Les hackers éthiques ont détecté une centaine de failles sur les SI d’organisations humanitaires
Le deuxième Live Hacking de Hack4Values a eu lieu le 24 octobre 2025 à Bercy. Son bilan très positif vient d’être publié.
Pour la deuxième année consécutive, l’association Hack4Values a organisé un Live Hacking éthique et solidaire à Bercy, dans les locaux du Ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique, le 24 octobre 2025. Plus d’une cenatine de hackers éthiques se sont réunis pour découvrir des failles dans les SI d’organisations humanitaires. L’objectif était bien sûr, à titre purement bénévole, d’aider ces organisations à se sécuriser. Le bilan vient d’en être publié et une centaine de vulnérabilités ont été identifiées, dont 20 % sont des failles critiques.
« Ce succès confirme la valeur et la maturité de la communauté éthique française » a déclaré Fabien Lemarchand, président de Hack4Values. L’ancien vice-président plate-forme et sécurité de la place de marché du bricolage ManoMano dirige désormais une société spécialisée dans les tests d’intrusion. Un tel Live Hacking permet de démontrer la force d’un collectif de hackers éthiques tout en mettant cette force, bénévolement, au service d’organisations humanitaires. Pour Fabien Lemarchand, « Hack4Values a mobilisé plus de cent hackers qui ont uni leurs forces pour défendre le bien commun, sans contrepartie, simplement par conviction. C’est une démonstration concrète de la force du hacking éthique lorsqu’il est guidé par le sens. »
Renforcer la résilience des aidants et de l’humanité entière
L’Unicef, la Protection Civile, Médecins Sans Frontières, Handicap International, SOS Méditerranée, Surfrider, Apprentis d’Auteuil et d’autres organisations ont bénéficié de cette opération de bug bounty solidaire. Il ne s’agit donc pas nécessairement d’associations ou d’organisations non-gouvernementales mais d’organisations œuvrant pour le bien de l’humanité. Il s’agit, pour les hackers éthiques réunis par Hack4Values, d’aider les aidants.
Ceux-ci peuvent être menacés au quotidien dans leurs missions, que ce soit physiquement ou par des attaques de leurs systèmes d’information. Ils sont les premières victimes potentielles des attaques hybrides mêlant violence physique et cyber-attaques, y compris par des acteurs para-étatiques ou étatiques. Alexandra Gutton, responsable du service Systèmes d’Information de l’Unicef, a ainsi commenté : « ce partenariat nous permet d’anticiper les menaces et de mieux protéger les données sensibles liées à nos actions sur le terrain. Ces collaborations sont essentielles pour continuer à agir en toute sécurité auprès des enfants. »
Les organisations concernées sont souvent dans l’urgence. Parfois, la moindre minute perdue peut se traduire par des décès. « Dans nos missions d’urgence, chaque minute compte et savoir que nos surfaces d’attaques sont testées par des experts bénévoles renforce la confiance et notre posture de sécurité » a confirmé Luigi Buffeteau, responsable des Systèmes d’Information à la Protection Civile. Pour Fabien Lemarchand, la démarche vise en fait à « renforcer la résilience de toute notre société. »
De nombreux partenaires associés à une vraie démonstration de force
Bien entendu, ce genre d’opération nécessite de nombreux partenaires. Ainsi, des hackers éthiques proviennent d’une part d’écoles dédiées à la cybersécurité comme 2600, Oteria, Guardia, EPITA et DavinciCode, d’autres part de cercles de hackers éthiques expérimentés qui ont pu guider les premiers. Le Live Hacking s’est appuyé une nouvelle fois sur son partenaire technique Yogosha. Le Ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique a fourni les locaux. Des organisations telles que les Campus Cyber de Paris et de Nouvelle Aquitaine, Cybermalveillance.gouv.fr, le CESIN, le CyberPeace Institute et Cyber4Tomorrow ont également apporté un soutien précieux.
Selon les déclarations de l’association, un tel Live Hacking est la démonstration qu’un « modèle de coopération illustre une approche souveraine, durable et inclusive de la cybersécurité ; une manière concrète de concilier innovation, responsabilité et protection du bien commun. » Si la démonstration se fait gratuitement au bénéfice d’organisations humanitaires, il s’agit bien de promouvoir la démarche de bug bounty qui peut bénéficier à toutes sortes d’organisation.
En savoir plus
Comment organiser et tirer profit des pentests et bug bountys ?
Le 16 décembre 2025, Républik organise un club commun aux deux communautés CISO et CTO sur le thème « Comment organiser et tirer profit des pentests et bug bountys ? ». Les grands témoins seront Odile Duthil et Olivier Gibert. Odile Duthil est Directrice de la Cybersécurité du groupe Caisse des Dépôts et Consignations et présidente du CLUSIF. Olivier Gibert est Group Chief Technology Officer & France architecture director de Carrefour.