Sécurité

Certains pirates éthiques ne révèlent pas leurs découvertes en matière de cybersécurité

Car ils ne savent pas à qui s'adresser, d'après HackerOne

Près d’un quart des pirates éthiques s’abstiendraient de révéler leurs découvertes en matière de cybersécurité tout simplement parce qu’ils ne savent pas à qui s’adresser pour établir le contact avec l’organisation concernée. C’est ce que révèlent les résultats d’une étude menée par la plateforme de cybersécurité HackerOne qui rassemble une communauté de pirates éthiques.

Il faut noter que l’Inde (23 %) et les États-Unis (20 %) sont les deux pays bénéficiant de la plus forte représentation au sein la communauté HackerOne. Ils sont suivis par la Russie (6 %), le Pakistan (4 %) et le Royaume-Uni (4 %). Plus de 90 % des participants à cette étude ont moins de 35 ans et sont de sexe masculin.

« Pirates éthiques » est un terme utilisé pour désigner des chercheurs spécialisés en cybersécurité utilisant les mêmes procédés de piratage que les cybercriminels afin de déceler d’éventuelles failles de sécurité au sein des systèmes informatiques exploités par des gouvernements ou des entreprises. Lorsqu’ils parviennent à mettre en évidence des vulnérabilités sur un système, les pirates éthiques alertent, en général, les organisations concernées en toute discrétion pour que ces vulnérabilités soient corrigées.

Cette enquête a été menée par HackerOne sous forme de sondage. Elle a officiellement rassemblé 1698 participants. Ses résultats apparaissent dans le rapport Hacker 2018 publié par la plateforme de cybersécurité. Le sondage révèle qu’environ un quart des pirates éthiques n’auraient pas signalé les vulnérabilités qu’ils ont trouvées parce que les structures concernées ne disposaient pas d’un canal approprié pour la transmission de cette information.

Autrement dit, près d’un chercheur en cybersécurité sur quatre serait dans l’incapacité d’établir un contact avec les organisations concernées par les failles de sécurité qu’il a découvertes. Ceci serait notamment dû au fait que les structures en question ne disposent pas d’une politique de divulgation de vulnérabilité (PDV) ou d’un canal officiel adéquat qui leur permettrait de recevoir les soumissions de vulnérabilités extérieures.

En l’absence d’une politique de divulgation de vulnérabilité, les pirates informatiques respectueux de l’éthique seraient obligés d’utiliser d’autres moyens pour entrer en contact avec les établissements concernés : réseaux sociaux, courriels, etc. Malheureusement, les messages transmis via ces canaux sont souvent ignorés ou mal compris par les destinataires, indique le rapport.

En dépit du fait que certaines organisations ne disposent pas d’une politique de divulgation de vulnérabilité, les pirates éthiques interrogés (72 % d’entre eux) ont souligné le fait qu’elles sont néanmoins de plus en plus enclines à recevoir des informations sur les vulnérabilités qu’elles ne l’étaient par le passé.

Le rapport précise que des organisations comme le Département américain de la Défense ont reçu et résolu près de 3000 vulnérabilités de sécurité au cours des 18 derniers mois sur la base des informations rapportées grâce uniquement à leur PDV. Il met également en lumière le côté lucratif des programmes de bug bounties en soulignant le fait qu’en Inde, par exemple, les meilleurs chercheurs peuvent gagner jusqu’à 16 fois le salaire moyen d’un ingénieur logiciel local. En outre, un chercheur en cybersécurité aurait en moyenne un salaire 2,7 fois supérieur à celui d’un développeur originaire du même pays.

Autres aticles de la rubrique

Vidéo du jour

  • La fusée SpaceX a fait une grosse frayeur aux habitants de Los Angeles

    Dans la nuit de vendredi à samedi, la société SpaceX a effectué un nouveau lancement de sa fusée pour mettre en orbite basse 10 satellites de l'entreprise Iridium spécialisé dans la téléphonie par satellite, mais les habitants de Los Angeles, un peu crédules, ont cru à une invasion extraterrestre lorsqu'ils ont aperçu une traînée blanche dans le ciel.

Duel de la semaine

Newsletter

Je souhaite rester informé et recevoir toutes les informations sur TechDeGeek dans ma boite mail