Secu
Chasseur de bug, plus rémunérateur que le développement
Par Jacques Cheminat, publié le 24 janvier 2018
HackerOne, la plateforme de Bug Bounty, montre dans une étude que les meilleurs chasseurs de bugs peuvent gagner en moyenne près de 3 fois plus que le salaire moyen d’un développeur dans le pays concerné.
La recherche de vulnérabilités peut être un métier rémunérateur comme le montre le rapport Hacker 2018 de HackerOne. La plateforme propose des Bug Bounty où des sociétés ou des administrations sollicitent la communauté de white hackers pour trouver des failles de sécurité en échange de récompenses financières.
Un métier très lucratif en Inde
Ces rétributions constituent un pécule non négligeable et qui, selon les pays, constituent un salaire très confortable et donc une professionnalisation de la recherche de bugs. C’est le cas dans les pays où les revenus sont les moins élevés. En Inde, les chasseurs de bug les plus performants peuvent gagner jusqu’à 16 fois plus que le salaire moyen d’un développeur. Le contingent indien au sein de HackerOne est majoritaire en représentant 23% de la communauté.
Parmi les autres pays, on peut citer l’Argentine où la rémunération des chercheurs de bugs est 15,6 fois plus importante que le salaire moyen d’un développeur. Elle est de 8,1 fois plus en Egypte, 7,6 fois à Hong Kong, 5,4 fois aux Philippines et 5,2 fois en Lettonie.
Les écarts sont moindres dans les pays développés. Aux Etats-Unis, représentant le deuxième contingent de la communauté HackerOne, les white hackers peuvent prétendre à des appointements 2,4 plus importants que le salaire moyen d’un développeur. Au Canada, il faut tabler sur une bascule de 2,5 fois, en Allemagne de 1,8 fois et de 1,6 fois en Israël.
L’argent n’est pas la principale motivation
Pour autant, si la rémunération est un élément important, elle n’est pas la principale motivation des membres de la communauté de HackerOne. La première finalité est l’opportunité d’apprendre des techniques et des astuces de sécurité. En second lieu, on trouve un besoin d’émulation en se confrontant à des concurrents. Enfin, ce travail est jugé divertissant.
Selon le rapport, le profil type du white hacker est un jeune entre 18 et 24 ans, il passe entre une à dix heures par semaine à chasser les bugs. Son expérience est relativement faible (de 1 à 5 ans) et il travaille majoritairement en solitaire. Au fil du temps, il concrétise son « passe-temps » en un métier souvent dans le domaine du consulting. Pour mener à bien ses recherches, il fait appel à des solutions de sécurité comme Burp Suite, même si certains créent leurs propres outils. Il cible majoritairement les sites web et a une grande appétence pour les attaques de cross-scripting (XSS).
Enfin, le rapport s’est intéressé à l’utilisation des récompenses de Bug Bounty. Elle va de l’achat d’une maison pour les parents du gagnant au recrutement de personnes pour développer sa société. Un spectre large et varié.