Lorsqu'il a alerté une compagnie aérienne indienne sur une faille de son site internet permettant d'acheter des billets d'avion sans payer, Kanishk Sajnani a attendu en vain une réaction de sa part.

Alors que l'Inde est le principal pourvoyeur au monde d'hackers éthiques - ces internautes qui cherchent des failles informatiques sur des sites pour toucher une récompense («bug bounty») - leur travail reste largement dédaigné dans leur propre pays.

Les hackers éthiques, à la différence des cyber-escrocs, ne cherchent pas à exploiter leurs découvertes à mauvais escient ou pour leur propre compte.

Selon des statistiques du réseau mondial de hackers BugCrowd, la plupart des récompenses pour la découverte de bugs sont touchées par des Indiens. Au premier semestre 2016 ils étaient par exemple les premiers récipiendaires de rétributions de Facebook, qui a compris depuis longtemps l'intérêt de ces enquêteurs numériques.

Un hacker indien anonyme, qui se fait appeler «GeekBoy», a découvert plus de 700 vulnérabilités d'entreprises comme Yahoo!, Uber et Rockstar Games.

La majorité des hackers éthiques indiens sont de jeunes ingénieurs informatiques, produits de la délocalisation de la hi-tech dans ce pays de 1,25 milliard d'habitants, un secteur qui pèse plus de 150 milliards de dollars.

«Dans beaucoup de cas, les gens qui élaborent les logiciels comprennent aussi comment ils peuvent être cassés», explique à l'AFP Michiel Prins, cofondateur du registre HackerOne.

350 000 dollars de récompenses

Si les géants mondiaux de l'internet et les multinationales utilisent de longue date ce vivier de talents, très peu d'entreprises indiennes ont des programmes de «bug bounty».

Au contraire, elles traitent les informations des hackers avec indifférence, ou même suspicion.

Ingénieur en sécurité informatique de 23 ans, Anand Prakash a gagné 350 000 dollars en émoluments pour avoir mis à jour des vulnérabilités de systèmes.

Lorsqu'il a signalé un bug à Facebook, le réseau social de Menlo Park lui a répondu aussitôt. Le lendemain, 12 500 dollars atterrissaient sur son compte.

«Mais ici en Inde, le courriel est ignoré la plupart du temps», déplore ce fondateur de la firme de cybersécurité AppSecure India, basée à Bangalore (sud).

«J'ai connu de nombreuses situations où j'ai reçu un courriel menaçant de leurs avocats disant "Pourquoi êtes-vous en train de hacker notre site ?"», raconte-t-il.

Kanishk Sajnani, 21 ans, a hacké une dizaine de sociétés indiennes. Une seule lui a offert une récompense, promesse vite oubliée aussitôt les bugs réparés.

«C'est très énervant de ne pas recevoir la reconnaissance due, ou que les entreprises ne montrent aucune gratitude après que vous avez essayé de les aider», confie à l'AFP cet étudiant d'Ahmedabad (ouest).

Mea culpa

La réticence des sociétés indiennes à travailler avec des hackers a provoqué un spectaculaire retour de bâtons, forçant les entreprises à repenser leur attitude envers la cybersécurité.

Ce mois-ci, le site de restauration Zomato, présent dans 23 pays, s'est trouvé dans l'embarras lorsque les données de 17 millions d'utilisateurs ont été subtilisées par un hacker utilisant le pseudonyme de «nclay».

Ce dernier a menacé de vendre les données à moins que Zomato, start-up valorisée à des centaines de millions de dollars, ne récompense l'honnêteté des hackers éthiques autrement qu'en leur délivrant un certificat.

«S'ils versaient de l'argent aux gens biens, peut-être que «nclay» leur aurait signalé la faille et gagné de l'argent de manière régulière», estime Waqas Amir, fondateur du site de cybersécurité HackRead.

Cet incident a une résonance particulière pour Anand, l'ingénieur de Bangalore. Il y a deux ans, il s'était introduit dans la base de données de Zomato. S'ils l'avaient écouté à l'époque, «ils ne se seraient pas fait pirater en 2017», estime-t-il.

Dans un rare mea culpa, Zomato a accepté de lancer un programme de «bug bounty» pour les hackers éthiques et encouragé d'autres entreprises à faire de même.

«Nous aurions dû prendre cela plus au sérieux auparavant», a reconnu auprès de l'AFP une porte-parole de Zomato.