Vous êtes ici : Accueil / Info en Continu / High Tech / En Inde, les hackers éthiques face à un mur d'indifférence

En Inde, les hackers éthiques face à un mur d'indifférence

New Delhi (AFP) Mardi 30 Mai 2017

Diminuer le texte Taille par défaut Augmenter le texte
Imprimer Ajouter aux favoris Parler de cet article à un ami
Partager sur Facebook

Anand Prakash (au centre), Shashank (à droite) et Rohit Raj (à gauche), qui dirigent la société Appsecure India, à Bangolare le 26 mai 2017 (AFP/Archives-Manjunath KIRAN)

Lorsqu'il a alerté une compagnie aérienne indienne sur une faille de son site internet permettant d'acheter des billets d'avions sans payer, Kanishk Sajnani a attendu en vain une réaction de sa part.

Alors que l'Inde est le principal pourvoyeur au monde d'hackers éthiques - ces internautes qui cherchent des failles informatiques sur des sites pour toucher une récompense ("bug bounty") - leur travail reste largement dédaigné dans leur propre pays.

Les hackers éthiques, à la différence des cyber-escrocs, ne cherchent pas à exploiter leurs découvertes à mauvais escient ou pour leur propre compte.

Selon des statistiques du réseau mondial de hackers BugCrowd, la plupart des récompenses pour la découverte de bugs sont touchées par des Indiens. Au premier semestre 2016 ils étaient par exemple les premiers récipiendaires de rétributions de Facebook, qui a compris depuis longtemps l'intérêt de ces enquêteurs numériques.

Un hacker indien anonyme, qui se fait appeler "GeekBoy", a découvert plus de 700 vulnérabilités d'entreprises comme Yahoo!, Uber et Rockstar Games.

La majorité des hackers éthiques indiens sont de jeunes ingénieurs informatiques, produits de la délocalisation de la hi-tech dans ce pays de 1,25 milliard d'habitants, un secteur qui pèse plus de 150 milliards de dollars.

"Dans beaucoup de cas, les gens qui élaborent les logiciels comprennent aussi comment ils peuvent être cassés", explique à l'AFP Michiel Prins, cofondateur du registre HackerOne.

- 350.000 dollars de récompenses -

Au "Windows AppFest", un marathon de développement informatique de 18 heures organisé par Microsoft, à Bangalore le 21 septembre 2012 (AFP/Archives-Manjunath Kiran)

Si les géants mondiaux de l'internet et les multinationales utilisent de longue date ce vivier de talents, très peu d'entreprises indiennes ont des programmes de "bug bounty".

Au contraire, elles traitent les informations des hackers avec indifférence, ou même suspicion.

Ingénieur en sécurité informatique de 23 ans, Anand Prakash a gagné 350.000 dollars en émoluments pour avoir mis à jour des vulnérabilités de systèmes.

Lorsqu'il a signalé un bug à Facebook, le réseau social de Menlo Park lui a répondu aussitôt. Le lendemain, 12.500 dollars atterrissaient sur son compte.

"Mais ici en Inde, l'email est ignoré la plupart du temps", déplore ce fondateur de la firme de cybersécurité AppSecure India, basée à Bangalore (sud).

"J'ai connu de nombreuses situations où j'ai reçu un courriel menaçant de leurs avocats disant +Pourquoi êtes-vous en train de hacker notre site ?+", raconte-t-il.

Kanishk Sajnani, 21 ans, a hacké une dizaine de sociétés indiennes. Une seule lui a offert une récompense, promesse vite oubliée aussitôt les bugs réparés.

"C'est très énervant de ne pas recevoir la reconnaissance due, ou que les entreprises ne montrent aucune gratitude après que vous avez essayé de les aider", confie à l'AFP cet étudiant d'Ahmedabad (ouest).

- Mea culpa -

La réticence des sociétés indiennes à travailler avec des hackers a provoqué un spectaculaire retour de bâtons, forçant les entreprises à repenser leur attitude envers la cybersécurité.

Ce mois-ci, le site de restauration Zomato, présent dans 23 pays, s'est trouvé dans l'embarras lorsque les données de 17 millions d'utilisateurs ont été subtilisées par un hacker utilisant le pseudonyme de "nclay".

Des ingénieurs informatiques à l'Institut indien de technologie de Bombay, le 26 juin 2012 (AFP/Archives-PUNIT PARANJPE)

Ce dernier a menacé de vendre les données à moins que Zomato, start-up valorisée à des centaines de millions de dollars, ne récompense l'honnêteté des hackers éthiques autrement qu'en leur délivrant un certificat.

"S'ils versaient de l'argent aux gens biens, peut-être que +nclay+ leur aurait signalé la faille et gagné de l'argent de manière régulière", estime Waqas Amir, fondateur du site de cybersécurité HackRead.

Cet incident a une résonance particulière pour Anand, l'ingénieur de Bangalore. Il y a deux ans, il s'était introduit dans la base de données de Zomato. S'ils l'avaient écouté à l'époque, "ils ne se seraient pas fait pirater en 2017", estime-t-il.

Dans un rare mea culpa, Zomato a accepté de lancer un programme de "bug bounty" pour les hackers éthiques et encouragé d'autres entreprises à faire de même. "Nous aurions dû prendre cela plus au sérieux auparavant", a reconnu auprès de l'AFP une porte-parole de Zomato.

Tous droits de reproduction et de représentation réservés. © 2017 Agence France-Presse.
Toutes les informations (texte, photo, vidéo, infographie fixe ou animée, contenu sonore ou multimédia) reproduites dans cette rubrique (ou sur cette page selon le cas) sont protégées par la législation en vigueur sur les droits de propriété intellectuelle. Par conséquent, toute reproduction, représentation, modification, traduction, exploitation commerciale ou réutilisation de quelque manière que ce soit est interdite sans l’accord préalable écrit de l’AFP, à l’exception de l’usage non commercial personnel. L’AFP ne pourra être tenue pour responsable des retards, erreurs, omissions qui ne peuvent être exclus dans le domaine des informations de presse, ni des conséquences des actions ou transactions effectuées sur la base de ces informations. AFP et son logo sont des marques déposées.