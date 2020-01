Auteur: Rosalie Chan

Pour le hacker éthique Jesse Kinser, la cybersécurité est un mode de vie. Dans sa vie de tous les jours, elle contribue à protéger les produits de son entreprise en tant que directrice de la sécurité des produits chez LifeOmic. Quand il rentre chez lui, après que son fils s’est endormi, c’est quand il commence à pirater.

Comme un pirate éthique se faufile dans les systèmes informatiques, mais pas pour voler des informations mais pour trouver des vulnérabilités et des échecs. En dehors du travail, pirater pour aider à protéger les entreprises technologiques, les magasins de consommation, les entreprises de soins de santé, les assureurs et même les entités gouvernementales. Il a piraté des entreprises comme Starbucks, Uber ou Airbnb.

“Les choses changent constamment, ce qui me maintient impliqué”, explique Kinser à Business Insider. “Toutes ces entreprises construisent de nouveaux produits fantastiques et je suis le premier à les casser.”

Aujourd’hui, des organisations importantes telles que Uber, Spotify, Atlassian ou même le Département de la Défense des États-Unis utilisent de plus en plus des plates-formes telles que Bugcrowd et HackerOne, qui accueillent ces hackers éthiques – également appelés hackers white hat – afin que Entrez dans ces systèmes et récompensez-les pour avoir trouvé des bogues.

En échange de la découverte de vulnérabilités, ces pirates sont généralement récompensés par une récompense en espèces pour avoir trouvé une erreur. Kinser explique qu’il a gagné des milliers de dollars avec ce système. Certains pirates éthiques sont même devenus des millionnaires identifiant les vulnérabilités.

L’augmentation du nombre d’entreprises qui ouvrent leurs systèmes à ces pirates éthiques préfigure un changement d’attitude majeur vis-à-vis de la sécurité. Les entreprises s’impliquent de plus en plus dans la communauté de la cybersécurité et engagent activement des pirates pour trouver ou signaler des failles de sécurité.

Cela se traduit également au bénéfice des entreprises. Sinon, ils pourraient faire face à des violations de données, des atteintes à la vie privée ou, en fin de compte, à des pertes financières importantes.

Selon Alex Rice, co-fondateur de HackerOne et actuel CTO, les perceptions des pirates informatiques évoluent également. Par exemple, l’ancien candidat à la présidence du Parti démocrate américain Beto O’Rourke était membre de l’un des groupes de hackers les plus importants de l’État du Texas, appelé “ Le culte de la vache morte ”, bien que peu prêtent attention à ce détail dans sa biographie. .

Marten Mickos, PDG de HackerOne. Hackerone

“Je pense que l’une des choses vraiment intéressantes à propos de la perception qu’a la communauté des hackers est la rapidité avec laquelle nous sautons sur le stéréotype qui apparaît chaque fois que quelqu’un dit comment imaginer un hacker”, explique Rice à Business Insider. “Ils imaginent quelqu’un dans un sous-sol, généralement une personne antisociale, mais quand on regarde les personnes qui contribuent à apporter de la valeur à cette communauté, dans la diversité de leurs origines et dans les différents chemins qu’ils ont parcourus pour y parvenir monde, c’est quelque chose de vraiment incroyable. “

Le piratage et la cybersécurité sont un mode de vie

Kinser pirate depuis 13 ans. Au lycée, il a commencé dans le monde du piratage en programmant ses montres pour allumer et éteindre sa télévision. Au collège, il a commencé des recherches sur divers problèmes de sécurité et est même venu travailler pour le Département de la Défense des États-Unis. Enfin, il a dirigé le programme de récompenses pour trouver les vulnérabilités de Salesforce et a également commencé à y pirater.

Jesse Kinser, directeur de la sécurité des produits chez LifeOmic. Jesse Kinser

Maintenant, après le travail, Kinser passe généralement du temps avec sa famille. Lorsque son fils s’endort, elle commence à pirater. Elle dit que si elle trouve quelque chose d’intéressant, elle peut rester debout jusqu’à 2 heures du matin.

Lorsque Kinser veut pirater une page Web, il commence à l’utiliser comme n’importe qui d’autre, mais avec la motivation d’un cybercriminel. Créez un compte utilisateur et réfléchissez où peuvent rester les données confidentielles. Par exemple, sur un site Web de vente au détail, les utilisateurs peuvent créer des comptes dans lesquels ils saisissent les informations de leur carte de crédit. Elle commence par essayer de pirater ces zones en premier.

“C’est un défi”, explique Kinser. “J’ai toujours dit que le piratage et la cybersécurité sont un mode de vie. Pratiquement, j’y suis tout le temps.”

André Baptista, professeur de 25 ans à l’Université du Portugal, est également un hacker éthique qui a gagné plus de 130 000 $ en récompense pour avoir trouvé des erreurs. Il a commencé à travailler quand il a trouvé un livre sur le bureau de son père sur la programmation. Ensuite, je finirais par étudier l’informatique à l’université.

André Baptista, professeur de sécurité de l’information à l’Université de Porto. Hackerone

Cependant, il a commencé à pirater en s’impliquant dans Catch the Flag (CTF), un jeu pour les pirates dans lequel les joueurs tentent de trouver des vulnérabilités dans des scénarios simulés. Il était le capitaine de l’équipe de la CTF de son université et a réussi à se qualifier pour un événement à Las Vegas, après quoi, selon lui, “sa vie a complètement changé”. En l’occurrence, il n’a trouvé aucune erreur.

“J’étais un peu déçu de moi-même parce que c’était bien depuis que je me suis qualifié en premier lieu, mais je ne savais pas comment rechercher les vulnérabilités du monde réel depuis que j’étais habitué aux scénarios simulés”, a déclaré Baptista à Business Insider.

Dès lors, il a décidé d’apprendre à trouver de vraies erreurs et a commencé à pratiquer tous les jours. Il y a environ deux ou trois ans, il a appris l’existence de HackerOne et s’est rendu compte qu’il pouvait l’utiliser pour trouver de vraies vulnérabilités. Et en février 2018, il a trouvé sa première vraie faute.

“Les paiements sont également vraiment incroyables”, explique Baptista. “Ma vie a complètement changé grâce à HackerOne.”

Kinser et Baptista voyagent fréquemment pour assister à des événements de piratage. Baptista dit que son travail lui donne beaucoup de flexibilité. Après avoir obtenu son diplôme, son université l’a retenu comme professeur. Il peut enseigner, et chaque mois, il peut voler quelque part pour assister à un événement HackerOne.

Cependant, il dit qu’il se sent parfois sous pression lorsque d’autres pirates trouvent des erreurs dans les événementset il n’en trouve aucun. D’autres fois, c’est l’inverse.

«J’adore être à plusieurs endroits», explique Baptista. “J’adore faire du piratage quand je travaille à l’université, quand j’ai du temps libre entre les réunions et les cours … Quand je vais quelque part comme Londres, Amsterdam, quand j’y vais, je me sens très inspiré parce que je n’ai pas d’autres distractions et je peux pirater et trouver des erreurs critiques. “

Équipe rouge

Le piratage éthique se produit également dans certaines entreprises. Brianna Malcolmson dirige «l’équipe rouge» d’Atlassian, orientée pour analyser et simuler les menaces qui pourraient viser Atlassian. Le terme «équipe rouge» vient du camp militaire, lorsque les pays ont effectué des simulations de ce que les ennemis pouvaient faire.

L’équipe exécute des attaques contre Atlassian, telles qu’une attaque de phishing pour amener quelqu’un à installer des logiciels malveillants sur son ordinateur. En plus de trouver et de collecter des informations sur les vulnérabilités, il informe l’entreprise sur la cybersécurité, sur les risques auxquels elle peut être confrontée et sur la manière dont chaque travailleur peut s’impliquer pour améliorer la sécurité.

Atlassian dispose également d’une «équipe bleue» qui pratique et forme à ce qui peut se produire en cas d’incident de sécurité. Les deux équipes ont une certaine rivalité, selon Malcolmson. Alors que l’équipe rouge doit travailler dur pour éviter les protections définies par l’équipe bleue, elle doit travailler pour protéger l’ensemble de l’entreprise.

“En fait, au cours des cinq dernières années, le nombre d’équipes rouges a beaucoup augmenté”, a déclaré Malcolmson à Business Insider. “L’équipe rouge était une chose de l’armée dans les années 60 et 70. Elle s’est étendue plus récemment aux entreprises technologiques. Il y a maintenant plus d’équipes rouges dans la Silicon Valley que toutes les années précédentes.

Malcolmson dit que bien que l’équipe rouge soit un adversaire de l’équipe bleue, La relation est en fait assez amicale. «Nous nous sentons utiles pour l’entreprise et répondons aux besoins non seulement de toutes les équipes Atlassian, mais en particulier de l’équipe bleue», explique Malcolmson. “Lorsque nous partageons les résultats, nous essayons toujours de le faire à partir du point de vue, nous avons mal fait certaines choses, mais personne n’est blâmé … Nous voulons que cela reste une expérience d’apprentissage pour tout le monde.”

“Des gens fondamentalement bons qui pensent comme des méchants”

Rice dit qu’il y a seulement 5 ans, le piratage était synonyme d’activité criminelle. “Les gens qui avaient ces capacités ont été poussés sous terre”, soutient-il. “Les gens qui l’ont fait, ils l’ont fait par amour. Ce n’était pas le moyen le plus évident de gagner sa vie. C’était vraiment une très petite communauté qui était essentiellement des gens passionnés par la sécurité des technologies.”

Casey Ellis, fondateur et directeur technique de Bugcrowd, affirme que les pirates éthiques sont “fondamentalement de bonnes personnes qui pensent comme des méchants”. Bugcrowd rassemble ces pirates pour chasser les vulnérabilités.

Casey Ellis, fondateur et CTO de Bugcrowd. Business Insider / Julie Bort

“C’est un concept que les gens normaux peuvent comprendre”, explique Ellis à Business Insider. “Essayez d’expliquer comment un pare-feu fonctionne pour une grand-mère et elle peut le comprendre, mais il est plus susceptible d’être perdu, alors que cette idée de surveillance de voisinage Internet est un concept assez intuitif.”

Maintenant, la sécurité est une conversation critique pour toute entreprise, car une erreur que les entreprises peuvent commettre est de faire travailler les développeurs autour du cloud pour commercialiser leurs produits sans penser à la sécurité.

“Il est assez exagéré de penser que les pirates peuvent s’associer à des entreprises, mais c’est exactement ce qui se passe aujourd’hui”, explique Rice. “Nous pouvons le faire de manière plus transparente. Nous pouvons apprendre aux gens à pirater dans un environnement clandestin. Nous pouvons récompenser les gens de l’avoir fait de manière équitable. Nous supposons que le piratage est une étape nécessaire et critique. “

Bien que de nombreux hackers puissent provenir de toutes les classes sociales, il existe toujours un manque de diversité au sein de la communauté des hackers, car elle reste majoritairement masculine. Selon un rapport de Bugcrowd, seulement 4% de la communauté mondiale des hackers est une femme.

Kinser dit qu’il est parfois décourageant d’aller à un événement de piratage et de voir qu’elle est la seule femme, mais la motive également à faire des programmes de sensibilisation ou à travailler avec HackerOne pour inviter plus de femmes.

Un pirate éthique recherche des vulnérabilités dans Bug Bash, un événement organisé par Atlassian et Bugcrowd. L’événement a réuni 35% de femmes. Bugcrowd

“Au lieu de me décourager beaucoup d’être une femme et en fait d’être la seule femme dans une pièce avec 50 hommes, j’essaie de l’utiliser pour tendre la main et encourager la participation des femmes”, explique Kinser. “Même dans mon travail quotidien, la plupart des gens avec qui j’interagis sont des hommes.”

Comment commencer le piratage

Pour commencer dans le monde du piratage éthique, Kinser suggère de lire les manuels de piratage et d’apprendre comment les pirates parviennent à s’introduire dans un système informatique. Il vous invite également à apprendre à créer des applications à partir de zéro, qui peut vous apprendre à comprendre où peuvent être les failles de sécurité.

“Il n’est pas nécessaire d’être un expert, mais si vous piratez une page Web, vous devrez savoir comment cela fonctionne avant d’essayer de la pirater”, explique Kinser.

Un groupe de pirates du chapeau blanc cherche des vulnérabilités lors de Bug Bash, un événement organisé par Atlassian et Bugcrowd. Bugcrowd

De la même manière, Baptista recommande d’apprendre à programmer et à essayer de créer des applications mobiles et Web. Il dit également que les gens devraient commencer à faire des FFC, c’est ainsi qu’il a commencé dans le monde du piratage éthique.

Pour les questions sur le piratage, il existe une énorme communauté de pirates éthiques sur Internet.

“C’est quelque chose de clé qui est généralement ignoré”, explique Kinser. “Vous pensez à des gens assis dans un coin qui travaillent seuls. Oui, parfois c’est le cas, mais en même temps, nous nous soutenons également. C’est ce qui résulte Si puissant de ces événements de piratage. Rejoignez les gens de la communauté et posez des questions. Vous n’avez pas à être timide pour le faire. “

Les pirates éthiques Dawn Isabel et Jesse Kinser ont remporté un prix pour la meilleure vulnérabilité dans Bug Bash, l’événement de piratage organisé par Atlassian et Bugcrowd. Bugcrowd

Son plus grand conseil est de ne pas se sentir intimidé.

“Tout le monde doit commencer quelque part et cela peut être une industrie intimidante, vous n’avez donc qu’à vous lancer”, explique Kinser. “La chose la plus importante est qu’ils apprennent les uns des autres.”