Hackers : 4 voies pour rejoindre la Yogosha Strike Force

Les chercheurs en sécurité peuvent à présent intégrer la Yogosha Strike Force (YSF) via quatre voies de sélection, basées sur les compétences, la réputation, les certifications ou la cooptation.

Dès le début de l’aventure Yogosha en 2015, nous avons fait le pari de réunir la crème des chercheurs en sécurité au sein d’une communauté privée, sélective et internationale.

• Privée, car accepter tout le monde serait accepter n’importe qui.
• Sélective, car sans épreuves, comment prouver l’expertise ?
• Internationale, car le talent ne connaît pas les frontières.

Ce groupe d’experts, c’est la Yogosha Strike Force. C’est elle qui nous différencie de la plupart des autres plateformes, dont les communautés sont libres et ouvertes à tous – cf. Bug Bounty : les différences entre plateformes publiques et privées.

Aujourd’hui, la YSF compte plus de 800 chercheurs en sécurité actifs chaque mois. 800 profils à l’identité vérifiée, et soigneusement sélectionnés à travers une série de tests techniques et pédagogiques. Ils sont au cœur même de notre activité : sans eux, pas de vulnérabilités découvertes, et pas de Yogosha. À ces 800 experts, nous disons un merci sincère.

Un processus de sélection exigeant mais nécessaire

Mais cette volonté de ne recruter que les meilleurs éléments vient à un prix : celui du temps.

Chez Yogosha d’abord, où une personne se charge de créer tous les tests de sélection, différents à chaque session, et de passer en revue les performances de chaque candidat. Au moins 30 par semaine depuis plus de 8 ans, ça en fait des writeups à lire !

Ensuite, ce processus de sélection demande beaucoup de temps aux chercheurs eux-mêmes. Pour passer les épreuves bien entendu, mais aussi avant, puisque la liste d’attente peut parfois s’étendre sur quelques semaines en fonction du nombre de candidats et de nos besoins en nouveaux hunters.

Après 8 ans, force est de constater que nous devons passer à la vitesse supérieure, et explorer de nouveaux processus de sélection. Mais deux questions se posent :

1. Comment accepter plus de chercheurs dans nos rangs sans sacrifier notre niveau d’exigence ?
2. Comment accélérer le processus de sélection des chercheurs sans altérer la valeur de nos tests d’entrée ?

Après y avoir longtemps réfléchi, voici nos conclusions.

Quatre voies pour rejoindre la Yogosha Strike Force

Désormais, tous les chercheurs en sécurité auront quatre possibilités pour rejoindre la Yogosha Strike Force, contre une seule auparavant.

1. Skills : Nos tests de sélection historiques, à savoir une série d’examens techniques et rédactionnels.
2. Réputation : Un accès coupe-file pour les hackers du Top 50 All-Time des autres plateformes.
3. Certifications : Un accès coupe-file sur justification de certaines certifications reconnues en matière de cybersécurité.
4. Cooptation : Les meilleurs chercheurs de la YSF (Top 50) peuvent désormais coopter leurs compagnons de hack.

Avec ces nouvelles façons de rejoindre la YSF, nous nous réjouissons de pouvoir accueillir davantage d’experts tout en conservant le niveau d’excellence qui fait notre différence.

Voie n°1 : Skills – Les épreuves de sélection

C’est la méthode traditionnelle pour rejoindre la YSF, celle que nous avons toujours eue. Une série de tests techniques et rédactionnels, plutôt exigeants puisque seuls 10% des candidats en moyenne les réussissent.

Comment passer les tests ?

Le processus pour passer les tests reste inchangé :

1. Inscrivez-vous sur la plateforme Yogosha.
2. Complétez votre profil afin que nous puissions mieux vous connaître.
3. Demandez à passer les tests de sélection en cliquant sur le bouton “Rejoindre la communauté Yogosha”.
4. Vous êtes alors placé sur liste d’attente. Notre équipe vérifie la légitimité de votre candidature. Cette étape peut prendre jusqu’à deux semaines en fonction du nombre de demandes et de notre besoin actuel en nouveaux chercheurs.
5. Si votre candidature est acceptée, vous accédez au processus de sélection. Une nouvelle section apparaît dans votre profil : KYC et Paiement. Ces champs nous permettent de valider votre identité – toutes les nationalités sont les bienvenues mais un passeport est requis – et vos informations fiscales afin que vous puissiez être payé via notre plateforme.
6. Un membre de notre équipe vous invitera à passer les tests. Nous organisons généralement une session par semaine. Après avoir accepté l’invitation, vous aurez 5 jours pour compléter les tests techniques et rédactionnels.
   1. Si vous n’êtes pas sélectionné, vous pouvez demander à repasser les épreuves après un délai minimum d’un mois. Les tests sont différents pour chaque session afin d’éviter toute tricherie.
   2. Si vous réussissez les tests, bienvenue dans la Yogosha Strike Force !

Voie n°2 : Réputation – Un accès direct pour les chercheurs des Top 50 All-Time

La grande majorité des plateformes concurrentes sont publiques. Autrement dit : tout un chacun peut se créer un compte de chercheur – débutant comme confirmé – et accéder à un certain nombre de programmes de bug bounty.

Ne nous faites pas dire ce que nous n’avons pas dit : il y a d’excellents chercheurs sur les plateformes publiques, mais tous les chercheurs ne sont pas excellents. L’absence de sélection fait que le niveau moyen d’expertise y est disparate. Les script-kiddies et les débutants y côtoient des chercheurs expérimentés, dont certains font partie de l’élite mondiale.

Pour autant, se hisser au sommet du classement des plateformes publiques n’est pas une mince affaire. Les chercheurs sont nombreux et la concurrence est rude. Seuls les meilleurs éléments parviennent à se frayer un chemin jusqu’aux podiums ; il n’est d’ailleurs pas rare de croiser les mêmes pseudonymes dans les classements des différentes plateformes. Dès lors, il semble un peu superflu de leur demander de passer des tests pour prouver leur expertise, alors que leurs profils publics parlent d’eux-mêmes.

Aussi, tous les chercheurs qui font partie du Top 50 All-Time d’une plateforme de bug bounty peuvent demander à rejoindre la Yogosha Strike Force sans passer nos tests de sélection. Nous nous réservons néanmoins le droit de refuser l’entrée sans plus d’explications si le profil du chercheur ou la qualité de la plateforme en question ne nous semble pas suffisamment convaincants.

Comment prouver mon appartenance à un Top 50 All-Time ?

Eh bien c’est simple :

• Inscrivez-vous sur la plateforme Yogosha.
• Complétez votre profil afin que nous puissions mieux vous connaître – bio, réseaux sociaux, etc. La vérification de l’identité (KYC) à l’aide d’un passeport est obligatoire.
• Envoyez un email à [email protected] :
  • en précisant le pseudonyme de votre compte nouvellement créé ;
  • en fournissant un lien ou une autre preuve de votre appartenance au Top 50 d’une autre plateforme.
• Quelqu’un vous répondra dans les plus brefs délais pour confirmer votre intégration à la Yogosha Strike Force.

Voie n°3 : Certifications – Un accès direct sur la base de certaines certifications en cybersécurité

Les professionnels de la sécurité le savent bien : toutes les certifications ne se valent pas, pas plus qu’elles ne reflètent l’expertise réelle de leurs détenteurs. Certains chercheurs juniors sont bardés de certifications obtenues en deux semaines, là où de vieux loups de mer de la cybersécurité n’en ont aucune.

Mais s’il ne faut pas accorder un crédit aveugle aux certifications, il est tout aussi absurde de les rejeter en bloc. Certaines jouissent d’une notoriété méritée, et témoignent d’un niveau d’expertise minimum de leurs titulaires.

Aussi, il est désormais possible de rejoindre la Yogosha Strike Force sur présentation de certaines certifications reconnues en matière de cybersécurité. L’authenticité des documents sera vérifiée, et l’expertise réelle des chercheurs observée lors de leurs premiers rapports.

Ceci étant dit, chez Yogosha, nous attachons une grande importance à la qualité des services que nous fournissons à nos clients. Pour maintenir nos standards élevés, nous nous réservons donc le droit d’exclure de la Yogosha Strike Force les chercheurs qui possèdent les certifications appropriées mais qui ne se montrent pas à la hauteur des attentes. Il va de soi que nous ne parlons pas ici d’inactivité ou de rapports rejetés ou dupliqués, mais bien de comportements peu professionnels ou de la soumission répétée de rapports de pauvre qualité.

Quelles sont les certifications qui permettent de rejoindre la YSF ?

Voici les certifications qui permettent de rejoindre la Yogosha Strike Force :

• OffSec Experienced Pentester (OSEP)
• OffSec Web Expert (OSWE)
• Offensive Security Exploitation Expert (OSEE)
• GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
• GIAC Cloud Penetration Tester (GCPN)
• eLearnSecurity Web Application Penetration Tester eXtreme (eWPTX)
• Practical Network Penetration Tester (PNPT)
• Toutes les certifications CREST (liste complète ici)

Par ailleurs, précisons que certaines certifications sont un prérequis pour participer à certaines de nos opérations hors bug bounty, telles que certains pentests sur des environnements particulièrement sensibles. Ces missions ne sont proposées qu’aux chercheurs disposant d’un CV approprié, c’est pourquoi il est important d’indiquer vos certifications et qualifications dans votre profil YSF.

Voie n°4 : Cooptation – Un accès sur recommandation de nos meilleurs chercheurs

Nous avons la plus grande confiance en nos meilleurs membres, qui ont depuis longtemps prouvé leur expertise et leur professionnalisme. En témoignage de notre estime, nous aimerions leur offrir le privilège de coopter leurs compagnons de hack, afin qu’ils puissent chasser ensemble, ou simplement s’affronter pour les premières places du classement.

Aussi, il est maintenant possible de rejoindre la Yogosha Strike Force en étant parrainé par :

• deux membres du Top 50 All-Time Yogosha ;
• ou un seul membre du Top 10 All-Time Yogosha.

Quelle est la marche à suivre pour être parrainé ?

La première étape est de devenir ami avec un membre du Top 50 Yogosha, et c’est de loin la plus difficile ! Ensuite, c’est un jeu d’enfant :

• Inscrivez-vous sur la plateforme Yogosha.
• Complétez votre profil afin que nous puissions mieux vous connaître – bio, réseaux sociaux, certifications, etc. Plus nous aurons d’informations sur vous, plus il nous sera facile de prendre une décision éclairée quant à votre intégration. La vérification de l’identité (KYC) à l’aide d’un passeport est obligatoire.
• Envoyez un email à [email protected] :
  • en précisant le pseudonyme de votre compte nouvellement créé ;
  • en mettant en copie les deux chercheurs du Top 50 qui vous parrainent (ou un seul s’il est dans le Top 10). Ils doivent répondre pour confirmer leur patronage.
• Quelqu’un vous répondra dans les plus brefs délais pour confirmer votre intégration à la Yogosha Strike Force.

Seuls les chercheurs classés dans le Top 50 All-Time de la YSF peuvent parrainer leurs amis, dans la limite de trois parrainages par an.

Par ailleurs, en cas de non-approbation, le hacker recommandé ne peut pas l’être à nouveau pendant une période de 6 mois à compter de l’annonce de la décision. Néanmoins, il est tout à fait libre de passer les tests de sélection.

À ceux qui se sentent prêts à emprunter l’une des quatre voies qui mènent à la Yogosha Strike Force, nous disons bonne chance et, peut-être, à bientôt parmi nous.