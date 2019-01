Sous des aspects séduisants, méritocratique, médiatisé, moderne et ouvert à tous, les « bug-bounty » ont de nombreux défauts et des voix se font entendre pour questionner leur effet sur le marché du travail.

Le MIT Press, dans son ouvrage collaboratif, New Solutions for Cybersecurity, paru il y a un an, mettait en avant la question souvent oubliée des disparités de récompenses dans les bug-bounty. Avec des outils d’analyse sociologique et économique, l’article Fixing a Hole : The Labor Market for Bugs montrait comment ces concours organisés par des entreprises pour sécuriser leurs solutions grâce à la participation de milliers de hackers avait vu émerger une classe très précarisée de tâcherons du code dont les revenus perçus au sein de ces événements ne sauraient constituer un salaire.

16 000 dollars par an pour un bug par mois

Analysant une soixantaine d’événements bug-bounty organisés par le géant du secteur HackerOne pendant presque deux ans, et le programme de bounty de Facebook pendant 45 mois, les chercheurs ont mis en avant d’extrême disparités. Selon leur conclusion, moins de 1 % des participants aux concours remporterait la vaste majorité des récompenses. En suivant des profils de hackers doués et polyvalents, les auteurs les ont retrouvés dans les meilleurs participants de différents bounty sur la plateforme HackerOne.

Sur 650 hackeurs, 339 n’a découvert qu’un seul bug

En deux ans, la startup a distribué au nom de Slack, Square ou encore Twitter, plus d’un million de dollars pour la découverte de 2 177 bugs. Seulement, sur 650 participants, 45 ont découvert plus de dix bugs récompensés, quand la majorité des participants, 339, en a découvert un seul en presque deux ans. Parmi ces 45 participants doués et récompensés, les auteurs ont compté que ces derniers avaient gagné sur la durée de l’étude 16 544 dollars en trouvant, en moyenne, 1,17 bug par mois.

En reprenant dans le détail cette étude, la firme de cybersécurité Trail of Bits — qui a intérêt à questionner les bug bounty puisqu’elle offre des solutions de détection de bugs en formule aux entreprises, sans recourir à des concours –, montre que cette élite des bounty est mal payée pour les standards de l’industrie, voire même des standards occidentaux quand la grande majorité des participants n’est pas ou peu récompensé.

Le système méritocratique des événements, avance la firme, serait décourageant pour les meilleurs comme pour les autres : les premiers ne gagnent pas suffisamment pour s’investir pleinement et les seconds peuvent être découragés de persévérer et n’apportent pas de contribution significative.

Conte de fées méritocratique

Trail of Bits espère remettre en question les illusions des bug-bounty offrant à ceux qui y recourent une exposition médiatique méliorative et un processus un peu trop parfait : des milliers de personnes regardent un code, et les plus méritants repartent avec les récompenses. Sur le papier, le bug-bounty apparaît comme infaillible : « C’est plaisant de penser qu’il y a 300 000 paires d’yeux qui scrutent votre code, écrit la firme, mais ce nombre inclue des comptes fantômes et des personnes qui ne vont jamais découvrir le moindre bug ».

Les « petits » participants, notamment sur HackerOne, seraient souvent issus de pays émergents — des yeux venus d’Inde notamment — et des étudiants en université. Leur travail dans le cadre des bounty, rarement récompensé, ne saurait devenir un salaire. Il n’y aurait pas là de conte de fées méritocratique : les plus récompensés dans le bounty, sont souvent déjà des employés de l’industrie de la cybersécurité et, dès lors, souvent plus éduqués voir… occidentaux.

Cette analyse n’est naturellement pas partagée par Marten Mickos, patron d’HackerOne, qui auprès du Register, rappelle que si les meilleurs chasseurs de bug sont plus productifs que les autres, les nouveaux venus « grimpent rapidement dans les rangs ». « Au sein d’un système méritocratique, juge Marten Mickos, les opportunités sont illimitées pour celui qui vient avec des compétences et de la volonté ». Reste la question pour les entreprises clientes de ces concours de l’efficacité : par delà le cachet d’image engrangé par une marque, l’argent investi dans ces concours donne-t-il les mêmes résultats en matière de sécurité et de maintenance que, imaginons, l’embauche à temps plein d’une équipe compétente ?

