Combien gagnent les meilleurs pirates grâce aux récompenses pour les vulnérabilités trouvées.

Last updated Déc 4, 2022

Vous ne gagnez peut-être pas un million de dollars, mais les pirates gagnent beaucoup d’argent en signalant des vulnérabilités.

Pouvez-vous devenir riche en signalant des bugs logiciels? Pour certains, trouver des vulnérabilités dans les sites Web et les applications, c’est un peu comme faire des mots croisés, alors que pour d’autres, c’est leur principale source de revenus.

Payer des pirates pour trouver des failles dans des logiciels ou des services est une pratique de plus en plus courante ; Ces programmes de "bug bounty" permettent aux pirates d’être payés pour trouver des bogues, tandis que les organisations bénéficient de la possibilité d’améliorer leur sécurité en payant plusieurs milliers de dollars pour chaque bogue.

HackerOne, qui gère des programmes de primes de bogues similaires pour des organisations telles que le département américain de la Défense et Google, a publié de nouvelles données sur le nombre de vulnérabilités trouvées par les pirates qui se sont inscrits à ses projets et combien ils ont été payés. À ce jour, plus de 181 000 vulnérabilités ont été signalées et plus de 100 millions de dollars ont été versés aux pirates qui s’abonnent à son service .

La société a déclaré que plus de 44,75 millions de dollars de primes avaient été attribués à des pirates du monde entier au cours de l’année écoulée, en hausse de 86 % par rapport à l’année dernière. La grande majorité d’entre eux sont décernés par des organisations aux États-Unis.

Certains bogues peuvent rapporter des récompenses décentes : HackerOne a signalé que la prime moyenne pour les vulnérabilités critiques est passée à 3 650 $, en hausse de 8 % par rapport à l’année dernière, tandis que la prime moyenne pour une vulnérabilité est de 979 $. Les vulnérabilités critiques représentent environ 8 % de tous les rapports, tandis que les rapports de gravité élevée représentent 21 %.

HackerOne a été informé que "le piratage reste une source de revenus constante et stable" pour certains pirates enregistrés. Près de neuf personnes sur dix ont moins de 35 ans et une sur cinq déclare que le piratage est sa seule source de revenus.

Bug Bounty des millionnaires

Neuf pirates individuels ont amassé un million de dollars combinés en moins d’une décennie grâce à HackerOne, ce qui montre que la chasse aux bogues peut être très payante. Et plus de 200 hackers ont gagné plus de 100 000 $ et 9 000 hackers ont fait "quelque chose". Parmi les pirates qui ont découvert au moins une vulnérabilité, la moitié gagnaient 1 000 $ ou plus.

Mais même si beaucoup ne gagnent pas beaucoup d’argent à chasser les bugs, les compétences qu’ils acquièrent peuvent être bonnes pour leur carrière ; quatre sur cinq ont déclaré qu’ils utiliseraient les compétences et l’expérience acquises pendant le piratage pour trouver du travail.

L’épidémie mondiale de coronavirus semble avoir vu une augmentation des attaques contre les organisations, mais elle a également déclenché une augmentation du nombre de pirates cherchant à aider à trouver et à corriger les failles de sécurité. HackerOne a signalé que les nouveaux enregistrements de pirates ont augmenté de 59 % au cours des mois qui ont suivi le début de la pandémie, et les rapports de bogues ont augmenté de 28 % – peut-être parce que de nombreuses personnes ont été forcées de rester chez elles, ce qui leur a donné plus de temps pour rechercher des bogues.

Mais trouver des bugs pour de l’argent peut devenir de plus en plus difficile. À mesure que les organisations corrigent davantage de vulnérabilités, la récompense moyenne augmente, ce qui est bon pour les chasseurs. Cependant, les vulnérabilités restantes deviennent également plus difficiles à identifier, nécessitant plus de compétences et d’efforts pour être découvertes.