Comment devenir un hacker "blanc" : l'histoire d'un développeur

Luke est un hacker professionnel, mais il travaille en toute légalité. Dans son blog sur Medium, il nous a raconté comment il a obtenu ce travail si inhabituel.

Laissez-moi deviner - vous aimez les films d'espionnage depuis que vous êtes enfant. Vous n'étiez pas particulièrement intéressé par vos études, mais vos notes étaient correctes. Tu étais celui qui apprenait le plus vite. Et depuis que vous êtes jeune, vous êtes attiré par les ordinateurs. Quelque chose en vous voulait faire partie de la communauté des hackers, mais vous saviez que vous étiez une bonne personne et que vous ne vouliez pas gâcher la vie des autres ou finir en prison.

Alors, que faites-vous, demandez-vous. La réponse est de devenir un hacker "blanc" afin de pouvoir faire toutes ces choses illégales sans risquer la prison, mais en gagnant de l'argent.

Je tiens à vous prévenir tout de suite - je ne suis pas un expert. Je n'ai pu obtenir qu'une seule fois un emploi légitime de pirate informatique (et j'en ai toujours un). Mais j'ai beaucoup travaillé dans d'autres secteurs informatiques, en rêvant de me lancer dans la sécurité. J'ai fini par parler à beaucoup de gens et par lire beaucoup d'informations utiles.

Il n'existe pas de méthode unique pour obtenir votre premier emploi dans le domaine de la sécurité de l'information. Récemment, le hashtag #MyWeirdPathToInfosec a été lancé sur Twitter, où vous avez pu lire les histoires de différentes personnes sur la façon dont elles sont entrées dans ce domaine. Ils étaient complètement différents - certains avaient été en prison (ce qui n'est pas la meilleure option), d'autres avaient été musiciens auparavant, d'autres encore ont trouvé un emploi dès la sortie de l'université, d'autres enfin se sont vus offrir un emploi après avoir piraté une entreprise et raconté comment ils avaient procédé (je ne recommande pas non plus cette option).

La clé est de regarder autour de soi - les opportunités de carrière viennent souvent des endroits les plus inattendus.

Mon parcours dans la cybersécurité


Je me souviens de ma première expérience de "piratage". J'avais environ dix ans et j'apprenais à sauvegarder des pages web en local. Je suis allé sur la page d'accueil de Google, je l'ai téléchargé et je l'ai édité dans le Bloc-notes pour qu'il contienne le texte "Luke était là !". Lorsque j'ai ouvert la page éditée, j'étais ravi. Je pensais avoir trompé Google. Je pourrais juste attendre que les agents du FBI commencent à frapper à la porte. Peut-être que je devrais le dire à mes parents avant qu'ils ne le découvrent. 

A mon époque, il n'y avait pas de sites avec des défis pour les hackers. Il n'y avait presque aucune information à l'époque, du moins pas beaucoup que j'ai pu trouver. Ma première source d'information sur le piratage était un site Web de Carolyn Meinel intitulé "The (mostly) Secure Hacking Handbook". Les guides ont été tapés dans la police Comic Sans, qui est considérée comme un signe de mauvais goût par les designers des années 90 et 90. Parmi eux figuraient des classiques tels que "Telnet : l'outil de piratage ultime" et "Comment pirater avec Windows XP Partie 1 : la magie du DOS". Vous pouvez toujours les trouver sur le site.

Après mon diplôme, j'ai trouvé un emploi dans l'informatique, j'ai commencé à étudier l'informatique, j'ai presque terminé mes études, mais j'ai été renvoyé. Ensuite, je suis devenu major en musique et j'ai commencé à travailler comme musicien. J'ai travaillé sur des bateaux de croisière pendant quelques années, puis j'ai rencontré ma future femme, je suis allé au Royaume-Uni, je me suis marié, je suis revenu en Australie et j'ai trouvé un emploi de développeur web.

Pendant tout ce temps, mon amour du piratage n'a jamais faibli. Je n'ai jamais vraiment aimé le développement. J'avais un excellent travail avec des collègues formidables, mais il ne suscitait aucune émotion chez moi. Un jour que je travaillais sur un projet lié au commerce électronique et aux informations sensibles, mon patron m'a suggéré de suivre un cours sur la sécurité des données. J'ai écrit au PDG de l'agence locale de cybersécurité et lui ai demandé quels cours il pouvait recommander. Il m'a suggéré de passer la certification OSCP, ce que j'ai fait.

C'était probablement le tournant de ma carrière. Il m'a fallu deux mois pour apprendre. et tout mon temps libre était consacré à l'étude de l'art du hacking. Même lorsque j'étais fatigué, je ne pouvais pas dormir la nuit car mon cerveau ne pouvait s'arrêter de penser aux tâches à accomplir. C'est alors que j'ai compris que c'était le piratage, et non le développement, qui allait devenir mon métier.

Un mois ou deux après avoir passé l'OSCP, j'ai réussi le défi de piratage en ligne et j'ai obtenu mon premier emploi dans une agence de cybersécurité grâce à un recruteur qui avait publié l'offre.

Mais assez parlé de moi. Voici quelques conseils sur ce que vous devez faire pour obtenir un emploi de hacker.

Travailler activement en réseau avec la communauté des hackers "white-hat".
Contribuez aux outils à code source ouvert, écrivez les vôtres, enregistrez des podcasts, participez aux rassemblements de hackers et discutez avec les gens sur Twitter. Vous apprendrez beaucoup et rencontrerez toute une communauté de personnes amicales et intelligentes qui pourront vous aider.

Écrivez aux personnes que vous respectez.


Vous connaissez peut-être quelqu'un qui occupe le poste de vos rêves. Écrivez-leur et découvrez comment ils y sont parvenus. Au pire, vous serez ignoré, au mieux, vous aurez un mentor et obtiendrez des conseils importants qui peuvent changer votre vie.

 

Mériter votre confiance


Vous pouvez avoir toutes les qualifications de piratage du secteur, mais si vous parlez avec enthousiasme de certaines des pratiques commerciales illégales que vous avez mises en œuvre lors d'un entretien d'embauche, personne ne prendra le risque de vous engager. La communauté white-hat travaille souvent avec des informations top secrètes. Les employeurs et les clients doivent donc vous faire confiance.

Si vous ne pouvez pas répondre à une question technique lors d'un entretien d'embauche, il est préférable de dire "Désolé, je ne sais pas, mais je chercherai la réponse plus tard" plutôt que d'essayer de bluffer. Le recruteur vous découvrira, et il a besoin d'un employé honnête. De nos jours, les professionnels de la cybersécurité ne sont pas nombreux et les entreprises peuvent embaucher une personne peu expérimentée si elle a la bonne attitude et le bon état d'esprit. Pour un tel employé, une formation complémentaire en compétences techniques est simplement dispensée par la suite.

Obtenir une certification


Pour être honnête, de nombreuses certifications dans le secteur du piratage ne sont pas révélatrices de compétences techniques. Cependant, le fait de les avoir augmente vos chances d'être embauché. Les certifications montrent que vous êtes intéressé par le secteur et que vous avez consacré du temps et de l'argent pour améliorer vos connaissances.

Participer à des défis


Essayez-en quelques-uns chez HackerOne, BugCrowd, hackthebox.eu. Et assurez-vous de mettre vos réussites sur votre CV. De l'extérieur, ces défis peuvent ressembler à un jeu, mais les relever montre que vous vous intéressez à votre entreprise et que vous avez des compétences.

N'ayez pas peur des recruteurs
Les recruteurs ont la mauvaise réputation d'appeler constamment et d'utiliser des méthodes rusées pour obtenir les bons contacts. Mais tous les recruteurs ne sont pas comme ça. Trouvez-en un bon, avec les bonnes connexions. En particulier, vous devriez chercher quelqu'un qui se spécialise dans le secteur de la sécurité de l'information. Il est fort probable que le recruteur informatique moyen ne connaisse pas les bonnes personnes.

Orientez votre travail actuel dans la bonne direction


Êtes-vous un développeur ? Trouvez un bogue dans l'application que vous développez, montrez-le à votre patron et demandez des tests de sécurité plus sérieux. Êtes-vous un administrateur système ? Trouvez une vulnérabilité dans votre réseau (vous saurez où la chercher), signalez-la à votre patron et demandez-lui d'effectuer des tests supplémentaires. Quel que soit votre métier, vous pouvez vous forger une réputation de spécialiste local de la sécurité.

Vous pouvez désormais dire sur votre CV ou lors d'un entretien que vous étiez un spécialiste de la sécurité, même si votre titre officiel était "développeur". Vous pouvez également mentionner dans la colonne "responsabilités" que vous avez effectué des tâches de sécurité.