Play all audios:
Sous des aspects séduisants, méritocratiques, médiatisés, modernes et ouverts à tous, les « bug-bounty » ont de nombreux défauts et des voix se font entendre pour questionner leur effet sur
le marché du travail. Le MIT Press, dans son ouvrage collaboratif, _New Solutions for Cybersecurity_, paru il y a un an, mettait en avant la question souvent oubliée des disparités de
récompenses dans les _bug-bounty_. Avec des outils d’analyse sociologique et économique, l’article _Fixing a Hole: The Labor Market for Bugs_ montrait comment ces concours organisés par des
entreprises pour sécuriser leurs solutions grâce à la participation de milliers de hackers avait vu émerger une classe très précarisée de tâcherons du code dont les revenus perçus au sein de
ces événements ne sauraient constituer un salaire. 16 000 DOLLARS PAR AN POUR UN BUG PAR MOIS Analysant une soixantaine d’événements _bug-bounty_ organisés par le géant du secteur HackerOne
pendant presque deux ans, et le programme de _bounty _de Facebook pendant 45 mois, les chercheurs ont mis en avant d’extrême disparités. Selon leur conclusion, moins de 1 % des participants
aux concours remporterait la vaste majorité des récompenses. En suivant des profils de hackers doués et polyvalents, les auteurs les ont retrouvés dans les meilleurs participants de
différents _bounty _sur la plateforme HackerOne_. _ > Sur 650 hackeurs, 339 n’a découvert qu’un seul bug En deux ans, la startup a distribué au nom de Slack, Square ou encore Twitter,
plus d’un million de dollars pour la découverte de 2 177 bugs. Seulement, sur 650 participants, 45 ont découvert plus de dix bugs récompensés, quand la majorité des participants, 339, en a
découvert un seul en presque deux ans. Parmi ces 45 participants doués et récompensés, les auteurs ont compté que ces derniers avaient gagné sur la durée de l’étude 16 544 dollars en
trouvant, en moyenne, 1,17 bug par mois. En reprenant dans le détail cette étude, la firme de cybersécurité Trail of Bits — qui a intérêt à questionner les bug bounty puisqu’elle offre des
solutions de détection de bugs en formule aux entreprises, sans recourir à des concours –, montre que cette _élite _des _bounty_ est mal payée pour les standards de l’industrie, voire même
des standards occidentaux quand la grande majorité des participants n’est pas ou peu récompensé. Le système méritocratique des événements, avance la firme, serait décourageant pour les
meilleurs comme pour les autres : les premiers ne gagnent pas suffisamment pour s’investir pleinement et les seconds peuvent être découragés de persévérer et n’apportent pas de contribution
significative. CONTE DE FÉES MÉRITOCRATIQUE Trail of Bits espère remettre en question les illusions des _bug-bounty _offrant à ceux qui y recourent une exposition médiatique méliorative et
un processus un peu trop parfait : des milliers de personnes regardent un code, et les plus méritants repartent avec les récompenses. Sur le papier, le _bug-bounty _apparaît comme
infaillible : « _C’est plaisant de penser qu’il y a 300 000 paires d’yeux qui scrutent votre code, _écrit la firme, _mais ce nombre inclue des comptes fantômes et des personnes qui ne vont
jamais découvrir le moindre bug _». Les « _petits _» participants, notamment sur HackerOne, seraient souvent issus de pays émergents — des yeux venus d’Inde notamment — et des étudiants en
université. Leur travail dans le cadre des _bounty_, rarement récompensé, ne saurait devenir un salaire. Il n’y aurait pas là de conte de fées méritocratique : les plus récompensés dans le
_bounty_, sont souvent déjà des employés de l’industrie de la cybersécurité et, dès lors, souvent plus éduqués voir… occidentaux. Cette analyse n’est naturellement pas partagée par Marten
Mickos, patron d’HackerOne, qui auprès du Register, rappelle que si les meilleurs chasseurs de bug sont plus productifs que les autres, les nouveaux venus « _grimpent rapidement dans les
rangs _». « _Au sein d’un système méritocratique_, juge Marten Mickos, _les opportunités sont illimitées pour celui qui vient avec des compétences et de la volonté _». Reste la question pour
les entreprises clientes de ces concours de l’efficacité : par delà le cachet d’image engrangé par une marque, l’argent investi dans ces concours donne-t-il les mêmes résultats en matière
de sécurité et de maintenance que, imaginons, l’embauche à temps plein d’une équipe compétente ? Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et
restez connectés au futur ! Installer Numerama -------------------------