Bug bounty : la réalité ingrate que personne ne met en miniature

Le genre est bâti sur les captures de paiement. Cinq chiffres, un tweet de célébration, "comment j'ai gagné 20 000 $ en un week-end". Ce que vous ne voyez pas, ce sont les 200 heures des trois mois précédents qui ont rapporté une pile de doublons et d'informatifs. Les captures sont réelles. Elles sont aussi du biais du survivant avec un signe dollar dessus.

Le bug bounty fonctionne. C'est une voie légitime vers l'appsec et un vrai revenu pour certains. Mais la version vendue sur YouTube est le résumé des temps forts d'un marché d'une efficacité brutale, et y entrer en s'attendant au résumé des temps forts, c'est comme ça que la plupart des gens abandonnent au deuxième mois.

L'enfer des doublons est la règle, pas l'exception

Voilà ce que le contenu pour débutants minimise : vous êtes en concurrence avec un peloton mondial de chasseurs à plein temps dont l'automatisation ne dort jamais. Dès qu'un programme populaire élargit son scope ou qu'un nouvel actif apparaît, il est ratissé en quelques heures. Les fruits faciles, le XSS réfléchi, l'IDOR évident, le .git exposé, sont partis avant que vous ayez fini de lire la politique.

Alors vous soumettez votre premier vrai bug, vous en êtes fier, et il revient en "doublon". Puis une deuxième fois. Puis une troisième. Ce n'est pas de la malchance et ce ne sont pas les triagers qui sont injustes. C'est la réalité structurelle de la chasse sur les mêmes cibles bien éclairées que dix mille autres personnes. Le marché des bugs évidents sur les programmes célèbres est efficient, ce qui est juste du jargon économique pour "vous arrivez trop tard".

Les gens qui gagnent de l'argent ont généralement résolu ça de deux façons. Soit ils creusent une seule cible complexe jusqu'à la comprendre mieux que les chasseurs occasionnels, et trouvent des bugs qui exigent de vraiment comprendre la logique de l'application. Soit ils vont là où la foule n'est pas, programmes plus récents, actifs moins glamour, le genre de truc qui ne reçoit pas mille paires d'yeux le jour de son lancement. Les deux sont plus lents et moins fun que ce que suggèrent les vidéos, ce qui est exactement pour ça qu'ils paient encore.

Lire le scope est une compétence, et c'est la barbante

La moitié des rapports ratés que j'ai vus meurent sur le scope. Quelqu'un trouve un vrai bug sur un sous-domaine explicitement hors scope, ou sur un service tiers que le programme ne possède pas, ou c'est un risque connu et accepté listé dans une politique qu'il n'a pas lue. Le bug est réel. Il ne paie rien, parce qu'il est hors périmètre.

Lisez la politique comme un contrat, parce que c'en est un. Ce qui est dans le scope, ce qui est explicitement exclu, les notations de sévérité qu'ils utilisent, ce qu'ils considèrent totalement hors limites (souvent : tout ce qui est DoS, tout ce qui touche à l'ingénierie sociale, tout ce qui touche aux données d'un vrai utilisateur). Les chasseurs qui sont payés traitent le document de scope comme la page la plus importante du programme, pas comme le truc qu'on survole pour arriver aux cibles.

Et testez comme si quelqu'un vous regardait, parce que c'est le cas. Un scan automatisé contre une cible qui l'interdit vous fait bannir. Extraire plus de données utilisateur que nécessaire pour prouver le bug transforme un rapport propre en incident de confidentialité. "J'ai démontré l'impact" n'est pas une défense si la façon dont vous l'avez démontré a violé les règles d'engagement. Le moyen le plus rapide de cramer une réputation sur une plateforme, c'est d'être la personne incapable de rester dans le périmètre.

L'économie est plus dure que les captures

Faites les comptes honnêtement. Additionnez vos heures sur quelques mois, additionnez vos primes, divisez. Pour la plupart des débutants, le taux horaire est sinistre, souvent en dessous de ce que les mêmes heures rapporteraient à faire littéralement n'importe quoi d'autre dans la tech. La distribution est brutalement concentrée en haut : une poignée de chasseurs d'élite prend une part énorme du pool total de primes, et la longue traîne touche des petits paiements occasionnels entre de longues périodes sèches.

Ça ne le rend pas inutile. Les compétences sont réelles et elles se transfèrent directement vers un poste appsec salarié qui paie régulièrement et ne dépend pas du fait de gagner une course contre l'automatisation. Un bon profil de bug bounty est un vrai portfolio. Soyez juste honnête avec vous-même sur le jeu auquel vous jouez. Si vous avez besoin d'argent pour le loyer, c'est un emploi la réponse, et le bounty est le projet annexe. Si vous construisez des compétences et pouvez absorber la variance, chassez, mais suivez votre vrai taux horaire et ne laissez pas les captures de paiement définir vos attentes.

Les chasseurs dont on apprend vraiment quelque chose sont généralement francs sur tout ça. Ils montrent les doublons, ils parlent des mois secs, ils expliquent pourquoi un bug a été déclassé. Cette honnêteté, c'est le signal. Quiconque fait du contenu entièrement composé de primes à cinq chiffres vend la loterie, il n'enseigne pas le métier.