Hacker Report 2021 : le hacking éthique monte en puissance
mar, 09/03/2021 - 15:16
HackerOne vient de dévoiler son rapport annuel Hacker Report 2021, qui donne les dernières tendances en matière de hacking éthique. Ce rapport révèle une augmentation de 63 % du nombre de hackers qui soumettent des rapports de vulnérabilités, soulignant une croissance plus que soutenue des pratiques de sécurité collaborative dans le monde. S’appuyant sur une enquête réalisée auprès de la plus grande communauté mondiale de hackers (qui compte à ce jour plus de 13 000 hackers français), ce rapport fournit de précieuses indications sur le profil des hackers, leurs motivations, leurs perspectives de carrières ainsi que les différentes méthodes de collaboration avec les équipes de sécurité des organisations.
A mesure que les surfaces d'attaque évoluent en raison de la transformation numérique soudainement accélérée par la pandémie, les hackers ont su s’adapter aux nouvelles menaces émergentes. Les rapports de vulnérabilités en lien avec les dernières tendances comme la migration vers le cloud se sont multipliés et ont révélé que les vulnérabilités liées à de mauvaises configurations ont augmenté de 310 %.
Voici quelques conclusions majeures révélées dans le Hacker Report 2021 :
- L’argent n’est pas la principale motivation des hackers éthiques, 85% d’entre eux le font pour se former, 62% s’en servent comme tremplin pour leur carrière et 33% ont déjà mis à profit leurs compétences en hacking pour obtenir un emploi dans la sécurité.
- Le hacking éthique est une pratique populaire auprès de la Génération Z, 55% de la communauté de hackers ayant moins de 25 ans.
- 35% des hackers ont un job à temps plein en parallèle.
- 38% des hackers admettent avoir beaucoup plus pratiqué depuis le début de la pandémie de COVID-19.
- Les hackers les plus expérimentés signalent en moyenne des bugs dans 20 catégories de vulnérabilité différentes, avec une augmentation de 53 % des demandes de contrôle d'accès abusif et d'escalade de privilèges.
- Un hacker sur deux a déjà fait le choix délibéré de ne pas signaler une vulnérabilité qu’il a pourtant détectée, le plus souvent en raison de l’absence d’une procédure de signalement claire ou d’une mauvaise expérience par le passé.
- Les hackers élargissent leur périmètre d’intervention à diverses technologies en se spécialisant aussi bien dans l'IoT, les API que dans les applications Android.
- La communauté de hackers HackerOne a remporté plus de 40 millions de dollars de primes en 2020, ce qui fait un total de plus de 100 millions de dollars de revenus générés par la communauté HackerOne à ce jour.
"Le Hacker Report 2021 démontre l’étendue des connaissances sur les vulnérabilités que les hackers peuvent apporter à un programme de sécurité", a déclaré Jobert Abma, cofondateur de HackerOne. "Nous observons une augmentation considérable du nombre de vulnérabilités signalées, toutes catégories confondues, ainsi qu’un fort développement de hackers éthiques spécialisés dans une plus grande variété de technologies. Alors qu’un certain type de vulnérabilités communes faciles à détecter et à corriger sont en déclin progressif, nous constatons que les hackers redoublent de créativité dans leurs méthodes de recherche et de détection de nouveaux vecteurs de menaces. Chaque fois qu'un hacker relie plusieurs vulnérabilités de faible gravité pour aider un client à éviter une brèche, ou trouve un contournement unique à un correctif logiciel, il prouve que les machines ne dépasseront jamais vraiment l'humain.”
Voici quelques observations exclusives qui ne figurent pas dans le rapport :
- Seuls 25 % des hackers déclarent que la pandémie a eu un impact négatif sur leur capacité exécuter des programmes de bug bounty.
- 34% ont déclaré avoir participé à plus de programmes de bug bounty suite à la transformation numérique accélérée par la pandémie.
- 24% ont déclaré avoir concentré leurs efforts et leurs pratiques de hacking sur le secteur de la santé depuis le début de la pandémie.
- 49% déclarent que les surfaces d'attaque gagnent en robustesse à mesure que les vulnérabilités de faible ampleur sont détectées et corrigées.
- 26% admettent qu'il est de plus en plus difficile de détecter des bugs.
- Seuls 19% admettent qu'il devient plus facile de détecter des bugs.
Comment les hackers se forment-ils ?
- 57% des hackers éthiques sont autodidactes.
- 24 % se sont formés par le biais de ressources en ligne comme les blogs et les vidéos.
- 6% se sont formés via la plateforme Hacker101.
- Seulement 5% ont bénéficié de cours ou de certifications.
Le rapport Hacker Report 2021 peut être consulté dans son intégralité ici.