Tout savoir sur le métier de chercheur en cybersécurité blockchain

Une seule ligne de code mal écrite. C'est parfois tout ce qu'il faut pour qu'un projet blockchain perde des millions et voie sa réputation s'effondrer du jour au lendemain.

Dans un univers où le code est public et où chaque utilisateur peut devenir un attaquant, il faut sécuriser son application pour qu'on ne puisse l'attaquer nulle part.

C'est grâce aux chercheurs en cybersécurité qu'on peut y parvenir. Le but de cette édition est d'expliquer en quoi consiste ce métier, quelles sont les compétences nécessaires pour y prétendre et comment y accéder.

Pourquoi c'est un métier ?

Un peu de contexte

“Si vous ne voulez pas de bugs, ne faites pas de code. C’est un adage bien connu dans le monde de l’informatique qui résume très bien à quoi s’attendre : l’application parfaitement fonctionnelle n’existe pas, et la sécurité parfaite non plus.

Il faut voir la sécurité informatique comme un jeu du chat et de la souris. Autrement dit, une application est considérée comme sécurisée à partir du moment où il n’y a pas de vulnérabilité actuellement décelable. Cela signifie aussi que lorsqu’une nouvelle vulnérabilité est découverte, il faut revoir la façon de coder.

En réalité, les hacks sont comparables aux accidents de vélo. L’accident arrive soit parce que le vélo doit être réparé, soit parce que l’utilisateur s’en sert mal. Dans tous les cas, les accidents sont indispensables pour maîtriser une discipline, et c’est pareil dans la sécurité informatique.

C’est de cette manière que sont arrivés les audits de code et les tests de sécurité, pour repérer des failles avant qu’elles ne soient exploitées.

Dans la programmation classique, les audits existent (en particulier dans les grandes entreprises), mais ne sont pas systématiques.

Dans la blockchain, les règles sont différentes : la grande majorité des applications décentralisées est en open source, c’est-à-dire que n’importe qui peut examiner le code ou l’attaquer.

Si une vulnérabilité permettant de voler les fonds d’une application est découverte, ou si la sécurité opérationnelle d’une équipe de développement n’est pas bonne, ce sont les fonds des utilisateurs qui sont en danger, et avec eux la réputation du projet.

Ainsi, les audits pour les applications décentralisées sont encore plus importants. Il est fréquent qu’un projet sollicite plusieurs entreprises en même temps pour tester sa sécurité.

Dans la mesure où n’importe quel utilisateur peut potentiellement être un attaquant, il faut avoir le plus de points de vue possible sur son application, de telle sorte qu’il ne puisse être attaqué nulle part.

C’est grâce aux chercheurs en cybersécurité que les projets peuvent être considérés comme fiables, aussi bien sur le plan technique que sur le plan opérationnel.

Les tâches du chercheur en cybersécurité

Un chercheur en sécurité doit examiner les smart contracts qui sont spécifiés par l’équipe de développement du projet à auditer, et tester le code de manière à optimiser le plus possible sa sécurité et son fonctionnement.

Pour ce faire, les chercheurs combinent plusieurs pratiques :

• Analyse statique : on analyse le code ligne par ligne, sans l’exécuter pour chercher des fautes connues, un peu comme si on observait chaque pièce d’une voiture pour vérifier si rien ne casse avant de démarrer.
• Fuzzing : les smart contracts sont bombardés de millions de transactions avec des valeurs aléatoires ou absurdes pour chercher des bugs de logique qu’on n’aurait pas anticipés (exemple : si une bière dans un bar coûte 5€, est-ce qu’on reçoit 5€ si on commande -1 bière ?)
• Exécution symbolique : à la différence du fuzzing qui teste des variables au hasard, l’outil analyse toutes les branches en même temps pour trouver la solution exacte qui permet de tout casser.
• Vérification formelle : on écrit des spécifications et l’outil utilise des solveurs mathématiques pour prouver que peu importe les actions des utilisateurs, ces spécifications sont garanties à 100%
• Revue Manuelle : le protocole peut fonctionner parfaitement, mais avoir une mauvaise logique métier (exemple : dans un buffet à volonté pour 20€, un client peut venir avec des Tupperwares et les remplir au buffet). Seule la revue manuelle permet de trouver ces défauts.

Aujourd’hui, nous sommes arrivés à un stade où la grande majorité des smart contracts sont sécurisés. Mais au-delà de l’aspect purement technique, il y a aussi la sécurité opérationnelle, également appelée “OpSec”, à prendre en compte.

La sécurité opérationnelle est l’ensemble des pratiques et des procédures permettant de protéger les accès et les informations sensibles.

Cependant, beaucoup de cambriolages ayant eu lieu ces derniers mois ont été possibles à cause de clés privées ou de comptes ayant été compromis, via des attaques d'ingénierie sociale. Si ces attaques ont réussi, c’est que la sécurité opérationnelle des projets concernés n’a pas été à la hauteur.

Cela fait aussi partie des tâches du chercheur en cybersécurité : protéger les aspects critiques propres au projet blockchain tels que l’accès aux clés privées et mettre en place des procédures que l’équipe de développement doit respecter.

Les compétences requises

Compétences techniques

Connaissances approfondies en Solidity et EVM. Un chercheur en sécurité doit maîtriser les langages de programmation liés aux smart contracts (Solidity) et aux interfaces web (React, Next.js). En plus de ces connaissances, il faut aussi apprendre à connaître en détail le comportement de la machine virtuelle d’Ethereum, car c’est ce qui permet d’identifier les failles.

Outils de sécurité. Chaque approche pour tester la sécurité des applications dispose de ses propres outils :

• Analyses statiques : Slither, Mythril
• Fuzzing : Echidna, fuzzing intégré de Foundry
• Exécution symbolique : Manticore, Mythril
• Vérification formelle : Certora, Halmos

Utilisation de chatbots. Beaucoup de chercheurs et d’entreprises ont intégré des chatbots dans leurs procédés, qui servent de “premier filtre” pour repérer les failles les plus évidentes et documentées avant d’intervenir manuellement sur les autres.

Mettre en œuvre des procédures de sécurité. Comment faire pour qu’une clé privée puisse rester en sécurité ? Que faire si une dépendance extérieure se fait exploiter ou tombe en panne ? C’est le genre de question auquel un chercheur en sécurité doit être capable de répondre.

Compétences humaines

Rigueur. Si la rigueur est une qualité humaine qu’on a mise plusieurs fois en avant pour présenter d’autres métiers, elle compte énormément dans ce cas précis. Il faut essayer d’attaquer un projet de toutes les façons possibles et vérifier absolument tout, car lorsqu’un projet est lancé, le reste de l’écosystème est intraitable.

Supervision. Dans la cybersécurité, de nouvelles découvertes sont publiées régulièrement, y compris dans la blockchain. Le tout est d’être capable de s’informer rapidement lorsque de nouvelles attaques sont possibles, et de mettre à jour ses procédés en conséquence.

Persévérance. Certaines failles peuvent prendre du temps à être repérées, et il est fréquent de devoir refaire de nombreuses analyses pour enfin trouver le problème. Beaucoup de chercheurs s’illustrent aussi par leur capacité à être jusqu’au-boutistes.

Adaptation. La vitesse d’évolution de la blockchain fait qu’on doit actualiser régulièrement ses connaissances, tout en étant disponible à la fois pour les événements et les équipes de développement. Tout ceci fait que les imprévus sont monnaie courante et doivent être gérés au quotidien.

‍

{{cta-moyen-crypto}}

Accéder à ce métier

La plupart des parcours universitaires pour devenir chercheur en sécurité sont des diplômes d’ingénieur et des masters (BAC+5) dans des filières d’informatique, de technologies de l’information ou de cybersécurité.

Même si nous n’avons pas forcément le diplôme et/ou l’expérience professionnelle adaptée pour prétendre à ce métier, il y a énormément d’initiatives à prendre pour faire part de ses compétences :

• Avoir un profil GitHub organisé et entretenu dans lequel on partage ses recherches
• Publier sur les réseaux sociaux et poster du contenu lié à la sécurité des smart contracts ou encore la sécurité opérationnelle

Cela dit, lorsqu’il s’agit de sécuriser des smart contracts, il existe un moyen de montrer ses compétences, de faire parler de soi et aussi d’être rémunéré. Il s'agit des compétitions d’audits avec des plateformes comme Sherlock, Code4rena, Cantina ou encore Immunefi.

Le concept est simple : des projets proposent une cagnotte, et n’importe quel utilisateur peut examiner le code pour trouver des failles, en sachant que plus les failles trouvées sont sévères et/ou nombreuses, plus le chercheur reçoit une part importante de la cagnotte mise en jeu.

Certains chercheurs parviennent à vivre de ces compétitions d’audit, et les projets de référence sont prêts à dépenser plusieurs millions de dollars par an pour tester leur sécurité.

La rémunération d'un chercheur en cybersécurité

Pour un chercheur en cybersécurité dans la blockchain, il y a plusieurs moyens différents d’être rémunéré.

Premièrement, il peut travailler dans une entreprise dédiée à ce secteur. Certaines entreprises comme Spearbit sont davantage spécialisées dans l’audit de smart contracts, tandis que d’autres comme Security Alliance (SEAL 911) se focalisent davantage sur la sécurité opérationnelle.

Les chercheurs en cybersécurité peuvent également travailler en freelance. Les compétitions d’audit mentionnées plus haut peuvent déjà représenter un travail à temps plein en soi, compte tenu des plateformes disponibles et du nombre de projets à examiner.

Mais en dehors de ces plateformes, certains projets peuvent aussi proposer des “bug bounties”, c’est-à-dire des primes pour les chercheurs en sécurité qui parviennent à signaler des vulnérabilités sur lesquelles l’équipe de développement doit intervenir.

Pour ce qui est de la rémunération, les salaires des chercheurs en cybersécurité sont considérés comme les plus élevés de l’industrie de la blockchain. Même au cours de leurs premières années, les chercheurs en cybersécurité touchent facilement 50 000€ bruts par an, et avec l’expérience, on peut facilement atteindre 100 000€ bruts par an voire plus.

Cependant, il est très difficile d’établir un salaire-type pour ce genre de métier. D’une part, car il y a plusieurs façons différentes de se rémunérer, et d’autre part, car on ne peut rien trouver de significatif pendant un moment, puis un beau jour, on trouve une faille critique qui change totalement nos perspectives sur notre salaire.

Pour finir, même si les salaires sont attractifs, il faut insister sur le fait que c’est un métier à haute responsabilité.

Si un projet contient une faille que personne n’a détectée et que ses fonds sont cambriolés, ce n’est pas seulement le projet qui est remis en cause, mais aussi toutes les personnes et entreprises qui ont participé à tester sa sécurité.

Ce poste nécessite une rigueur à toute épreuve et de s’adapter constamment. Mais c’est aussi un métier plein d’opportunités pour les personnes souhaitant se lancer.

Si ce métier vous intéresse, ou si la perspective d’acquérir des compétences en blockchain vous intéresse, Alyra propose depuis 2019 des formations dans ce domaine !

En quoi consiste la formation Développement Blockchain ?

Il s’agit d’une formation 100% en ligne disponible en plusieurs formats (de 44h à 144h) au cours de laquelle vous pourrez acquérir les compétences professionnelles requises pour créer des applications directement sur la blockchain :

• Les fondamentaux de la blockchain
• Apprendre Solidity, un langage pour coder des smart contracts
• Les outils de développement (Hardhat, Foundry…)
• Sécuriser et optimiser ses smart contracts
• Lier les smart contracts à un site web
• Créer une application décentralisée
• Déployer en production

Cette formation mène à une certification professionnelle reconnue en France, à savoir “Développer une application décentralisée avec les technologies blockchain" (RS6515), Alyra étant à l’heure actuelle le seul centre de formation à posséder cette certification.

Les objectifs de cette certification sont les suivants :

1. Rédiger le cahier des charges d'un projet de développement d'une application décentralisée
2. Développer une application décentralisée en utilisant des langages de programmation adaptés aux technologies blockchain et aux technologies web, tester ses fonctionnalités et la déployer sur une blockchain
3. Identifier d'éventuelle(s) vulnérabilité(s) dans les fonctionnalités d'un projet d'application décentralisée et mettre en place une gestion des versions en utilisant des méthodes d'intégration continue
4. Être capable d'exploiter la valeur ajoutée d’un “token” (fongible ou non) associé à l’application.

De plus, les apprenants doivent réaliser en équipe un prototype répondant à un besoin réel ou fictif, faire une démonstration d'usage, présenter leurs livrables et justifier leur contribution au projet devant un jury constitué de professionnels.

‍Alyra vous permet d'apprendre ces compétences et sera votre passerelle vers une activité qui allie passion, expertise et rémunération. Preuves à l'appui : 87% de nos alumni ont connu un retour à l'emploi sous six mois, et 54% d'entre eux gagnent plus de 50 000 € par an.

‍

{{cta-moyen-db}}