en regardant comment il est construit et comment il pourrait être brisé.

"Cela peut prendre beaucoup de temps", a-t-il dit. "Mais si c'est bien fait, vous pouvez trouver les problèmes que vous êtes là et les paiements sont normalement très élevés."

Il a toujours peur que tout son travail n'ait été pour rien, une grande déception qui s'est produite plus d'une fois. Mais il ne le laisse pas tomber.

"J'apprécie ce que je fais, parfois les choses deviennent un peu frustrantes, mais j'ai choisi de le faire, alors je dois continuer", a-t-il dit.

Le démarrage

Jasminder Singh (arrière droit) avec son équipe. Il utilise l'argent du programme bug bounty de Google pour financer son démarrage.

                                                    Google
                                                

Tous les chasseurs de primes ne nagent pas dans les richesses. Pour certains, même un petit paiement peut signifier beaucoup.

Au salaire journalier moyen de 4,25 $ par jour en Inde, Jasminder Singh aurait besoin de plus de six ans de travail sans escale pour faire ce qu'il a fait en quatre jours grâce aux primes d'insectes.

Singh, un entrepreneur en Inde, ne s'est jamais vu comme un chasseur de primes de bogues, encore moins un pirate. Il est un développeur web, faisant des applications et des sites Web pour tous les clients qui le paieraient. Il ne s'est mis en sécurité que parce qu'il avait besoin de garder ses propres créations en sécurité.

Mais parfois, les affaires étaient lentes. Quand il ne pouvait pas compter sur son démarrage pour payer les factures, Singh a trouvé un plan de sauvegarde lucratif dans les primes de bug.

Google et YouTube ont fourni un flux régulier de revenus à Singh, qui utilise tous les revenus pour construire son entreprise. S'il est toujours dans une liaison pour de l'argent, il se tournera vers leurs deux programmes.

"Si vous voulez gagner de l'argent rapidement, et que vous êtes bon, les primes de bogues sont définitivement la voie à suivre", a déclaré Singh.

La première fois qu'il a testé le programme bug bounty de Google était en décembre. Singh n'avait pas beaucoup d'argent et a appris le programme Vulnerability Rewards du géant de la technologie. En 2013, Google avait distribué 3 millions de dollars de récompenses aux hackers qui avaient trouvé des vulnérabilités dans Android et Chrome, et Singh pensait qu'il pourrait trouver des bugs pour de l'argent rapidement.

         "Google est très préoccupé par la protection de leur accès. Si vous trouvez un bug, il est généralement cinq grand, garanti."
         

Jasminder Singh

     

Le premier bug qu'il a découvert était un problème avec YouTube – un défaut critique avec des scripts intersites qui pourraient permettre à un pirate de prendre le contrôle du site sans la permission de Google.

"Google est très préoccupé par la garde de leur accès", a déclaré Singh. "Si vous trouvez un bug, il est généralement cinq grand, garanti."

Selon les normes de Litchfield et DeVoss, ce n'est pas beaucoup. Mais pour Singh, il suffit de financer sa propre entreprise.

Les chasseurs de primes de bogue à temps plein sont rares mais en croissance constante, selon Litchfield. Les hackers talentueux apprennent qu'ils peuvent gagner beaucoup d'argent pour s'introduire dans un service Web, alors que les grandes entreprises pensent qu'il est plus facile de payer les chasseurs de primes pour trouver leurs défauts que de passer des heures à les rechercher eux-mêmes.

Tant que l'argent continue à couler, les hackers ont trouvé une façon légitime de gagner leur vie et de faire la différence en même temps – s'ils sont prêts à faire le travail.

«Il y a beaucoup de gens qui ont de petites familles et qui peuvent gagner 150 000 $ en tant qu'analyses de sécurité», a déclaré DeVoss. "Cela ne vaut pas le risque pour beaucoup d'entre eux d'essayer de le faire à temps plein."

                            
                
                                
                                                
    

                         : Découvrez un extrait des articles de l'édition de kiosques de Camaraderielimited.

: Camaraderielimited raconte le rôle de la technologie dans la fourniture de nouveaux types d'accessibilité.

        
        
                                                        
    

        
                    
                                
                    

Chargez plus d'articles en relation
Chargez plus par Camaractu
CHargez plus dans High-Tech

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Regardez aussi

Le smartphone Axon M de ZTE peut lancer la tendance pliable

                                                                                          …