Les bilans de fin d’année le montrent, la période des petits virus qui se propagent sur Internet exploitant des failles des systèmes d’exploitation ou autres logiciels s’achève. Aujourd’hui, la sécurité informatique peut faire gagner de l’argent, et ceci par différents moyens :
- Par exemple, en découvrant une faille dans un logiciel, si possible avec un logiciel utilisé par beaucoup de monde, genre Word, Windows ou Java (JRE). Là vous avez deux possibilités pour avoir de l’argent :
- Soit vous êtes plutôt « black hat » (le mauvais coté de la force) et vous vendez sous le manteau votre découverte avec un proof-of-concept (POC) à un quelqu’un ou une organisation… c’est bien entendu illégal.
- Soit vous êtes plutôt « white hat » (le bon coté de la force), et vous vendez votre découverte + POC à une organisation officielle qui récolte les failles découvertes, par exemple iDefense ou Verisign. En contre partie, et en fonction de la criticité de la faille, vous aurez une prime qui commence à partir de 2000$ et jusqu’à 8000$.
- Ou bien en développant votre outil pour déverrouiller automatiquement un document censé être crypté. Comme par exemple le verrouillage d’Office, avec cet outil vendu 1500$ pour casser en quelques secondes la protection des documents Office.
- Un autre moyen, qui nécessite plus de patience : se faire reconnaître comme un expert (hacker) en sécurité, par exemple à travers la « diffusion responsable » de failles découvertes, via des listes comme Full-Disclosure. Ici pas de paiement en monnaie trébuchante, mais un CV meilleur. L’argent viendra ensuite à travers une activité professionnelle autour de la sécurité (voir les hackers célèbres).
- Et pour finir ces quelques exemples pour gagner de l’argent, il ne faut pas oublier le phishing… et oui, c’est à la mode et c’est illégal. Vous récupérez le compte d’accès à la banque en ligne (ou autres) de votre victime, puis vous transférez les fonds sur d’autres comptes…
Evidemment pour commencer à gagner de l’argent, il faut avoir une très bonne expertise en informatique. Tout le monde ne devient pas un hacker professionnel, mais là aussi, des outils viennent pour aider pour, par exemple, aider à la création de POC d’une faille ou automatiser l’exploitation de failles…
Une solution pourrait être d’installer sur son poste une des ses suites « sécurité » tout-en-un, tel que Norton ou McAfee le propose. Mais là, aussi une crise de confiance existe dans ces logiciels. En effet qui nous dit qu’ils sont dénués de failles ?
[Quelques pointeurs]