S’il avait été hackeur criminel, il aurait préféré rester anonyme. Mais pour Edgar Boda-Majer, la transparence fait partie intégrante de son modèle d’affaires: ce Lausannois de 31 ans est hackeur éthique et travaille à son compte avec trois collègues depuis fin 2019.
L’union fait la force
À la demande des entreprises, Edgar Boda-Majer et ses collègues recherchent les failles dans les systèmes informatiques avant que des individus malintentionnés ne les trouvent et les exploitent. Les partenariats entre pirates informatiques professionnels et entreprises, dotées de leur propre département informatique et de nombreux dispositifs de sécurité, peuvent surprendre à première vue. Et pourtant, l’intérêt d’une telle démarche est évident: «nous avons les mêmes ennemis», déclare Edgar Boda-Majer. Étant donné que le monde informatique se complexifie et évolue sans cesse, que les hackeuses et hackeurs criminels développent continuellement de nouvelles techniques d’attaque, il existe selon lui un seul moyen efficace pour s’assurer une bonne cyberdéfense: unir les forces.
Les partenariats entre entreprises et pirates informatiques sont moins surprenants qu’il n’y paraît.
En collaborant avec des pirates informatiques, les entreprises prennent une mesure de sécurité supplémentaire pour se protéger contre le vol de données et l’extorsion. Pour leur part, les hackeuses et hackeurs éthiques, ou «bug hunters» (chasseuses et chasseurs de bugs), reçoivent une récompense («bounty»), dont le montant dépend du résultat des investigations. Ces cracks de l’informatique peuvent tirer un excellent revenu de leur travail: la détection d’une faille susceptible d’entraîner des conséquences graves rapporte plusieurs milliers de francs.
La patience, mère de toutes les vertus
En soi, son travail n’a pas grand-chose de spectaculaire, explique Edgar Boda-Majer. D’abord, il observe. Pendant plusieurs heures, il examine, par exemple à l’aide d’un logiciel d’analyse, comment le site Internet du partenaire ciblé communique avec le serveur local, comment les données circulent. Une fois qu’il a repéré une vulnérabilité, il modifie les données et observe ce qu’il se passe: le serveur identifie-t-il la manipulation et comment réagit-il? Il ne pénètre pas plus loin dans le système. Il signale la faille à sa cliente ou son client en vue de sa correction. Puis, il se met en quête du bug suivant.
Ce n’est pas la course contre le crime qui le motive. Ni même l’idée de confronter le personnel chargé du développement à ses erreurs. «Ce qui me stimule, c’est la compétition avec les autres hackeuses et hackeurs», déclare Edgar Boda-Majer. En effet, seule la première personne qui détecte une anomalie est récompensée. «Comme le monde de l’informatique est dynamique et que des fonctionnalités disparaissent au fil des mises à jour, chaque chasseuse ou chasseur de bugs trouve presque toujours une faille», explique-t-il.
L’intermédiaire
«Les hackeuses et hackeurs éthiques font partie des meilleurs dans le domaine informatique. Ils doivent être au fait des dernières évolutions techniques; de véritables ‹nerds›, dans le bon sens du terme. Avec une idéologie positive, qui les pousse à utiliser leurs compétences dans l’intérêt de leurs clientes et clients, plutôt qu’en vue de leur nuire.» Tels sont les propos de Sandro Nafzger. En tant que cofondateur et CEO de la société Bug Bounty Switzerland, c’est lui qui met en relation les partenaires: les entreprises désireuses d’être défiées et les pirates informatiques dotés des compétences nécessaires.
«Outre leur savoir technique, les chasseuses et chasseurs de bugs doivent également investir de la confiance dans ces partenariats», explique Sandro Nafzger. En effet, dans leur travail, ils agissent à la limite de la légalité. Les donneuses et donneurs d’ordre, quant à eux, doivent être disposés à apprendre des pirates éthiques et à quitter sciemment leur zone de confort. «Cela demande aussi du courage», souligne le chef d’entreprise. Mais aussi une culture de l’erreur positive: un état d’esprit qui perçoit les bugs décelés comme des opportunités de s’améliorer.
Chasse aux bugs chez Valiant
En août, plusieurs pirates éthiques se sont mis à la recherche de failles dans les systèmes informatiques de Valiant, à la demande de la banque et en collaboration avec Bug Bounty Switzerland. «Nous savons que les contrôles de sécurité classiques des différents systèmes ne sont plus suffisants», déclare Christoph Klossner, Chief Information Security Officer chez Valiant. «C’est pourquoi nous avons voulu en savoir plus. Nous avons donc demandé aux chasseuses et chasseurs de rechercher les vulnérabilités par tous les points d’accès possibles: site Internet, application, e-banking, appels vidéo.» Découvrez le contexte de cette chasse aux bugs dans notre vidéo.