Archives pour la catégorie Cyber-sécurité

La cyber-sécurité est un domaine très spécial que les experts qualifient comme « redoutable ». Elle concerne à la fois les ordinateurs, les smartphones, les appareils connectés… tout ce petit monde sensible à la sécurité Internet.

La cybersécurité à l’épreuve de la visioconférence

La pandémie du coronavirus aura mis en avant certaines pratiques qui depuis longtemps n’avaient pas autant été sollicitées.

La technologie de la visioconférence est l’une de ces usages qui ont été le plus mis en évidence avec le besoin lié au confinement général et à l’explosion du télétravail.

Cet article va aussi vous intéresser : Zoom : peut-on aujourd’hui lui faire confiance ?

Mais comme toute utilisation du numérique dans un contexte professionnel ou même personnelle, la question de la sécurité informatique resurgit. « La crise sanitaire que nous traversons a fait découvrir le télétravail à des millions de Français. Ce mode d’organisation dont les cadres étaient jusqu’ici les principaux bénéficiaires est passé en une seule journée d’une situation marginale à une pratique partagée par 41% des salariés du secteur privé. Le télétravail a bouleversé les habitudes et fait émerger de nouveaux outils qui ont cadencé notre activité quotidienne. Parmi eux, la visioconférence. Il est alors légitime de s’interroger sur l’incidence de la crise sanitaire sur la confidentialité de nos échanges, en mettant l’accent sur le manque d’anticipation dans la mise au point de ces outils et en esquissant les leçons à retenir. » écrivait Gildas Avoine, Directeur du Groupement de recherche (GDR) Sécurité informatique.

Les solutions de visioconférence comme nous le savons il y en a plein. De manière concrète, aucune de ces solutions n’a l’avantage sur l’autre que ce soit au niveau de l’efficacité de l’ergonomie ou même de la fonctionnalité en passant bien sûr par la sécurité comme élément fondamental. Et dans un certain sens, il n’est pas rare que des individus installent sur leurs terminaux plusieurs de ses outils pour être en mesure de communiquer facilement avec divers collaborateurs.

Les outils les plus célèbres dans ce secteur sur PC sont notamment Zoom, Skype, Google meet, Microsoft Teams, Cisco WebEx meeting, Gotomeeting, Tixeo, Via Big Blue Button et Facebook Messenger. Et selon la pratique de plusieurs spécialistes, aucune solution on a véritablement l’avantage sur l’autre que ce soit en terme d’efficacité, de sécurité ou d’ergonomie.

Cependant avec le télétravail qui a dû s’imposer à plusieurs entreprises, elles n’ont pas véritablement eu le temps de faire une quelconque analyse au préalable avant de faire le leur choix. Et malheureusement cela a entraîné des conséquences qui à l’origine n’étaient pas attendues

« Nous avons avant tout pensé que le point faible serait le réseau, qui n’allait pas supporter la charge engendrée par le confinement. Après quelques sueurs froides, adaptations et défaillances ponctuelles2, tout a tenu bon. Mais le véritable point faible est le manque crucial de solutions de visioconférence qui soient fonctionnelles, efficaces, ergonomiques et sécurisées. Car le problème est bien là : nous avons dû utiliser dans l’urgence des solutions dont on ne maîtrisait pas la sécurité. Failles de conception, faille d’implémentation, mais aussi manque de souveraineté dans le domaine. La majorité des solutions de visioconférence sont conçues, développées et opérées à l’étranger. Quelle confiance peut-on avoir en une solution logicielle qui fait circuler nos communications par un centre névralgique, parfois situé dans une zone géographique propice à l’intelligence économique ? » soulevait Gildas Avoine. Notre spécialiste répond en déclarant : « La visioconférence peut constituer une faiblesse dans la sécurité d’une entreprise ou d’un organisme, mais cela ne doit pas occulter le fait que d’autres outils de communication sont tout aussi problématiques. Cela concerne les messageries instantanées qui se sont sournoisement imposées dans nos vies durant cette crise sanitaire, et qui, souvent intégrées dans le même logiciel que la visioconférence, souffrent de maux similaires. Il ne faut pas non plus oublier que trop d’employés utilisent aussi dans le cadre professionnel des messageries de courriels hébergées à l’étranger, sans aucune garantie de confidentialité. ».

En clair, le problème de sécurité liées aux outils de visioconférence n’est pas vraiment différent de ce qui existe déjà pour les services de messagerie existants déjà. « En attendant, des solutions comme Jitsi ou Big Blue Button sont raisonnablement satisfaisantes. Bien qu’elles ne garantissent pas, comme la majorité des solutions existantes, la protection des communications de bout en bout, leur code est gratuit et ouvert, ce qui permet à chaque entreprise ou organisme d’installer et de gérer en interne sa propre instance du serveur de visioconférence. À noter que Jitsi et Big Blue Button sont deux solutions présentes dans le Socle Interministériel de Logiciels Libres5. Enfin, Tixeo est une solution qui permet le chiffrement de bout en bout et qui est certifiée par l’ANSSI67. C’est notamment la solution retenue par le CNRS pour ses visioconférences. », conclut notre experte.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

« Fake Downloader », la crainte de son retour

Durant le mois de juillet dernier, les chercheurs de la société de cybersécurité Proofpoint ont découvert une campagne de cybercriminalité, qui se fonde sur le fait d’inciter les utilisateurs a initié des mises à jour de logiciel factice.

Une campagne qui serait très active même en France.

Cet article va aussi vous intéresser : Un logiciel malveillant pourrait vous infecter suite à une mise à jour Windows

Selon ses même chercheurs la technique évoquée n’est pas inédite. Mais son efficacité demeure la même quand bien même que les cybercriminels n’innovent pas. Et cela répond à une réalité bien évidente. Le penchant du grand public à l’égard de la cybermalveillance ces dernières années. En effet comme on le sait, tout le monde devient de plus en plus intéressé par la question de la cybersécurité. Cette envie de protéger ces terminaux est utilisée par les cybercriminels dans cette campagne de piratage informatique. Cette campagne est appelée « Fake Downloader », une pratique qui poussent les utilisateurs à initier des fausses mises à jour de sécurité pour certaines applications importantes tels que les moteurs de recherche.

Parmi les pays les plus touchés par cette campagne de cybercriminalité, la France est en une bonne position. Le principe est simple, l’utilisateur reçoit un message ou il est incité à effectuer une mise à jour de sécurité via un lien que leur sera proposé. À travers ce lien ce dernier est rédigé vers un site web compromis ou il sera amené à télécharger un programme malveillant. Un programme qui prend la forme d’un une mise à jour de logiciel ou n’importe quel autre fichier.

En bref c’est une technique d’hameçonnage classique. Une technique qui était utilisée autrement mais qui avait disparu depuis un certain moment. Et la stratégie qui consiste à utiliser des liens corrompus dans les emails envoyés aussi cibles est quelque chose qui est en train de prendre de plus en plus d’ampleur. Une recrudescence qui est nature à inquiéter les spécialistes de la sécurité, lorsqu’on sait par exemple que la thématique utilisée par les cybercriminels est quelque chose de totalement facile à utiliser pour tromper.

Selon les chercheurs de la société de cybersécurité, entre le mois de juillet et juillet 2020, il a été identifié près de 18 000 messages provenant de TA569, un groupe de cybercriminels qui sont aussi dénommés SocGholish. Les personnes ciblées ont été identifiés majoritairement dans les pays suivants dont les États-Unis, le Royaume-Uni, l’Italie, l’Allemagne, la France, le Canada et l’Espagne.

Comme nous l’avons mentionné plus haut, la manière pour les cybercriminels d’inciter les victimes et de la faire croire qu’ils procèdent à la mise à jour de sécurité de leur navigateur par exemple. Et comme il a courant d’encourager les internautes à procéder régulièrement à des mises à jour, il y en a un certain nombre qui cède facilement à cette opération. « Dans le détail, les campagnes comportaient des liens vers des sites web compromis avec des injections HTML SocGholish, qui utilisent la géolocalisation de la victime, son navigateur et son système d’exploitation. Ensuite, si l’environnement de l’utilisateur répond à certaines conditions, il est ensuite dirigé vers une page de mise à jour du navigateur usurpé, Google Chrome par exemple. » note les chercheurs de Proofpoint.

Et même si les usurpations de ces navigateurs généralement utilisée par les Cybercriminels pour inciter les utilisateurs à la mise à jour factice ne sont pas parfaites, il n’en demeure pas moins que la qualité de la copie est susceptible de tomber tout internaute qui n’est pas suffisamment vigilant tellement les pages souvent se ressemblent. De toutes les manières l’objectif de ces pages factices est de tromper les utilisateurs peu roder en la matière.

« Bien que cette technique ne soit pas nouvelle, elle est toujours efficace car elle exploite le désir du destinataire de pratiquer une bonne hygiène de sécurité. Maintenir un logiciel à jour est un conseil de sécurité courant, et cet acteur l’utilise à son avantage », a déclaré Sherrod DeGrippo, Directrice de la détection des menaces du spécialistes Proofpoint. Cette dernière note par la suite : « Ces campagnes illustrent le fait que les tactiques des cybercriminels n’ont pas besoin d’être nouvelles pour être efficaces, même dans le paysage actuel des menaces qui évolue rapidement ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La mise à disposition des données régie de l’assurance-maladie du Québec aux géants pharmaceutiques

Très récemment une information est répandue selon laquelle le ministre de l’Économie, M Pierre Fitzgibbon avait pour projet de vendre les données générée et détenues par la régie de l’assurance maladie du Québec en abrégé RAMQ, aux entreprises pharmaceutiques, aimerait vendre des données de la RAMQ à des compagnies pharmaceutiques.

Cet article va aussi vous intéresser : Le Québec mène une enquête sur les applications de suivi auprès des Québécois

Une situation qui ne change pas d’habitude lorsqu’on sait que la régie de l’assurance maladie partage déjà les données de santé qu’elle détient des Québécois. Alors, le ministre a décidé de proposer cette mise à disposition qu’il estime à remplir l’objectif d’aider le secteur de la santé, les chercheurs et les entreprises privées à améliorer leur offre et travaux. Il affirme aussi que c’est une opportunité pour attirer l’attention des entreprises sur Québec et de faire au mieux avancer la science.

Cependant, à ne pas en douter l’opposition est bel et bien contre cette décision du ministre Pierre Fitzgibbon. En plus de l’opposition, Christian Dubé, le ministre de la santé s’est fermement opposé à cette initiative. Pour lui mettre à profit les données de santé des Québécois à la disposition des entreprises privées est un risque qu’il ne faut pas courir. Une position qui est difficilement compréhensible pour ceux qui soutiennent la pensée du ministre de l’économie lorsqu’on sait que la régie assurance maladie de Québec utilise déjà ses données de santé pour des travaux dits exploratoire. L’idée est sûrement d’exploiter au mieux le maximum de volume de ses données qui sont dans un certain contexte assez sensible.

L’argument phare utilisé ici pour un tel usage se formule selon quoi les informations ont été amputées de toutes formes d’identification de sorte à ne pas les liées à des Québécois en particulier. Un argument qui ne passe pas pour certains spécialistes quelques Patrick Mathieu qui signifie de son côté que les données personnelles provenant du Big data, sont difficilement anonymisées voir jamais. Sans oublier la possibilité de fuites qu’il ne faut pas négliger : « Big data » ne sont pas toujours anonymisées correctement et qu’il peut y avoir des fuites. « Le risque, c’est la donnée. Au gouvernement, c’est rarement bien fait ».

Notons qu’un budget de près de 5 millions de dollars a été consacré au personnel chargé de travailler avec le directeur de l’intelligence et d’affaires et analytique de la régie assurance maladie du Québec. Ce personnel est constitué de 66 personnes en tout. Leur travail consiste à réunir un ensemble de donnée par temps sur les services de santé et le médicament utilisé au Québec. Des informations qui sont par la suite disponibles au ministre, aux intervenants ainsi qu’aux spécialistes du domaine de la santé sans oublier les services publics sociaux et d’autres demandes nécessaires externes. « Ces données contribuent à fournir de précieuses informations tant à l’interne, en qui a trait à la gestion stratégique et opérationnelle, qu’à l’externe lorsque les lois qui régissent la Régie l’obligent ou le permettent », pouvait-on lire le document. 

Selon la régie assurance maladie du Québec, devant le projet peuvent s’inscrire à long terme dans des offres de services réseau, à condition bien sûr que les exigences de protection et de confidentialité soient respectées. « Le non-respect des normes et des standards de protection des renseignements personnels pourrait être problématique pour l’image corporative et, à la limite, placer le ministre dans une position embarrassante », note cette dernière.

À la question de savoir si la régie commercialisait ces informations, cette dernière a répondu que cela n’était pas le cas, qu’elle facturait simplement le temps de la production des documents statistiques.

Pour les organismes gouvernementaux et sociaux qui soutiennent l’initiative de ministre de l’Économie qui consiste à mettre à disposition les données de santé des québécois, ils soutiennent que ces informations doivent être démocratiser et utiliser pour améliorer les offres de santé des acteurs du milieu. « L’État produit, à même les sommes des contribuables, des informations qui ont une valeur sociale, démocratique et commerciale », a expliqué Pierrot Péladeau, le chercheur en éthique et santé, ajoutant que le gouvernement doit se munir d’une politique claire sur l’accès à ces données.  « Pour les entreprises qui vont faire un profit avec ça, il faut facturer. Et à l’inverse, il faut faciliter l’accès à des groupes sociaux et au gouvernement. »  

Sur cette question les avis demeurent toujours partagé et certains ont réagi.

– « C’est du délire, ça donne la chair de poule. » Selon Gabriel Nadeau-Dubois, de Québec Solidaire

– « C’est dangereux, ce sont nos données personnelles qu’on donnerait à des Big Pharma pour faire du business. »  Selon Harold Lebel du Parti québécois

– « Décidément, j’aurai tout entendu ! Ça ne s’invente pas. Réponse courte : NON ! » Pour Marwah Rizqy du Parti libéral du Québec

– « Je n’ai pas confiance en la donnée anonymisée du gouvernement. Qui aura accès aux données ? Elle ira où ? Est-ce qu’elle sera chiffrée ? Tout ça n’est sans doute pas bien couvert par le gouvernement. »  Souligne Patrick Mathieu, expert en sécurité informatique

– « Il faut comprendre que bien que l’industrie puisse bénéficier de cet accès, ce sont, au bout de la ligne, les patients qui en tireront profit. » Note Frank Béraud, président-directeur général de Montréal InVivo.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le travail à distance et l’augmentation des cyberattaques

Les rapports qui sont produits ces derniers moments et même avant ont démontré une réalité qui fait nettement l’unanimité dans le secteur de la cybersécurité.

Le télétravail a été l’une des causes de l’augmentation des attaques informatiques.

Cet article va aussi vous intéresser : La cybersécurité des objets connectés et le travail à distance

Le coronavirus a contraint une grande partie des entreprises à travers le monde, à délocaliser leur travail depuis le domicile de leurs employés. Le télétravail est devenu alors une sorte de standard professionnel. Même après le levé du confinement général, tout le monde n’a pas encore stoppé le travail à distance à cause de certains avantages qu’il procure aux entreprises et même aux employés. Cependant, au-delà de sa flexibilité et de son utilité, le résultat est sans conteste. Le travail à distance facilite la tâche aux cyberattaquants.

En effet, le basculement vers le télétravail c’est fait de manière précipitée pour la majorité des entreprises voir elles toutes. Même si certaines organisations disposaient déjà de structures pouvant amortir les besoins du télétravail, il n’en demeure pas moins que l’organisation pratique de la formation des collaborateurs à ce changement n’y était pas. Et ce problème a découlé à l’augmentation des vecteurs d’attaque même si les cyberattaques ont privilégié plutôt les phishing en terme classique à cause des employés.

Selon une étude menée récemment par Malwarebytes, les cyberattaques et autres infractions liées aux systèmes d’informations sont de plus en plus croissant. 20 % des personnes approchée lors de l’étude ont confirmé avoir subi une attaque informatique. Et cela à cause des travailleurs à distance.

Il faut signifier par ailleurs que l’enquête menée par ailleurs a concerné près de 200 professionnels spécialisés en informatique et en cybersécurité. Elle a d’ailleurs porter sur l’impact de la pandémie à coronavirus dans l’espace sécuritaire des systèmes d’information. Le rapport issu de cette enquête est intitulé : « Enduring from Home : covid-19’s Impact on Business Security ». Il est disponible depuis le jeudi dernier. Le premier constat de cette étude à été l’attitude des travailleurs à distance et l’utilisation à des fins professionnelles des terminaux domestiques qui ne sont pas souvent dotés de mesures de sécurité idoine pour assurer la confidentialité des échanges professionnels. De la sorte, lorsqu’il accède à des ressources de l’entreprise depuis ces appareils personnels, et souvent sans un soutien directeur de l’administration de l’entreprise, les conséquences ne se font pas attendre, et les pirates informatiques en profitent.

D’un autre côté, seulement 16 % des professionnels interrogés ont assuré que leurs entreprises étaient suffisamment outillées pour basculer vers le travail à distance les répercussions liées au revers de la cybercriminalité. Ce qui est d’ailleurs très faible même si une grande partie avait mentionné leur confiance quant à leur organisation interne. Cependant, les faits démontrent que la majorité les entreprises n’était pas effectivement préparée à ce changement de cadre.

En effet, cela se comprend lorsque :

– 18 % des professionnels interrogés avait mentionné que leurs priorités à l’heure de ce basculement n’étaient pas la cybersécurité.

– Et pire, 5% d’entre eux ont estimé que le personnel n’était pas suffisamment conscient des dangers liés à la cybersécurité, ils n’étaient pas prêts à adopter de bonnes mesures en terme d’hygiène numérique.

– 28 % des professionnels en aussi reconnu que les collaborateurs voir eux mêmes utilisaient des appareils à usage personnel pour certaines activités professionnelles, beaucoup plus que les appareils professionnels ceux qui étaient de natures à étendre les champs d’attaques des cybercriminels ;

– 61 % des organisations n’ont même pas pensé à encourager leurs employés à utiliser des solutions antivirus sur les appareils personnels qu’ils utilisaient lors de leur séance professionnelle ce qui est d’ailleurs une faute très grave.

« Notre évolution fondamentale vers le travail à distance a mis en évidence de façon spectaculaire la nécessité d’une sécurité globale, ainsi que d’une orientation et d’une formation informatique pour éviter les intrusions. Beaucoup d’entreprises n’ont pas compris les lacunes de leurs plans de cybersécurité lorsqu’elles se sont mises à travailler à distance, ce qui a entraîné une brèche », souligne le PDG et cofondateur de Malwarebytes, Marcin Kleczynski. Il ajoute par ailleurs que : « L’utilisation d’un plus grand nombre de dispositifs, souvent non autorisés, a mis en évidence le besoin critique de disposer non seulement d’une pile de sécurité complète et stratifiée, mais aussi de nouvelles politiques pour traiter les problèmes liés au travail à domicile. Les entreprises n’ont jamais été aussi menacées et les pirates informatiques s’en rendent compte ».

De son côté, Adam Kujawa, directeur des laboratoires de Malwarebytes note : « Les acteurs de la menace s’adaptent rapidement à l’évolution du paysage pour trouver de nouvelles façons de tirer profit de la main-d’œuvre à distance (…) Nous avons constaté une augmentation substantielle de l’utilisation des outils de Cloud Computing et de collaboration, associée à des inquiétudes quant à la sécurité de ces outils. Cela nous indique que nous devons évaluer de près la cybersécurité par rapport à ces outils, ainsi que les vulnérabilités du travail dans des environnements dispersés, afin d’atténuer les menaces plus efficacement ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les Bug Bounty payent-ils bien ?

Pour ceux qui sont du domaine de la sécurité informatique, il n’est pas rare que les bug Bounty, encore appelés les primes de bug vous tentent un de ses jours.

En effet, la somme d’argent proposé pour servir de ce programme sont notamment alléchantes. Et certains y voient littéralement un moyen de gagner leur vie. Seulement à cause des gains, et aussi pour la liberté qu’offre ce milieu professionnel assez particulier.

Cet article va aussi vous intéresser : Le réseau social Facebook va étendre les capacités de son programme de bug bounty

Si aujourd’hui cela est devenue une activité courante voir quelque chose d’assez banale, il faut néanmoins noter qu’il y a quelques années de cela, signaler une faille de sécurité ou même un simple bug pouvant toucher le système d’information d’une administration était susceptible de conduire l’individu en prison. À la clé des découvertes de bugs il y a souvent des ennuis. Brice Augras et Christophe Hauquiert, des chercheurs notaient à ce propos : « Ça prenait du temps, c’était compliqué et souvent, on n’était pas tenu au courant des correctifs ou de ce qu’il se passait après notre signalement. Et parfois, on se heurtait à un mur, avec des sous-entendus qui laissaient entendre qu’on risquait de se frotter aux avocats de la société en question. Et ça, sans même parler d’éventuelles récompenses. » pareil du côté de Yann Cam : « la sécurité informatique m’intéresse depuis mes 11 ans globalement. Ça m’arrivait de repérer des vulnérabilités, mais quand on les faisait remonter, on se faisait souvent très mal accueillir. Ça a pu me refroidir à une certaine période ».

Mais depuis lors, le bug Bounty se sont démocratiser. Ils sont devenus une pratique assez courante voire nécessaire lorsqu’une entreprise du domaine de la Tech veut lancer un nouveau produit, et s’assurer que sa clientèle aura toute confiance en ce dernier. Les entreprises en ont fait, non seulement le moyen de pouvoir s’assurer une meilleure sécurisation de leurs produits, mais aussi une stratégie marketing pour démontrer qu’elle met tout en œuvre pour s’assurer de produire des outils sûrs. Dans de tel contexte, certaines entreprises en se sont pas organisées pour fournir à ces entreprises de la Tech, un contact facile avec de potentiel hacker pour le développement de cette pratique qui est devenue presque symbolique. Ces entreprises créent une cadre professionnelle ou des spécialistes de la cybersécurité de manière libre, met à disposition leurs compétences service des entreprises contre des primes ou des rémunérations stables. On peut citer entre autres l’entreprise américaine célèbre dans le milieu HackerOne et l’entreprise française, YesWeHack.

Le travail est organisé de sorte à permettent aussi sa liste de la sécurité souvent appelé chasseurs de bug ou encore Hackers éthiques d’explorer des systèmes d’information dans le but des cellules généralités contre les défaillances techniques non de découverte. Ce sont des activités légalement encadrer car les entreprises ont tendance à les mentionner dans leur bilan annuel. Ce qui bien sûr elle et nature à attirer chaque fois encore plus de potentiels intéressés « On est parvenu à récolter 100 000 dollars de récompense sur un bug affectant la plateforme Kubernetes », détaillait par exemple Brice Augras et Christophe Hauquiert, deux chercheurs en sécurité qui officient sur HackerOne et Yogosha. Si les sommes d’argent souvent proposé attire, car alléchantes, il faut signifier que le travail à abattre est assez conséquent : « c’est le résultat d’un travail de 6 mois à deux personnes. Maintenant, un chercheur en haut du classement qui y consacre du temps peut facilement dégager entre 2 000 et 3 000 euros par mois ».

De la sorte, si les montants proposés peuvent avoir l’air assez important, pour la plupart des chasseurs de bugs tels que Brice Augras et Christophe Hauquiert c’est plutôt une activité annexe. « On se fait parfois des week-ends ou des nuits pour travailler sur certains programmes, mais c’est compliqué d’en faire une activité à plein temps. Les revenus sont irréguliers, et c’est quelque chose d’assez stressant. », et c’est pareil pour Yann Cam, pentester et lead auditor pour une société spécialisée en sécurité informatique « J’ai beaucoup de respect pour ceux qui essaient d’en vivre, mais il y a un manque de stabilité qui m’empêche de faire ça à plein temps. L’année dernière, j’ai dû faire remonter entre 300 et 400 bugs, mais c’est compliqué de trouver du temps pour travailler. On se retrouve souvent à bosser de nuit ou pendant nos pauses déjeuner », note-il. S’il faut ajouter la vie de famille, le rythme du travail, les exigences temporelles, ainsi que les frustrations de pouvoir rater de temps en temps certains prime, le travail ça devient ennuyeux voire peu intéressant professionnellement. « A mon sens, c’est vraiment important que les hunters fassent des pauses : je vois beaucoup de hunters qui se lancent, trouvent une vulnérabilité critique, se laissent prendre par la montée d’adrénaline et qui perdent un peu pied quand ils se retrouvent ensuite en difficulté », explique-t-il. C’est pour cette raison que la majorité des chercheurs voient les bugs Bounty comme des activités secondaires à faire durant les temps libres.

Cependant, malgré ce qui peut être décrit comme des inconvénients du métier, certains ont quand même décidé de l’adopter comme travaille à temps plein. Même s’ils sont minoritaires il existe bel bien certain qui voient les chasses de prime comme elle travaille à part entière. A l’instar de Anthony, connu sous le pseudonyme de Kuromatae, qui depuis deux ans fonctionne ainsi : « Ce qui m’a vraiment motivé, c’est la possibilité de pouvoir travailler entièrement à distance dans les conditions que je voulais. Mais aussi le fait que je ne m’y retrouvais pas trop dans le cadre de l’entreprise au niveau des sujets que j’abordais : le bug Bounty me permet de toucher à tout ». Explique ce dernier. « L’objectif que je me fixe, c’est d’être capable de générer un SMIC annuel au minimum. Au départ, j’étais dans une optique où je considérais problématique de ne pas avoir de rentrée d’argent pendant un mois. Mais au final, on arrive à mettre un peu de coter pour se constituer un matelas », continue t-il.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage