Près d’un quart des pirates éthiques s’abstiendraient de révéler leurs découvertes en matière de cybersécurité tout simplement parce qu’ils ne savent pas à qui s’adresser pour établir le contact avec l’organisation concernée. C’est ce que révèlent les résultats d’une étude menée par la plateforme de cybersécurité HackerOne qui rassemble une communauté de pirates éthiques.
Il faut noter que l’Inde (23 %) et les États-Unis (20 %) sont les deux pays bénéficiant de la plus forte représentation au sein la communauté HackerOne. Ils sont suivis par la Russie (6 %), le Pakistan (4 %) et le Royaume-Uni (4 %). Plus de 90 % des participants à cette étude ont moins de 35 ans et sont de sexe masculin.
« Pirates éthiques » est un terme utilisé pour désigner des chercheurs spécialisés en cybersécurité utilisant les mêmes procédés de piratage que les cybercriminels afin de déceler d’éventuelles failles de sécurité au sein des systèmes informatiques exploités par des gouvernements ou des entreprises. Lorsqu’ils parviennent à mettre en évidence des vulnérabilités sur un système, les pirates éthiques alertent, en général, les organisations concernées en toute discrétion pour que ces vulnérabilités soient corrigées.
Cette enquête a été menée par HackerOne sous forme de sondage. Elle a officiellement rassemblé 1698 participants. Ses résultats apparaissent dans le rapport Hacker 2018 publié par la plateforme de cybersécurité. Le sondage révèle qu’environ un quart des pirates éthiques n’auraient pas signalé les vulnérabilités qu’ils ont trouvées parce que les structures concernées ne disposaient pas d’un canal approprié pour la transmission de cette information.
Autrement dit, près d’un chercheur en cybersécurité sur quatre serait dans l’incapacité d’établir un contact avec les organisations concernées par les failles de sécurité qu’il a découvertes. Ceci serait notamment dû au fait que les structures en question ne disposent pas d’une politique de divulgation de vulnérabilité (PDV) ou d’un canal officiel adéquat qui leur permettrait de recevoir les soumissions de vulnérabilités extérieures.
En l’absence d’une politique de divulgation de vulnérabilité, les pirates informatiques respectueux de l’éthique seraient obligés d’utiliser d’autres moyens pour entrer en contact avec les établissements concernés : réseaux sociaux, courriels, etc. Malheureusement, les messages transmis via ces canaux sont souvent ignorés ou mal compris par les destinataires, indique le rapport.
En dépit du fait que certaines organisations ne disposent pas d’une politique de divulgation de vulnérabilité, les pirates éthiques interrogés (72 % d’entre eux) ont souligné le fait qu’elles sont néanmoins de plus en plus enclines à recevoir des informations sur les vulnérabilités qu’elles ne l’étaient par le passé.
Le rapport précise que des organisations comme le Département américain de la Défense ont reçu et résolu près de 3000 vulnérabilités de sécurité au cours des 18 derniers mois sur la base des informations rapportées grâce uniquement à leur PDV. Il met également en lumière le côté lucratif des programmes de bug bounties en soulignant le fait qu’en Inde, par exemple, les meilleurs chercheurs peuvent gagner jusqu’à 16 fois le salaire moyen d’un ingénieur logiciel local. En outre, un chercheur en cybersécurité aurait en moyenne un salaire 2,7 fois supérieur à celui d’un développeur originaire du même pays.
— Avez-vous déjà travaillé comme pirates éthiques ? Si oui, quels commentaires pouvez-vous faire des rémunérations proposées dans ce milieu ?