Chasseurs d'insectes

L'année 2020 a touché tout le monde d'une manière ou d'une autre. Alors que certains d'entre nous ont l'avantage de travailler à domicile, il y a des individus comme les ouvriers qui peuvent à peine trouver 2 repas par jour. Les industries à grande échelle comme les industries automobiles ont également été gravement touchées. D'autre part, les sociétés informatiques et les multinationales ont non seulement réussi à survivre, mais elles ont également enregistré une augmentation significative de leurs ventes et de leurs bénéfices. L'une des entreprises qui est devenue populaire est Zoom. Selon les données fournies par Zoom, les revenus pour l'exercice 2018 étaient de 121,5 millions de dollars et en 2020, ils ont atteint 622,7 millions de dollars (jusqu'au mois de mai). Non seulement les entreprises, mais aussi les particuliers ont réalisé d'énormes profits cette année.

Récemment, j'ai lu un article dans lequel ils parlaient de pirates et de chasseurs en ligne qui ont gagné des récompenses et des prix en lakhs au milieu de ce verrouillage. Bhavuk Jain - un gars de Delhi a réussi à gagner 10 000 $ d'Apple pour avoir trouvé un bogue critique dans leur système. Pour avoir identifié un bogue dans la plate-forme de réseautage social de Facebook, un gars d'Ahmedabad a réussi à empocher 31 500 $ en récompense. Alors une question peut se poser : qui sont ces chasseurs et comment gagnent-ils en piratant ? Pour trouver des réponses, continuez à lire.

Qui sont ces hackers ?

Ces pirates sont appelés des chasseurs qui trouvent des bogues dans un système et signalent une faille de sécurité aux organisations. En retour, l'organisation leur verse des récompenses monétaires. Être un chasseur de bogues a ses propres avantages. Ce sont eux qui divulguent leurs découvertes à une entreprise ou à une organisation et sont payés avec une bonne somme ou des récompenses. Il faudrait de bonnes capacités d'observation, de bonnes connaissances techniques et de bonnes compétences en documentation pour gagner une prime de bogue.

Auparavant, les pirates avaient l'habitude de trouver un bogue et de le signaler dans l'espoir qu'ils pourraient obtenir une offre d'emploi lucrative de la part de l'entreprise. À cette époque, une entrée au Temple de la renommée de l'entreprise était une offre suffisante pour la plupart des pirates à l'époque. Aujourd'hui, tous ces chasseurs de bogues recherchent un retour sous forme de récompenses monétaires afin qu'ils puissent passer à leur prochain projet de piratage après en avoir terminé un. Avez-vous déjà entendu parler du terme "Programme Bug Bounty" ? Dans le cadre de ces programmes, les organisations et les éditeurs de logiciels proposent des offres et des récompenses à une personne qui trouve un bogue ou une vulnérabilité dans ses systèmes et le lui signale. Des entreprises et des organisations telles que Microsoft, Google, Facebook, Reddit, etc. ont mis en place des programmes de primes de bogues pour découvrir et résoudre les bogues de leur système afin d'éviter tout incident indésirable.

Plates-formes tendance pour les chasseurs de bogues

Parlons maintenant de diverses plates-formes de primes de bogues offrant aux individus la possibilité de gagner de l'argent supplémentaire. Ces plateformes ne sont pas les mêmes que les plateformes traditionnelles de freelance comme Upwork, Fiverr ou Freelancer. Sur les plateformes de freelance, il faut enchérir sur les projets et faire une proposition qui puisse convaincre le client. L'une des choses les plus importantes qui attirent le client et peut éventuellement le convaincre de vous confier le projet est votre profil et vos notes. Même après tant de procédure, il n'est pas garanti que le projet vous soit confié.

En revanche, les plateformes de bug bounty sont simples. Les entreprises et organisations téléchargent leurs projets et nomment le module ou le projet qui doit être pris en charge. Les chasseurs, les chercheurs et les pirates peuvent aller en ligne, vérifier le projet et signaler les vulnérabilités. De plus, plusieurs chercheurs peuvent travailler sur un même projet et vice versa. Si votre rapport soumis est valide et crédible, vous serez récompensé en fonction de la gravité des bogues. On peut dire que ces plateformes de bug bounty sont ouvertes à tous et que tout candidat méritant peut gagner de l'argent sur ces plateformes. Upwork lui-même invite les chercheurs de la plateforme Bugcrowd à tester leurs plateformes de pigistes et à s'assurer que la plateforme est sécurisée et exempte de vulnérabilités.

Voici quelques-unes des plateformes de primes de bogues les plus connues :

Foule d'insectes

Il s'agit d'une plate-forme de sécurité basée à San Francisco. Son modèle commercial est entièrement basé sur des chercheurs en sécurité et en cybersécurité externalisés. Cette plateforme fonctionne de manière simple et directe.

• L'entreprise ou l'organisation de logiciels télécharge son projet ou module sur la plate-forme Bugcrowd et mentionne les surfaces d'attaque possibles qui doivent être davantage sécurisées. C'est à l'organisation qu'elle doit garder le programme privé ou ouvert à la communauté des foules.
• Une fois le programme en ligne, la communauté de foule peut découvrir les vulnérabilités et les signaler.
• En fonction de la validité et de la gravité du rapport, vous serez récompensé.

Ils ont différents niveaux pour identifier la sévérité du programme : P1 à P4 ; P1 étant le plus critique.

Bugcrowd permet à un chercheur de collaborer avec d'autres chercheurs pour travailler sur un projet particulier et de le signaler sur la plateforme. C'est amusant de garder une trace de vos découvertes de bogues. Donc, Bugcrowd le fait pour vous. Vos points absolus et votre rang parmi les autres chercheurs sont conservés dans votre profil. Si vous êtes de nature compétitive, vous apprécierez certainement cela.

HackerOne

HackerOne - une société basée à San Francisco a ses bureaux répartis dans de nombreuses villes comme Londres, Singapour et les Pays-Bas. Sa communauté de hackers est la meilleure de sa catégorie. Il compte plus de 6 lakhs hackers enregistrés dans leur communauté. Les entreprises ou organisations de HackerOne ont accès à une communauté diversifiée et talentueuse de hackers. Le ministère américain de la Défense, Google, Intel, Lufthansa et de nombreuses autres entreprises mondiales du monde entier se sont associés à HackerOne.

Les pirates de HackerOne peuvent gagner et maintenir leur statut et leur réputation dans le classement. Si vous parvenez à percer le classement pour figurer parmi les meilleurs hackers de la communauté, vous pouvez avoir la possibilité d'accéder aux cibles confidentielles et d'être invité à des programmes privés. Cela peut augmenter votre réputation et vous rapporter une bonne somme d'argent.

HackerOne est également connu pour organiser des événements de piratage en direct dans le monde entier. Il existe des programmes de mentorat lors de leurs événements en direct. Ces événements permettent aux nouveaux hackers de s'associer aux hackers qualifiés. Vous pouvez travailler en main avec les hackers qualifiés et accélérer votre apprentissage et vos techniques de chasse aux bogues.

Synack

Synack - une société basée en Californie est une plate-forme de sécurité participative. Synack n'est pas aussi simple que HackerOne ou Bugcrowd. Vous devez suivre une procédure et postuler pour faire partie de la communauté Synack. La communauté Syncak compte des chercheurs en sécurité de 82 pays qui font partie de leur Synack Red Team.

Chez Synack, un hacker ou un chercheur peut gagner de l'argent de 2 manières. La première consiste à rechercher un bogue ou une vulnérabilité et à les signaler. L'autre façon est de terminer les missions et d'être payé. Pour cela, vous devez être membre de la Synack Red Team. Vous devez postuler et terminer différents tours pour devenir membre de l'équipe rouge. Le tout premier tour est l'évaluation des compétences, puis vous serez invité à un entretien. Après cela, votre vérification des antécédents sera effectuée. Ce n'est qu'après avoir terminé ces tours que vous pourrez faire partie de l'équipe rouge. Ils n'acceptent pas les candidats qui ont travaillé pour d'autres entreprises comme Bugcrowd, HackerOne, etc. Vous pouvez voir cette liste dans la politique de Synack elle-même.

Récemment, il a lancé la plate-forme Hydra Technology. Cette technologie agit comme un multiplicateur de force pour l'équipe rouge. Hydra Technology recherche de nouvelles zones d'attaque et rapporte ses données à l'équipe rouge. Cela a été une bénédiction pour l'équipe rouge. Ils fournissent des renseignements de sécurité vitaux à un rythme plus rapide.

Les autres plateformes de bug bounty sont :

1. Prime de bogue de cobalt
2. Oui, nous piratons
3. Casques de sécurité
4. Intigriti

Application Aarogya Setu

Il y a très peu d'entreprises en Inde qui ont des programmes de primes de bogues et offrent des récompenses monétaires aux pirates et aux chercheurs pour avoir signalé des bogues ou des vulnérabilités. Certaines des entreprises proposant les programmes de primes de bogues sont PayTM et BigBasket.

Récemment, le ministère de l'informatique a déclaré "Aarogya Setu - l'application de recherche de contacts CoVID-19" comme source ouverte et a annoncé un programme de primes de bugs de Rs 3 lakhs. Le PDG de NITI Aayog, Amitabh Kant, a déclaré que l'application est devenue l'application la plus rapide au monde pour atteindre 50 millions de téléchargements en seulement 13 jours.

Même si les sociétés de logiciels et les organisations indiennes ne sont pas connues pour offrir des primes de bogues, les pirates indiens signalent des bogues et des vulnérabilités à grande échelle.

La chasse aux bogues peut-elle être une option de carrière ?

Le grand nombre de programmes de primes de bogues sont offerts dans le monde entier sur diverses plateformes. De nombreux chasseurs ont gagné des dizaines ou des centaines de milliers de dollars rien que par leurs connaissances et leur sens aigu des bugs et des vulnérabilités. Cela a conduit de nombreuses personnes à se concentrer sur les programmes de primes de bogues et à en faire leur carrière à plein temps.

C'est sans aucun doute une excellente occasion de gagner de l'argent supplémentaire et d'acheter une PS5 ou une Xbox. Mais pour quelqu'un qui a un emploi bien rémunéré avec des responsabilités familiales, il ne devrait pas plonger dans la chasse aux insectes dans le cadre de sa carrière à temps plein.

Traquer les bogues et signaler les vulnérabilités demande beaucoup d'apprentissage, d'efforts et de temps. Vous devez être minutieux avec la documentation, lire les articles sur la sécurité et vous entraîner à rédiger des rapports. Adoptez une stratégie qui vous ressemble.

Parfois, il peut arriver que vous travailliez assez dur pour découvrir un bogue, le documenter et le signaler juste pour savoir qu'un autre pirate a signalé le même bogue quelques heures plus tôt. Santiago López – Un chasseur de bogues argentin a gagné 1 million de dollars grâce à la plateforme HackerOne. Il a dit que cela devait être une perte de temps si quelqu'un d'autre avait signalé le bogue plus tôt que lui. Ce point doit être gardé à l'esprit avant de se lancer dans une carrière à plein temps dans la chasse aux bogues.

Point de vue personnel

De nos jours, la plupart des appareils sont des appareils intelligents et sont connectés à Internet. Les entreprises accordent la priorité à la confidentialité et à la sécurité de leurs utilisateurs. Ils souhaitent donc réduire la surface de menace en accueillant toute personne pouvant les aider à sécuriser leur système.

Pourtant, ce n'est peut-être pas une bonne idée de devenir un chasseur de bogues à plein temps si vous n'êtes pas familier avec son fonctionnement. Je suggère qu'avant de faire le changement majeur, vous devriez travailler à temps partiel comme chasseur de bogues pendant un an ou deux.