Espace publicitaire
Profession : chasseur de primes du numérique
Sophie Ginoux
30 septembre 2022
Carrière
5 minutes à lire
798
Qui sont les hackers éthiques, ces chevaliers blancs du Web ? Et peut-on bâtir une carrière dans cette spécialité ? Découverte d’un métier peu ordinaire.
Être payé pour pirater des entreprises, oui, c’est possible ! C’est ce que font des centaines de milliers de hackers à travers le monde pour gagner leur vie.
Nommés tour à tour hackers éthiques, chevaliers blancs du Web ou chapeaux blancs (White hat), ces chasseurs de primes du numérique – quand ils ne sont pas embauchés à prix d’or par certaines entreprises – disposent d’un vrai écosystème (le Bug Bounty), de vrais mandats, de vrais réseaux de clients. Et même de vraies compétitions et festivals, comme le Hackfest au Québec.
Alors, même si nous entendons rarement parler d’eux, à moins que certains scandales n’éclatent comme cela a été le cas à l’été 2021 au Québec, quand un cyberpirate bien intentionné a mis à jour des failles dans le Vaxicode, ils sont très actifs dans l’ombre pour déceler des défaillances de sécurité qui pourraient mettre beaucoup d’entre nous dans l’embarras.
En quoi consiste grossièrement la profession de hacker éthique ? Sur le principe du Capture The Flag (CTF), avec une prime associée.
Plus concrètement, les chapeaux blancs ont pour mission de déceler les vulnérabilités dans le système de sécurité informatique d’une entreprise, qui les rémunère en retour. Ils chassent dans ces systèmes des bogues et y simulent des cyberattaques pour le corriger et le renforcer.
Alors, même si à la base, il s’agit de piratage, le hacker qui utilise ses talents informatiques pour aider les entreprises et non pur nuire à leur cybersécurité. Il est même payé sur chaque bogue détecté, ce qui peut rapidement faire monter son revenu. Effectivement, les primes sont en général de 450 dollars, mais en cas de failles critiques elles peuvent atteindre ou dépasser les 30 000 dollars !
Un des côtés les plus intéressants dans ce métier, c’est qu’il peut se faire à temps partiel. Pier-Luc Maltais, alias « ramsexy », a par exemple indiqué au Journal de Montréal en 2020 qu’il gagnait environ 150 000 dollars par an en travaillant moins 20 heures par semaine.
On comprend donc pourquoi de nombreux hackers éthiques sont des travailleurs autonomes comme lui. Certains vont en profiter pour profiter de la vie ou travailler à distance. D’autres vont se joindre leur talent à celui d’autres chapeaux blancs et fonder une entreprise. Et d’autres encore accepteront de travailler à temps plein pour une grosse compagnie aux besoins importants en cyberdéfense.
De nombreuses multinationales, institutions publiques et PME de toutes les tailles font régulièrement face à des bogues sur leurs plateformes en ligne. Il suffit de penser à la crise qu’a suscitée la panne majeure de sept heures des réseaux sociaux Facebook, Instagram, WhatsApp et Messenger au mois d’octobre 2021 pour s’en convaincre.
Parallèlement, des cyberattaques sont menées quotidiennement par des « chapeaux noirs » (black hat hackers) motivés par l’appât du gain et auxquels les compagnies touchées doivent verser des sommes considérables pour refaire fonctionner leur système ou, pire encore, ravoir les données personnelles de leurs clients ou membres. En n’ayant au passage jamais l’assurance qu’une agression réglée ne sera pas suivie par d’autres du même style ou plus ingénieuses encore, comme nous l’avons indiqué dans cet article.
Faire appel à des hackers éthiques s’intègre donc dans de plus en plus de stratégies de cybersécurité. Évidemment, les entreprises de la tech sont les principaux débouchés du Bug Bounty. En 2020, Microsoft, Google et Facebook ont respectivement déboursé 17,21 millions, 8,48 millions et 2,51 millions de dollars.
Mais en réalité, tous les secteurs sont touchés, comme le déclare Benjamin Vaughn, responsable de la sécurité des systèmes d’information chez Hyatt, la chaîne internationale d’hôtels de luxe. « Nous encourageons toutes les entreprises, dit-il, pas seulement celles du secteur de l'hôtellerie, à adopter une approche similaire et à considérer le Bug Bounty comme une initiative de sécurité proactive. »
Le gouvernement du Québec est d’ailleurs lui aussi en recherche active de centaines de spécialistes en cybersécurité pour faire face à la nécessaire numérisation de ses services et de l’identification de ses citoyens. Autrement dit, les chasseurs de primes 2.0 ne sont pas près de chômer !
Il n’existe pas de formation spécifique en hacking, ni de poste de hacker éthique affiché par des entreprises. Et selon Hacker One, 84 % des hackers sont autodidactes et se forment principalement à partir des ressources en ligne et des blogs. L’apprentissage sur le tas est donc encore de mise s
Reste qu’on ne devient pas un hacker sans avoir une excellente maîtrise de l’informatique et, mieux encore, de la cybersécurité.
Au Québec, les formations en informatique commencent de plus en plus tôt. Un certain nombre de Cégeps proposent un programme de Techniques de l’informatique, tandis que des écoles privées comme Teccart offrent des AEC et des DEC en informatique. Les universités québécoises, quant à elles, ont des programmes de certificat et de baccalauréat dans cette spécialité.
Pour celles et ceux que la cybersécurité fascine, des formations spécifiques démarrent dès le collège et peuvent conduire jusqu’à la maîtrise. En voici une liste établie par le Centre canadien pour la cybersécurité.
Une fois ces compétences théoriques obtenues, comment vivre de cette passion ? Eh bien, pour ceux que le métier de chasseur de primes du numérique intéresse, des chasses aux bogues sont déclarées ouvertement, notamment celles de géants de la tech comme Facebook, Google ou encore Avast. Bien évidemment, dans ces cas de figure, la prime à la clé est élevée et le contexte, hautement compétitif.
Les hackers éthiques professionnels peuvent aussi s’inscrire sur plusieurs plateformes de mise en relation de hackers et de clients. Hacker One, la plateforme américaine, est un leader sur le marché avec plus de 600 000 hackers dans sa communauté. La plateforme française Yes We Hack, compte pour sa part quelques 17 000 hackers.
Ce ne sont que deux exemples parmi d’autres, bien sûr. Les meilleures qualités d’un hacker éthique, en plus d’être talentueux évidemment, demeurent sa capacité à se constituer un réseautage niché et à pouvoir réaliser sa promotion pour décrocher des contrats. Alors, bonne chasse à tous !
Être payé pour pirater des entreprises, oui, c’est possible ! C’est ce que font des centaines de milliers de hackers à travers le monde pour gagner leur vie.
Nommés tour à tour hackers éthiques, chevaliers blancs du Web ou chapeaux blancs (White hat), ces chasseurs de primes du numérique – quand ils ne sont pas embauchés à prix d’or par certaines entreprises – disposent d’un vrai écosystème (le Bug Bounty), de vrais mandats, de vrais réseaux de clients. Et même de vraies compétitions et festivals, comme le Hackfest au Québec.
Alors, même si nous entendons rarement parler d’eux, à moins que certains scandales n’éclatent comme cela a été le cas à l’été 2021 au Québec, quand un cyberpirate bien intentionné a mis à jour des failles dans le Vaxicode, ils sont très actifs dans l’ombre pour déceler des défaillances de sécurité qui pourraient mettre beaucoup d’entre nous dans l’embarras.
Un revenu annuel de 30 000 à 150 000 dollars
En quoi consiste grossièrement la profession de hacker éthique ? Sur le principe du Capture The Flag (CTF), avec une prime associée.
Plus concrètement, les chapeaux blancs ont pour mission de déceler les vulnérabilités dans le système de sécurité informatique d’une entreprise, qui les rémunère en retour. Ils chassent dans ces systèmes des bogues et y simulent des cyberattaques pour le corriger et le renforcer.
Alors, même si à la base, il s’agit de piratage, le hacker qui utilise ses talents informatiques pour aider les entreprises et non pur nuire à leur cybersécurité. Il est même payé sur chaque bogue détecté, ce qui peut rapidement faire monter son revenu. Effectivement, les primes sont en général de 450 dollars, mais en cas de failles critiques elles peuvent atteindre ou dépasser les 30 000 dollars !
Un des côtés les plus intéressants dans ce métier, c’est qu’il peut se faire à temps partiel. Pier-Luc Maltais, alias « ramsexy », a par exemple indiqué au Journal de Montréal en 2020 qu’il gagnait environ 150 000 dollars par an en travaillant moins 20 heures par semaine.
On comprend donc pourquoi de nombreux hackers éthiques sont des travailleurs autonomes comme lui. Certains vont en profiter pour profiter de la vie ou travailler à distance. D’autres vont se joindre leur talent à celui d’autres chapeaux blancs et fonder une entreprise. Et d’autres encore accepteront de travailler à temps plein pour une grosse compagnie aux besoins importants en cyberdéfense.
Une spécialité en forte demande
De nombreuses multinationales, institutions publiques et PME de toutes les tailles font régulièrement face à des bogues sur leurs plateformes en ligne. Il suffit de penser à la crise qu’a suscitée la panne majeure de sept heures des réseaux sociaux Facebook, Instagram, WhatsApp et Messenger au mois d’octobre 2021 pour s’en convaincre.
Parallèlement, des cyberattaques sont menées quotidiennement par des « chapeaux noirs » (black hat hackers) motivés par l’appât du gain et auxquels les compagnies touchées doivent verser des sommes considérables pour refaire fonctionner leur système ou, pire encore, ravoir les données personnelles de leurs clients ou membres. En n’ayant au passage jamais l’assurance qu’une agression réglée ne sera pas suivie par d’autres du même style ou plus ingénieuses encore, comme nous l’avons indiqué dans cet article.
Faire appel à des hackers éthiques s’intègre donc dans de plus en plus de stratégies de cybersécurité. Évidemment, les entreprises de la tech sont les principaux débouchés du Bug Bounty. En 2020, Microsoft, Google et Facebook ont respectivement déboursé 17,21 millions, 8,48 millions et 2,51 millions de dollars.
Mais en réalité, tous les secteurs sont touchés, comme le déclare Benjamin Vaughn, responsable de la sécurité des systèmes d’information chez Hyatt, la chaîne internationale d’hôtels de luxe. « Nous encourageons toutes les entreprises, dit-il, pas seulement celles du secteur de l'hôtellerie, à adopter une approche similaire et à considérer le Bug Bounty comme une initiative de sécurité proactive. »
Le gouvernement du Québec est d’ailleurs lui aussi en recherche active de centaines de spécialistes en cybersécurité pour faire face à la nécessaire numérisation de ses services et de l’identification de ses citoyens. Autrement dit, les chasseurs de primes 2.0 ne sont pas près de chômer !
Comment devenir un hacker éthique professionnel ?
Il n’existe pas de formation spécifique en hacking, ni de poste de hacker éthique affiché par des entreprises. Et selon Hacker One, 84 % des hackers sont autodidactes et se forment principalement à partir des ressources en ligne et des blogs. L’apprentissage sur le tas est donc encore de mise s
Reste qu’on ne devient pas un hacker sans avoir une excellente maîtrise de l’informatique et, mieux encore, de la cybersécurité.
Au Québec, les formations en informatique commencent de plus en plus tôt. Un certain nombre de Cégeps proposent un programme de Techniques de l’informatique, tandis que des écoles privées comme Teccart offrent des AEC et des DEC en informatique. Les universités québécoises, quant à elles, ont des programmes de certificat et de baccalauréat dans cette spécialité.
Pour celles et ceux que la cybersécurité fascine, des formations spécifiques démarrent dès le collège et peuvent conduire jusqu’à la maîtrise. En voici une liste établie par le Centre canadien pour la cybersécurité.
Une fois ces compétences théoriques obtenues, comment vivre de cette passion ? Eh bien, pour ceux que le métier de chasseur de primes du numérique intéresse, des chasses aux bogues sont déclarées ouvertement, notamment celles de géants de la tech comme Facebook, Google ou encore Avast. Bien évidemment, dans ces cas de figure, la prime à la clé est élevée et le contexte, hautement compétitif.
Les hackers éthiques professionnels peuvent aussi s’inscrire sur plusieurs plateformes de mise en relation de hackers et de clients. Hacker One, la plateforme américaine, est un leader sur le marché avec plus de 600 000 hackers dans sa communauté. La plateforme française Yes We Hack, compte pour sa part quelques 17 000 hackers.
Ce ne sont que deux exemples parmi d’autres, bien sûr. Les meilleures qualités d’un hacker éthique, en plus d’être talentueux évidemment, demeurent sa capacité à se constituer un réseautage niché et à pouvoir réaliser sa promotion pour décrocher des contrats. Alors, bonne chasse à tous !
Articles susceptibles de vous intéresser
Emplois susceptibles de vous intéresser
Montréal
Permanent à temps plein
Publié il y a 12 jours
Montréal
Permanent à temps plein
Publié il y a 26 jours
Montréal
Permanent à temps plein
Publié il y a 26 jours
Mes sauvegardes
Vous devez être connecté pour ajouter un article aux favoris
Connexion ou Créez un compte
Emploi favori
Vous devez être connecté pour pouvoir ajouter un emploi aux favories
Connexion
ou Créez un compte