Salut,

je n'ai pas réussi à lire l'article. Plusieurs remarques :

C'est quasi impossible d'obtenir 1M€ au TJM. Ca fait du (1.000.000 €/ 218 jours =) TJM4600. C'est juste du délire.

Par contre, le mot clef, c'est le "bug bounty". C'est très rémunérateur, mais il y a beaucoup de travail en amont.

Sans pouvoir lire l'article, on parle de 1,6 million de CA sur 6 ans, pas par an ;-)
Après, le titre est accrocheur en disant qu'il "vise" 1 million 😜

Il faut des compétences très particulières, mais globalement, la cyber sécu est très porteuse en ce moment (et probablement sur les prochaines années aussi).

Encore un article à la c0n pour faire du sensationnel mais concrètement c'est 1Me brut sur 6 ans, ce qui fait un CA de 166ke de CA par l'équivalent d'un TJM de 750 euros environ ( même si je pense qu'il n'a pas de TJM, il est payé à la mission ).

p.s : je n'ai trouvé aucune société à son nom sur societe.com, mon petit doigt me dit que le fisc et l'Urssaf vont éplucher ses dernières déclarations sociales et fiscales.

Bonjour "Free-Worker-655133",

Il y a beaucoup de mythes et de légendes urbaines dans le domaine de la sécurité informatique et dans les écosystèmes de la (cyber)sécurité.

Pour rappel, ce que je vais inscrire ici, n'engage que moi.

Ce monsieur a 30 ans avec de fortes capacités dans le domaine (il a certainement étudié, appris, travaillé très dur pour en arriver à ce stade et dégusté beaucoup de malbouffe, si on en croit la photo du journal qui ne le met pas à son avantage). Ce n'est pas un inconnu dans le domaine.

Certes, pour décrocher la "timbale", il ne s'est pas inscrit sur les sites classiques de recherche de missions 😀 . Il y a d'autres lieux de rencontres plus judicieux pour exercer ce genre de tourisme.

@DevAndOps : ==> En six ans, son activité a généré 1,6 million d’euros, pas en une seule année, car il a dû "essuyer quelques plâtres avant" et ne pas manger à sa faim correctement tous les jours.

Pour avoir travaillé (et toujours travailler) dans les grands domaines de la sûreté, de la sécurité et de la (cyber)sécurité informatique au sens large du terme (militaire et civile), et pour avoir "donné" cinq années de ma jeune existence pour des "SRE", ce n'est pas de tout repos. Cela fait plus de 41 ans que je navigue dans ces "milieux" (le terme est correctement approprié) et ce monde mouvant a toujours eu des trajectoires extrêmement rapide. Ce genre de terrain peut être dangereux pour tout ceux qui ne regardent que le "fric".

Je ne connais que deux personnes en vrai/réel (deux amis de très longue date avec qui je "traîne" depuis quasi toujours dans ces steppes), qui actuellement sont capables de facturer une telle somme en TJM, ce n'est pas un secret, aux environs de 5200 euros/jour, sur 365/24/7). Pas d'inquiétude, Citoyen(ne)s, ils ne prennent quasi rien sur ce qu'ils "gagnent" car leurs valeurs éthiques professionnelles et personnelles leur dictent d'aider les autres qui sont dans le besoin. Ils ne le font pas pour eux mais pour accompagner les autres à s'en sortir (peu sont comme eux, ils n'ont pas le goût du lucre et c'est tout à leur honneur).

Leurs clients sont dans le monde entier, situés aux différents recoins de la planète. Les carnets de commandes sont pleins pour des périodes allant de 2 à 7 ans, souvent reconductibles. Ils sont rémunérés pour pénétrer les systèmes en partant de rien (blackbox = boite noire), à eux de "faire ce qu'il faut" ... et si ils franchissent toutes les étapes sans se faire repérer et déclencher un "sinistre" et bien, ce n'est pas bien pour le client et pour eux non plus ... le challenge intellectuel est énorme et abyssal ... La solution : imaginer un processus pour que eux-mêmes ne puissent plus revenir, ils deviennent alors des "combattants" contre eux-mêmes .... et ça fonctionne (un certain temps, et c'est précisé dans les contrats de prestations : une centaine de pages avec des clauses aussi tordues et claires que possible ... des grands noms de cabinets d'avocats d'obédiences internationales n'avaient jamais vu de tels contrats ... pire que les GAFAM et les autres réunis ... et traduits nativement en 96 langues et dialectes).

Ce n'est pas donné à tout le monde : de la sueur, des nuits blanches, des crampes, des "TOC", des "TMS", des jeûnes, des délires, des "borderliners", des troubles divers et variés, des voyages d'études, des rencontres "zarbi", des conversations "cheloues", des visites "surprises", des séjours "inconfortables", des heures hertziennes, filaires, spatiales, des soirées improbables avec des sommités en tous genres plus ou moins recommandables, des "hackatons" à n'en plus finir, des challenges abyssaux aux allures d'Iron Man en plein désert ... J'ai beaucoup appris à leur contact car ils sont avant tout HUMAINs.

Ils ne sont pas du tout médiatiques, au contraire, pour vivre "normalement", vivons cachés à la lumière du jour, comme Mr Tout-le-Monde ou Madame Michu, c'est-à-dire, comme une personne insignifiante, lambda.

La piste "Bug Bounty" (ou prime au bogue en français du Québec) n'est pas nouvelle en soi, elle existe depuis que l'électronique/informatique existe. Elle n'est devenue visible que par l'actualité et par une volonté française d'acteurs de la mouvance "cyber").

Une prime aux bogues (aussi appelée "chasse aux bogues" ; en anglais, bug bounty) est un programme de récompenses proposé par de nombreux sites web et développeurs de logiciel qui offre des récompenses aux personnes qui rapportent des bogues, surtout ceux associés à des vulnérabilités. Ces programmes permettent aux développeurs de découvrir et de corriger des bogues avant que les pirates informatiques et le grand public en soient informés, évitant ainsi des abus. Des primes aux bogues ont été mises en place par les sites internets Facebook, Yahoo!, Google, Reddit et l'entreprise de paiement mobile Square (qui a changé de nom pour Block en 2021).

Cela peut devenir rentable pour des équipes de chercheurs (Bug Bounty Hunter) car pour être sérieux, il faut disposer de puissances de calcul, de connaissances, de formations, de compétences et d'expériences "(very) high level" et peut se monnayer (attention, c'est très encadré, très surveillé, très contrôlé ... cela va au-delà de ce que l'on pourrait imaginer).

Les travers sont nombreux car le "Bounty" ne s'intéresse qu'aux technologies Web et au Cloud et à 99 % au logiciel. Le matériel est souvent ignoré et c'est souvent une source inépuisable de renseignements.

Au-delà de ces "trésors", les secteurs et domaines des écosystèmes sûreté/sécurité/(cyber)sécurité, qu'ils soient humains, matériels, logiciels, juridiques, éthiques, pénal, offrent des possibilités nombreuses à qui veut VRAIMENT s'investir en PROFONDEUR, à "se sortir les tripes ou le paquet à la Bigard" ... mais ne vous trompez pas de chemin ... prenez le bon et gardez votre "cap nautique", les lignes à ne pas franchir sont "border" et ne comptez pas "vous faire de l'argent facile à la Picsou", le marché réserve continuellement ses lots de surprises, et vous pouvez vous "ramasser" plus vite que vous ne grimpez à la corde à noeuds.

Pour terminer, pour les messieurs du développement, essayez-vous donc de coder, en Python uniquement (sans adjonction de bibliothèques graphiques - sinon, ce n'est pas drôle -), un analyseur de protocoles (anciens et nouveaux) industriels résistants aux tests "Common Criteria" EAL4+ de l'ANSSI et du Cyberscore A ... et si vous n'êtes pas familier du "Reptile bicolore de rocher", vous avez le choix du "C", du "C++", de l'Erlang" ou du "GO" (toujours sans adjonction de bibliothèques graphiques, mais en les créant dynamiquement en cas de besoin).. pour le fun, je l'ai tenté en Forth pour Mac (les capitales ne se sont pas construites en un jour 😅). Après cet exercice, vous pourrez peut-être dire, je commence à savoir réfléchir et coder moins salement.

Si vous avez des questions ...

Bien à vous,

Yanolezard

© Tous droits réservés - 2023 - Le Parisien

Oui, tu fais bien de préciser que tu n'avais pas le droit de le recopier ici intégralement. 🤣

Sur le fond, je rejoins les autres: le titre est très racoleur par rapport au contenu. Faire du bug bounty, c'est très très chronophage. Et, c'est toujours pareil, c'est comme au football, il y a les 10 stars et il y a les 10000 aspirants. Il y a des témoignages sur Youtube qui relativise beaucoup cette pratique.

Les mecs qui ont reçu 5000 euros (de CA, of course), parce qu'ils ont passé 20 nuits en white hat. Je ne dis pas que c'est pas bien. Je dis que c'est rémunéré correctement pour un IT. 🤔

Les americains sont toujours en avance sur le model économique. https://www.youtube.com/watch?v=dXKzST0FE-A