La vie de chasseur de bug bounty : un combat de tous les jours, juste pour être payé

Avec l'aimable autorisation d'Evan Ricafort





Evan Ricafort travaille à domicile, son bureau occupant une pièce dans une maison qu'il partage avec sa famille le long d'une route nationale aux Philippines. Alors que les parents du jeune homme de 22 ans vont travailler dans un dépanneur que la famille possède dans la ville méridionale d'Ipil, il passe jusqu'à 75 heures par semaine à l'intérieur, branchant son ordinateur trompé. Là, au milieu d'une cacophonie de motos, de chiens qui aboient et de bébés qui pleurent, il pourrait enregistrer vos données personnelles.

Cet article apparaît également dans notre newsletter Clocking In, qui traite de l'impact des technologies émergentes sur l'avenir du travail. Inscrivez-vous ici - c'est gratuit!

Ricafort est un chasseur de bogues, un nom donné à une race particulière de pirates informatiques qui recherchent des vulnérabilités dans les logiciels construits et détenus par certaines des plus grandes entreprises technologiques du monde avant qu'elles ne puissent être exploitées par des méchants. Ils ne le font pas gratuitement, bien sûr : de nombreuses entreprises paient (et paient parfois assez bien) pour les soumissions qui aident les entreprises à renforcer le code dont dépend leur entreprise. Il y a assez de choses qui circulent pour qu'être un chasseur de primes de bogues soit en quelque sorte une profession émergente.



Histoire connexe Les cyberdétectives indépendants peuvent aider les entreprises à trouver des failles dans leur code. Mais les chasseurs de bogues pourraient enfreindre les lois anti-piratage.

Mais Ricafort n'a pas de diplôme professionnel en informatique ou en codage. Après qu'un de ses amis ait commencé à publier des articles sur les primes qu'il gagnait en tant que chasseur de bogues, Ricafort s'est lancé sur Internet, lisant les blogs d'autres chercheurs en sécurité et regardant sans relâche des vidéos pour apprendre le métier. Sa première prime, dit-il, n'était rien de plus qu'un bogue de 50 $ d'une entreprise au hasard. Mais le frisson de la chasse l'a rendu accro, et en 2014, c'est devenu sa carrière à plein temps.

Au début, ses amis et sa famille ne comprenaient pas, mais après qu'il ait expliqué son travail et que les primes aient commencé à arriver, ils ont réalisé que c'était une véritable option de carrière. Et un avec un but. Vous aidez non seulement l'entreprise, mais toute la communauté. Les utilisateurs et les personnes qui utilisent l'entreprise, dit Ricafort.

Au cours des quatre dernières années, il a trouvé des vulnérabilités dans le code de plus de 200 entreprises , y compris Apple, Google, Microsoft, PayPal, Yahoo, IBM et Twitch. L'année dernière, il a décroché son plus gros paiement à ce jour : 5 000 $ (pour une entreprise qu'il dit ne pas pouvoir nommer). Cela a changé la vie. Je ne peux pas mettre de mots sur ce que j'ai ressenti, a-t-il dit. Il a célébré comme n'importe quel jeune de 21 ans : il a fait quelques voyages et s'est acheté un nouveau jouet, sous la forme d'un vélo BMX.



Avec l'aimable autorisation d'Evan Ricafort

Mais le bogue pour lequel il est probablement le plus connu - celui qui, à bien des égards, l'a placé sur la carte des chasseurs de bogues sérieux - n'a pas rapporté un sou. Retour en 2014 il a repéré une faille dans Google Nest qui pourraient permettre aux attaquants d'accéder aux informations personnelles et financières des clients Nest, y compris les informations d'identification, les informations de carte de paiement et les copies numérisées d'éléments tels que les passeports et les cartes d'identité. La découverte l'a propulsé dans Programme de récompense de vulnérabilité de Google Hall of Fame, mais l'équipe de sécurité de l'entreprise a déclaré qu'il s'agissait d'un problème avec un fournisseur de logiciels tiers et qu'il n'était donc pas éligible à un paiement (il a cependant été payé par Google pour d'autres bogues qu'il a découverts).

Avec l'aimable autorisation d'Evan Ricafort



Malheureusement, ce défaut de paiement n'était pas un incident isolé. D'autres entreprises lui ont tout offert, du swag au une visite du Capitole des États-Unis à la place de l'argent. Et tandis que Ricafort dit qu'il aime sa chemise du gouvernement néerlandais qui lit que j'ai piraté le gouvernement néerlandais et que tout ce que j'ai obtenu était ce t-shirt moche, cela n'aide pas à joindre les deux bouts.

Néanmoins, il dit qu'il gagne assez pour s'en sortir - au cours d'un mois moyen, il estime qu'il gagne environ 10 000 pesos philippins (soit environ 187 dollars), soit environ un salaire moyen dans son pays, alors que dans un bon mois, il pourrait rapporter 20 000 à 30 000 pesos. (374 $ à 561 $).

Pour de nombreux chasseurs de bogues, c'est comme ça que ça se passe : de grosses fluctuations de salaire, et souvent vivre avec des salaires qui seraient intenables dans un pays occidental cher. Cela pourrait cependant commencer à changer. Des entreprises comme Bugcrowd et HackerOne (avec lesquelles Ricafort a travaillé) facilitent les choses pour la communauté des chasseurs de bogues en proposant des programmes où les chasseurs peuvent gagner un salaire plus régulier et se connecter à des entreprises qui sont prêtes à débourser. (Pour une plongée en profondeur dans les entreprises qui aident les chasseurs de bogues à obtenir des contrats, consultez Les chasseurs de bogues logiciels Crowdsourcing sont une activité en plein essor et risquée .)



Quoi qu'il en soit, dit Ricafort, il apprécie l'impact de son travail. Bien qu'il affirme qu'il accepterait la bonne offre pour un poste à temps plein dans le domaine de la cybersécurité, il pense qu'il peut faire la plus grande différence là où il se trouve actuellement : lutter contre les vulnérabilités en arrière-plan. Comme il l'a dit, mon cœur est pour la prime aux insectes.

Cet article fait partie d'une série sur les métiers du futur. Découvrez d'autres profils d'emplois futuristes ici .

cacher