Imaginez un peu. Un hackeur craque vos mots de passe, s'empare de vos données, accède à des photos intimes dont vous aviez vous-même oublié l'existence ou encore à votre compte en banque. Tout cela est dans les cordes de Youssef Sammouda, ce pirate informatique de 23 ans. Mais, heureusement pour vous, le Tunisien œuvre du côté des «gentils», assure-t-il à Blick.
Il est ce qu'on appelle un hackeur à col blanc, ce qui signifie qu'il n'exploitera pas ces vulnérabilités informatiques à des fins malveillantes. Bien au contraire: il les trouvera, et les corrigera.
Depuis le début de sa carrière, en 2015, le jeune expert a déjà découvert des failles informatiques de très grande envergure, la plupart chez Google ou Meta (maison de Facebook, Instagram et WhatsApp). C'est une véritable star dans son domaine: le bug bounty hunting.
Quésaco? Il s'agit d'un programme par lequel les grandes compagnies tech de ce monde mettent au concours la découverte des vulnérabilités informatiques dissimulées dans les longues lignes de code de leurs sites web. En échange: de très coquettes sommes.
Grâce à ce modus operandi, Youssef Sammouda a gagné 81'000 dollars pour un bug trouvé dans le code de Facebook. Interview.
Youssef, vous gagnez des sommes faramineuses en... hackant Facebook! Nous y reviendrons. Mais tout d'abord, comment devient-on hackeur éthique?
Il n'y a pas de chemin tout tracé. Mais je peux vous raconter comment j'y suis parvenu. Lorsque j'avais 16 ans, j'ai commencé par apprendre à programmer des applications web et mobile. Mais j'y ai rapidement constaté des failles et faiblesses informatiques. Je m'y suis intéressé davantage, en essayant de les exploiter et de les réparer. C'étaient les débuts de ma carrière de hackeur éthique.
Comment vous êtes-vous formé?
J'ai tout appris par moi-même. L'avantage de ne pas aller à l'Université, c'est que la quantité de savoir n'est pas limitée au cours donné, tout comme le temps passé à s'entraîner. Je peux également travailler d'où je veux. Actuellement, je vous parle depuis la Tunisie, mais je vais souvent au Canada, aux Etats-Unis, ou encore à Dubaï. Mais il faut être passionné, sinon, on n'y arrive pas. Aujourd'hui, je peux travailler en tant qu'indépendant pour toute entreprise qui a établi un bug bounty program en vue de débusquer d'éventuelles failles informatiques.
Quelle est la vulnérabilité informatique la plus incroyable que vous ayez trouvé?
C'était en 2020. J'ai décelé une faille qui me permettait d'avoir accès à tout type de données sur Facebook, sur son infrastructure, sur ses employés... ou ses utilisateurs. Concrètement, en exploitant cette vulnérabilité, j'avais accès à énormément d'informations ultrasensibles. Je pouvais par exemple lire les données des employés et les utiliser pour obtenir des privilèges au sein de l'entreprise. Je pouvais aussi obtenir des messages privés entre deux utilisateurs. Avec cette découverte, j'ai gagné 81'000 dollars (ndlr: environ 74'800 francs). Il s'agit de la plus grande récompense que j'ai reçue pour une unique faille jusqu'ici.
En parlant d'argent, combien gagnez-vous annuellement?
Ce ne sont pas des revenus réguliers, mais je gagne autour de 300'000 à 450'000 dollars par an (ndlr: de 277'100 à 415'700 francs par an). Cela me donne évidemment le luxe de pouvoir prendre souvent des vacances, mais je suis payé approximativement tous les deux à trois mois. Pour assurer mes arrières, j'essaie donc de trouver deux vulnérabilités par mois.
Vous et vos collègues ne pouvez pas trouver toutes les vulnérabilités, ce qui signifie que des failles persistent et risquent d'être exploitées par des acteurs malveillants. Doit-on s'en alarmer?
En tant que participant à leur bug bounty program, dans le processus, je peux dire que j'arrive après les chercheurs et ingénieurs en sécurité informatique des entreprises concernées, après leurs tests pour voir si tout fonctionne correctement. Cela veut dire que les hackeurs éthiques indépendants, dont je fais partie, travaillent sur les 10% de failles qui n'ont pas été débusquées jusqu'ici. Les vulnérabilités les plus complexes, donc. On ne peut bien sûr pas tout trouver, mais le système adopté par Meta et Google ainsi que leur méthodologie sont bien meilleurs qu'auparavant.
A quel point pourriez-vous vous-même être dangereux? Seriez-vous par exemple capable de hacker une banque?
Oui. Mais je ne le fais pas. Avec de grands pouvoirs viennent de grandes responsabilités. (Rire) J'œuvre uniquement en tant que hackeur éthique, comme je l'ai toujours fait. Si j'étais employé par la banque en question afin de déceler des failles informatiques, là, ce serais possible. D'ailleurs, les banques ont généralement des contrats avec des entreprises qui engagent des gens comme moi.
Pourquoi avoir choisi cette voie, au lieu de la voie facile des hackeurs malfaisants?
Bien sûr, un hackeur à col noir peut obtenir bien plus d'argent qu'un hackeur éthique. Mais je pense que le chemin que j'ai choisi est le plus simple. Si l'on parvient à voler de l'argent, il faut encore savoir le blanchir, ce qui n'est pas aisé: 90% du temps, les acteurs malicieux peuvent être traqués.