Internet est en permanence scruté par des utilisateurs malveillants à l’affût de vulnérabilités à exploiter. Pour les contrer, près d’un demi-million de hackers et autres experts en sécurité informatique s’emploient eux aussi à débusquer les failles dans les logiciels à travers une plateforme telle que HackerOne sur laquelle entreprises et grands éditeurs leur proposent des programmes de chasses aux bugs. A la clé des récompenses financières sont proposées qui peuvent s’avérer très élevées suivant la criticité des problèmes détectés. Pour étendre son modèle et sa portée internationale, la plateforme HackerOne vient elle-même de lever 36,4 millions de dollars dans un tour de table de série D conduit par Valor Equity Partners. Les investisseurs déjà engagés dans la société, dont Benchmark, New Enterprise Associates, Dragoneer Investement Group et EQT Ventures, ont également participé à ce financement, qui porte à 110 millions le total des fonds levés par la plateforme depuis sa création.
HackerOne compte aujourd’hui 250 collaborateurs et 1 500 clients, grandes entreprises ou éditeurs de logiciels. Parmi ces derniers, Google vient par exemple d’élargir le périmètre de son programme de bug bounty sur les apps de sa boutique Play, et Facebook a lancé en août un programme autour de son projet de cryptomonnaie Libra. « Nous avons bâti une énorme communauté de hackers et fourni des pistes de progression pour les plus talentueux et les plus engagés », écrit Mårten Mickos, CEO de HackerOne dans un billet. « Nous allons affiner encore ce modèle et leur améliorer encore les opportunités pour apprendre, relever des défis pour la bonne cause, avec des récompenses importantes en cas de réussite », ajoute-t-il affirmant que de plus en plus de pentesters et autres experts en sécurité s’enregistrent sur la plateforme.
Des services à créer et une expansion à l'international
HackerOne a construit une infrastructure de données et monté une équipe de data science. « Lorsque vous mettez des data scientists et des experts en vulnérabilités dans la même pièce avec la plus grande base de données mondiale d’informations utiles sur les vulnérabilités, vous pouvez extraire des idées et des renseignements précieux à exploiter », pointe Mårten Mickos en expliquant que ces innovations seront mises à profit dans les programmes et pourront déboucher sur des services entièrement nouveaux.
Enfin, la levée de fonds va également aider la plateforme à étendre sa présence internationale. Elle est pour l’instant fortement implantée aux Etats-Unis, au Royaume-Uni, aux Pays-Bas et à Singapour, avec des collaborateurs dans d’autres pays. D’autres bureaux vont être ouverts pour s’ouvrir à d’autres clients et d’autres chercheurs en sécurité. Pour les spécialistes en cybersécurité les plus activement impliqués sur la plateforme dans la recherche de bugs critiques dans les logiciels, la moisson de récompenses peut être lucrative. HackerOne annonçait cet été qu’un 6ème hacker inscrit sur son site avait dépassé le million de dollars en indemnités reçues depuis le début de cette année. La société a été créée en 2012 par les Néerlandais Michiel Prins et Jobert Abma avec leur compatriote Merijn Terheggen, implanté dans la Silicon Valley, et Alex Rice, responsable de la sécurité produit chez Facebook, ainsi que l'a relaté il y a quelques années le New York Times.