Par Hugues Masselin, Consultant en sécurité collaborative, HackerOne
Santiago Lopez, jeune argentin de 20 ans, est devenu l’an dernier le premier hacker au monde à dépasser un million de dollars de gains via ses activités de hacking éthique. Depuis, neuf autres hackers ont atteint ce palier emblématique, et il ne devrait pas falloir attendre longtemps avant qu’un nouveau record de gains soit atteint. Ces exploits envoient un véritable signal à l’ensemble de la communauté cyber et au-delà, à notre société contemporaine, car ils reflètent l’étendue de ce que peut gagner un(e) hacker en travaillant pour rendre Internet plus sûr.

Pas besoin d’une école d’ingénieur pour gagner sa vie comme hacker

Plus remarquable encore : Santiago est un autodidacte, ce qui prouve qu’il n’est pas nécessaire de passer par une formation universitaire ou une école d’ingénieur pour gagner sa vie en tant que hacker. Selon une étude, 84 % des hackers considèrent les ressources en ligne et les blogs comme leur principale source d’apprentissage, alors que seulement 16 % d’entre eux ont suivi un cours ou obtenu une certification dans ce domaine.
Les hackers offrent un savoir-faire très recherché dans le domaine de la cybersécurité. Leur mission est de contourner les règles de sécurité d’une société en organisant une attaque informatique afin de détecter les failles du système d’information et les différents points de vulnérabilité. Voitures connectées, sites industriels stratégiques, cartes bancaires, dossier patient informatisé…

La sécurisation des données : un véritable enjeu économique

Des organisations comme Starbucks, Verizon Media, Toyota et même des organisations et administrations publiques travaillent avec des hackers éthiques pour déceler les failles de sécurité de leurs systèmes avant qu’elles ne puissent être exploitées. Ces organisations comptent de plus en plus sur les hackers pour protéger leurs systèmes informatiques d’éventuels piratages, et beaucoup sont prêtes à investir pour identifier leurs vulnérabilités. Elles déboursent en moyenne 3 384 dollars pour une vulnérabilité critique, avec des primes pouvant aller jusqu’à 100 000 dollars pour une seule faille. Les programmes de bug bounty séduisent notamment parce qu’ils permettent de mettre à la disposition des organisations les meilleurs hackers sans limitation géographique, et en évitant de longues procédures de recrutement.

+ de 5 000 postes de professionnels de la sécurité vacants en France

Pour mettre cela en perspective, ce sont aujourd’hui plus d’un million de postes de professionnels de la sécurité à l’échelle mondiale, qui sont vacants, dont plus de 500 000 rien qu’aux Etats-Unis et plus de 5 000 en France. Les hackers se construisent aujourd’hui de brillantes carrières avec de très confortables revenus grâce aux bug bounties. Hacker est en passe de devenir l’une des activités les plus lucratives au monde, gagnant parfois plus que des médecins et des architectes. A ces revenus, s’ajoutent d’autres avantages, notamment des horaires de travail flexibles, une grande autonomie ou encore l’accès à une communauté active dont il est possible de tirer de précieux enseignements.

Le hacker éthique se forme principalement en autodidacte

Bonne nouvelle : pour se lancer dans une carrière de hacker, il n’est pas nécessaire de retourner à l’école. Dynamisme et curiosité pour le fonctionnement des technologies sont les principales qualités requises pour devenir un hacker. De nombreuses compétences peuvent ensuite être acquises en ligne, gratuitement ou à un coût minime.
Alors par où commencer ? Les ressources pour apprendre à hacker sont nombreuses. On peut par exemple commencer à se familiariser avec le sujet (pour peu que l’on soit à l’aise dans la lecture de la langue de Shakespeare) en prenant connaissance d’un eBook gratuit, d’un post sur Medium, d’un guide complet sur GitHub ou encore d’une vidéo youtube.
Ensuite, il convient de s’intéresser aux outils gratuits d’entraînement. Cybrary, Bug Hunter University, Hacker101.com, HackEdu, HacktheBox, et Portswigger’s Burp Suite entre autres.
Enfin, il est possible de se lancer dans des concours de type Capture-the-Flags (CTFs). L’objectif : être le premier à capturer des drapeaux qui peuvent se cacher dans un fichier, une base de données, dans du code source…

Être un hacker : une compétence et un état d’esprit, pas un statut juridique

Ma recommandation est de s’intéresser en premier lieu aux ressources gratuites, de se familiariser avec elles, puis d’appliquer ces connaissances acquises pour de véritables programmes de bug bounty. En complément, il est possible de consacrer un budget aux programmes payants afin d’apprendre plus et plus vite. L’industrie du hacking est en plein essor et, que vous cherchiez un passe-temps lucratif ou une activité à plein temps, le moment est sans doute opportun de se lancer. Être un hacker reste encore aujourd’hui une compétence et un état d’esprit, pas un statut juridique. Mais avec le paysage de la menace actuel et la demande en experts cybersécurité que cela génère, cela pourrait bientôt changer. Il y a également fort à parier que certains hackers aujourd’hui deviendront les RSSI de demain.