Le MIT Press, dans son ouvrage collaboratif, New Solutions for Cybersecurity, paru il y a un an, mettait en avant la question souvent oubliée des disparités de récompenses dans les bug-bounty. Avec des outils d’analyse sociologique et économique, l’article Fixing a Hole: The Labor Market for Bugs montrait comment ces concours organisés par des entreprises pour sécuriser leurs solutions grâce à la participation de milliers de hackers avait vu émerger une classe très précarisée de tâcherons du code dont les revenus perçus au sein de ces événements ne sauraient constituer un salaire.
16 000 dollars par an pour un bug par mois
Analysant une soixantaine d’événements bug-bounty organisés par le géant du secteur HackerOne pendant presque deux ans, et le programme de bounty de Facebook pendant 45 mois, les chercheurs ont mis en avant d’extrême disparités. Selon leur conclusion, moins de 1 % des participants aux concours remporterait la vaste majorité des récompenses. En suivant des profils de hackers doués et polyvalents, les auteurs les ont retrouvés dans les meilleurs participants de différents bounty sur la plateforme HackerOne.
Sur 650 hackeurs, 339 n’a découvert qu’un seul bug
En deux ans, la startup a distribué au nom de Slack, Square ou encore Twitter, plus d’un million de dollars pour la découverte de 2 177 bugs. Seulement, sur 650 participants, 45 ont découvert plus de dix bugs récompensés, quand la majorité des participants, 339, en a découvert un seul en presque deux ans. Parmi ces 45 participants doués et récompensés, les auteurs ont compté que ces derniers avaient gagné sur la durée de l’étude 16 544 dollars en trouvant, en moyenne, 1,17 bug par mois.
En reprenant dans le détail cette étude, la firme de cybersécurité Trail of Bits — qui a intérêt à questionner les bug bounty puisqu’elle offre des solutions de détection de bugs en formule aux entreprises, sans recourir à des concours –, montre que cette élite des bounty est mal payée pour les standards de l’industrie, voire même des standards occidentaux quand la grande majorité des participants n’est pas ou peu récompensé.
Le système méritocratique des événements, avance la firme, serait décourageant pour les meilleurs comme pour les autres : les premiers ne gagnent pas suffisamment pour s’investir pleinement et les seconds peuvent être découragés de persévérer et n’apportent pas de contribution significative.
Conte de fées méritocratique
Trail of Bits espère remettre en question les illusions des bug-bounty offrant à ceux qui y recourent une exposition médiatique méliorative et un processus un peu trop parfait : des milliers de personnes regardent un code, et les plus méritants repartent avec les récompenses. Sur le papier, le bug-bounty apparaît comme infaillible : « C’est plaisant de penser qu’il y a 300 000 paires d’yeux qui scrutent votre code, écrit la firme, mais ce nombre inclue des comptes fantômes et des personnes qui ne vont jamais découvrir le moindre bug ».
Les « petits » participants, notamment sur HackerOne, seraient souvent issus de pays émergents — des yeux venus d’Inde notamment — et des étudiants en université. Leur travail dans le cadre des bounty, rarement récompensé, ne saurait devenir un salaire. Il n’y aurait pas là de conte de fées méritocratique : les plus récompensés dans le bounty, sont souvent déjà des employés de l’industrie de la cybersécurité et, dès lors, souvent plus éduqués voir… occidentaux.
Cette analyse n’est naturellement pas partagée par Marten Mickos, patron d’HackerOne, qui auprès du Register, rappelle que si les meilleurs chasseurs de bug sont plus productifs que les autres, les nouveaux venus « grimpent rapidement dans les rangs ». « Au sein d’un système méritocratique, juge Marten Mickos, les opportunités sont illimitées pour celui qui vient avec des compétences et de la volonté ». Reste la question pour les entreprises clientes de ces concours de l’efficacité : par delà le cachet d’image engrangé par une marque, l’argent investi dans ces concours donne-t-il les mêmes résultats en matière de sécurité et de maintenance que, imaginons, l’embauche à temps plein d’une équipe compétente ?
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.