La plateforme française spécialisée dans le bug bounty vient au secours de nombreuses entreprises, parmi les plus grandes de France. Elle part à la recherche des vulnérabilités d’une société et perçoit une rémunération si des failles sont débusquées.
Chez Yogosha, on ne rechigne pas à enfiler l’armure de chevalier blanc du hacking, d’ange gardien des entreprises. La plateforme, qui met en relation des hackers dits « éthiques » avec des entreprises, fut lancée en 2015 dans le but de rechercher des failles de sécurité dans les systèmes informatiques de ces entreprises. Au même titre que Hacker One ou YesWeHack, une vingtaine de plateformes, certaines professionnelles, d'autres communautaires, etc., œuvrent au quotidien pour rendre l'impossible possible aux yeux des sociétés. Pour discuter du fonctionnement de Yogosha, de son modèle économique et de la vie des hackers éthiques, nous avons rencontré le P.-D.G. et fondateur de l'entreprise, Yassir Kazar, lors des Assises de la sécurité 2020, à Monaco.
Interview de Yassir Kazar, président et fondateur de Yogosha
Clubic : Bonjour Yassir, vous êtes le P.-.D.G. de Yogosha, et nous sommes ravis de discuter hackers éthiques avec vous aujourd'hui. Pouvez-vous nous présenter votre entreprise ?
Yassir Kazar : Yogosha est une plateforme collaborative privée de bug bounty. Elle permet à des entreprises de rentrer en relation avec une communauté de hackers éthiques à travers le monde, pour tester les systèmes d'information de leurs clients. Au milieu, il y a un business model relativement simple : les clients paient à la faille détectée. Si notre communauté ne trouve rien, le client n'a rien à payer. Mais dans les faits, à chaque fois qu'un programme est lancé, les hackers trouvent des failles.
« Les clients paient à la faille détectée. Si notre communauté ne trouve rien, le client n'a rien à payer. Mais dans les faits, on trouve toujours des failles »
On pourrait penser que le bug bounty, que le hacker éthique est une nouvelle profession de la cybersécurité. Mais en réalité, on a retrouvé la trace de ce qui s'apparente au premier bug bounty de l'histoire, en 1983 avec la découverte de vulnérabilités dans les systèmes d'exploitation VRTX, avec en jeu une Volkswagen Coccinelle. La discipline est donc loin d'être nouvelle...
Ce n'est clairement pas récent même. Je ne vais pas dire « les historiens du bug bounty », mais beaucoup s'accordent à dire que la naissance du terme s'est vue dans les locaux du navigateur Netscape, avec à l'époque une forte communauté qui aidait à améliorer le produit, qui remontait des failles et des bugs. À l'époque, on s'est dit qu'il fallait reconnaître le travail de ces gens-là d'une manière ou d'autre, et fut lancée l'idée du bug bounty, bug pour faille, et bounty pour la prime, la prime à la faille. Depuis, de nombreuses philosophies de bug bounty ont pu se développer, comme le public disclosure (des hackers qui, à force de remonter des failles à des clients qui ne les corrigent pas, les rendent publiques) ; les normal free bugs, qui ont percuté que le bug remonté avait une valeur qui nécessitait une rémunération ; jusqu'à la création des plateformes d'intermédiation.
Comment est née la communauté de hackers éthiques Yogosha ?
J'étais avec un ancien co-fondateur d'une autre entreprise, avec lequel on travaillait chez moi. On travaillait sur un produit qui n'avait rien à voir avec Yogosha, que nous étions en train de développer. À un moment, on s'est demandé ce qu'il était possible de faire pour valider la sécurité du produit. C'est lui qui, à l'époque, m'a dit qu'il pourrait être bien de faire du bug bounty, une discipline que je ne connaissais pas. Alors que nous étions partis sur une autre société, je lui ai dit « écoute, on va tout arrêter, et on va partir sur ça ! ». C'est comme ça que l'idée est partie, dans ma chambre, qui servait de bureau.
Votre catalogue de clients est impressionnant : Veolia, Cdiscount, Accor, Bouygues Telecom, Thales, le ministère des Armées, BNP Paribas. Comment séduit-on de tels partenaires, et sur quoi porte par exemple la recherche de vulnérabilités chez un e-commerçant comme Cdiscount ?
Ce qu'il faut comprendre, c'est que ces clients-là font de la cybersécurité un vrai enjeu. Ils ont des équipes et un budget dédiés à la cybersécurité, dans le but de traquer des failles. Les RSSI connaissent un peu les limites des démarches existantes. Ils sont à la recherche d'approches offensives qui les mettent face à la réalité. Le côté intéressant de notre approche, c'est de dire que nous n'allons pas faire de la théorie, mais que l'on part sur quelque chose de réel. Le fait d'être sur un modèle de challenge neutralise des questions d'efficacité que peuvent se poser des clients, comme la réaction pouvant être adoptée si quelqu'un de malveillant arrive sur leur site web. Si on caricature, ils essaient de se dire « comment faire pour ne pas être dans les médias dans les prochaines semaines », puisque tout le monde a des failles aujourd'hui.
Comment ça se passe d’un point de vue relationnel ? Est-ce que vous démarchez les acteurs en pointant du doigt des failles détectées chez eux ? Ou est-ce qu’ils viennent spontanément chez vous, en se disant « on sait qu’il y a une vulnérabilité, mais on ne sait pas d’où elle vient ni comment la corriger » ?
On ne va jamais chercher des failles de sécurité chez un client pour ensuite lui soumettre. On appelle ça des tests sauvages, et c'est illégal. Mais il existe deux autres scénarios. Le premier est le scénario commercial classique, où on démarche le client pour lui dire que nous avons une offre intéressante à présenter ou inversement, que nous avons fait des passages dans les médias, etc. Mais autre chose s'est développé. Depuis pas mal d'années, les hackers remontaient déjà des failles de manière un peu sauvage, failles qu'ils remontaient sans escroquer. Il y a une législation qui est de plus en plus favorable à cela, dans certains pays. Elle va dire que globalement, un hacker qui trouve une faille dans une entreprise, qui lui fournit tous les éléments pour la corriger et qui ne lui fait pas de chantage, n'a pas forcément à être poursuivi en justice, même si dans les textes, ce serait interdit.
Nous avons ces cas-là, qui trouvent des failles chez certains clients, et n'arrivant pas à contacter les services de sécurité, nous demandent de faire l'intermédiaire pour remonter la faille auprès du client. On ne prend pas de rémunération dans ce deuxième cas de figure.
« À l'entrée, il faut respecter des conditions, comme le statut fiscal obligatoire, le test et la validation de l'identité du hacker par un tiers de confiance »
Enfin, nous avons un portefeuille de partenaires qui proposent ce que l'on appelle des « services managés », c'est-à-dire qu'ils gèrent l'activité du bug bounty au global pour nos clients. Ces partenaires proposent eux-mêmes à leurs propres clients notre approche.
Comment sont sélectionnés les hackers, et quel peut être le profil type ?
Dès le départ, nous avons fait le choix d'un cercle fermé, avec un certain nombre de conditions à l'entrée à respecter. Par effet de challenge, les hackers sont intéressés. Pour entrer chez Yogosha, il faut réussir un test technique, que l'on appelle CTF (Capture The Flag, capture du drapeau). Pour ces tests, nous prenons de vraies failles du monde réel, que l'on met dans une plateforme. Il peut aussi y avoir de la communication ou du bouche-à-oreille entre hackers. Le test, lui, est fait pour valider les compétences techniques et pédagogiques, afin qu'ils puissent à la fois détecter et décrire dans un langage compréhensible ce qu'ils ont trouvé.
En termes de sélection, nous avons un tiers de confiance qui valide l'identité du hacker. Il faut aussi savoir que sur notre plateforme, le statut fiscal d'autoentrepreneur, au minimum, est obligatoire. Tout ça est fait pour éviter le travail dissimulé et éviter de créer de la précarité. Le hacker n'est pas certain de gagner sa vie qu'avec Yogosha, il faut être certain d'avoir monté un vrai projet professionnel, de s'être organisé.
Quant au profil des hackers, ils ont tous un côté « génie ». Tous les hackers de Yogosha vont vous raconter des anecdotes de quand ils avaient 10, 11 ou 12 ans avec des ordinateurs et leur premier hack, certains plus farfelus que d'autres. Il y a un côté précoce. Il y a aussi une génération plus âgée, et à côté de cela plus jeune, autour des 25 ans, avec des profils qui ont suivi des études dans la cybersécurité, ce qui traduit une trajectoire assez naturelle. Depuis quelques années, les masters en cybersécurité deviennent un peu une norme. Mais le gros du gros va être entre 25 et 35 ans.
Combien de hackers sont associés à Yogosha aujourd'hui ?
Nous avons 500 hackers actifs. Aujourd'hui, nous avons autour de 3 000 personnes placées sur des listes d'attente. Et tout se passe en ligne. Ils ont besoin d'un ordinateur et d'une connexion. Via la plateforme, ils regardent les programmes qui les intéressent, puisqu'il n'y a aucune d'obligation de travailler sur un programme en particulier. Ensuite, ils se connectent sur l'application du client et travaillent de chez eux. Ici, on se débarrasse des contraintes physiques et horaires.
« Un de nos hackers a franchi la barre des 100 000 euros de gains grâce au bug bounty »
Parlons des récompenses. De quel ordre sont-elles ? En sachant que certaines entreprises, comme Google, vont jusqu'à offrir plusieurs millions de dollars de récompenses chaque année...
Sur Yogosha, sans langue de bois, nous sommes loin des tarifs des Américains, mais nous avons déjà eu des failles à 10 000 ou 15 000 euros qui ont été payées. Un de nos hackers a franchi la barre des 100 000 euros de gains. En moyenne, nous sommes sur une rémunération de 800 euros mensuels. Évidemment, ça peut être moins, comme ça peut être plus.
Cela suppose une vraie organisation, une vraie hygiène de vie, un statut fiscal, du professionnalisme. Le danger est que certains pensent qu'ils peuvent vivre de ça et qu'ils passent leur temps à essayer de taper dans tous les sens. Ce n'est pas la bonne solution. Ce que l'on constate, c'est que ce sont les plus disciplinés et patients, qui restent sur une même application, qui ont le plus de chances de toucher. Beaucoup ont choisi de faire du bug bounty leur profession. Tout dépend ensuite des pays. Sur les plateformes, on commence à se rendre compte qu'environ 45% ont fait du hacking éthique une activité professionnelle. D’autres commencent à se fixer l’objectif de faire un jour du hacking éthique une profession. Les autres voient cela comme un complément d'activité.
En ce qui concerne le modèle économique, comment fonctionne-t-il et comment fonctionnent les transactions avec les entreprises ? On ne négociera peut-être pas directement non plus avec des profils commerciaux, mais plus avec des techniciens, non ?
Il y a un premier niveau qui est le paiement à la faille détectée, sur lequel on peut prendre des commissions. Ensuite, nous avons un modèle à la licence, où le client paie un accès à la plateforme pour qu'il puisse utiliser un certain nombre de fonctionnalités.
Le prix est indexé sur la criticité d'une faille. Plus celle-ci est critique, plus le prix augmente. Il y a d'ailleurs un standard de marché utilisé qui permet de donner une note théorique sur la criticité d'une faille, que l'on peut réajuster. Du coup, les équipes qui vont superviser ces programmes sont les équipes de sécurité. Il est essentiel qu'elles connaissent ces standards. Avant de lancer un programme, le client définit les prix, pour une meilleure transparence. Il y aura négociation lorsqu'on n'est pas d'accord sur le niveau de criticité.
« Nous avons permis à nos clients d'économiser 900 millions d'euros par rapport au coût d'une potentielle faille CNIL »
Dans l'absolu, les entreprises sont gagnantes, notamment d'un point de vue RGPD. Nous avons fait un calcul : sur les douze derniers mois, le coût moyen d'une faille de sécurité a permis à nos clients d'économiser environ 900 millions d'euros par rapport au coût potentiel d'une faille CNIL.
Avec la Covid-19, comment ça se passe du côté des hackers éthiques, êtes-vous davantage sollicités ?
Oui, la Covid-19 a été un vrai accélérateur, même si les premières semaines ont été compliquées. Ce qui est certain, c'est que ça a accéléré la digitalisation et le télétravail, et ce faisant, ça a accéléré la question de la sécurité de ce type d'environnement, de structuration et d'organisation. De plus en plus de clients nous sollicitent, clients qui ont développé des applications à la va-vite pour répondre aux questions du télétravail. Et la question s'est posée pour tous types d'entreprises.
Clubic aux Assises de la sécurité 2020
Comment envisagez-vous l'avenir chez Yogosha ?
On l'envisage de manière sereine, même si le contexte crée une incertitude. Nous devons tous nous habituer à l'incertain, cela fait partie de notre quotidien. De l'autre côté, on voit que la cybersécurité n'est pas un sujet de luxe. Nous sommes déployés dans quatre pays, l'Allemagne, l'Espagne, le Canada et la France, nous avons élargi notre plateforme de services, avec du CTF à la demande, du pentest crowdsourcé. À nous de transformer l'essai !
Merci beaucoup Yassir d'avoir répondu à toutes nos questions sur le hacking éthique ! Bonne continuation pour la suite.