Alisa Esage

Jeunesse et formation

Alisa Esage, née Alisa Andreevna Shevchenko, est une chercheuse en sécurité informatique et entrepreneuse d'origine russe. Elle cite son père comme principale source d'inspiration pour sa carrière, se souvenant qu'il lui a appris à souder à l'âge de cinq ans. Elle a commencé à lire des ouvrages sur l'informatique et la programmation dès le début de sa scolarité, et s'est enseigné le C++ et le langage assembleur x86 après avoir reçu son premier PC à l'âge de 15 ans. Se décrivant elle-même comme une « chercheuse en sécurité offensive », elle était, selon un profil Forbes de 2014, davantage attirée par le hacking que par la programmation conventionnelle. Elle a par la suite abandonné ses études universitaires pour se consacrer au domaine de la sécurité informatique.

Carrière

Après avoir quitté l'université, Esage a travaillé comme experte en analyse de malwares chez Kaspersky Labs pendant cinq ans. En 2009, elle a fondé sa propre société, initialement appelée Esage Labs, puis rebaptisée ZOR Security — un acronyme russe pour Цифровое Оружие и Защита, signifiant « Armes numériques et défense ».

Entre 2014 et 2018, Esage a été créditée de la découverte de plusieurs vulnérabilités de sécurité zero-day dans des logiciels largement utilisés, issus de Microsoft, Mozilla Firefox et Google. Une partie de ces vulnérabilités a été divulguée de manière responsable via le programme de primes de sécurité Zero Day Initiative (ZDI), sous différents pseudonymes. Début 2021, elle a lancé Zero Day Engineering, une société de formation professionnelle et de conseil spécialisée dans la sécurité informatique avancée et la recherche en vulnérabilités.

Travaux notables et compétitions

En 2014, Esage a remporté la première place au concours PHDays IV « Critical Infrastructure Attack », également connu sous le nom de « Hack the Smart City », en compromettant avec succès un environnement de ville intelligente simulé et en identifiant plusieurs vulnérabilités zero-day dans Indusoft Web Studio 7.1 de Schneider Electric.

Le 8 avril 2021, Esage est devenue la première femme à participer et à remporter Pwn2Own, la compétition de hacking avancé organisée depuis 2007. Lors de Pwn2Own Vancouver 2021, elle a ciblé Parallels Desktop pour Mac version 16.1.3 avec un exploit zero-day qu'elle avait développé de manière indépendante, démontrant une évasion de machine virtuelle invitée vers l'hôte avec exécution de code arbitraire sur un système macOS entièrement mis à jour. La participation a été qualifiée de « victoire partielle » par les organisateurs du concours, au motif que l'éditeur du logiciel ciblé avait connaissance en interne de la vulnérabilité exploitée avant la compétition — une décision qui a suscité un débat important au sein de la communauté de la sécurité, des personnalités éminentes appelant à une révision des règles concernées.

Son statut de première participante féminine a également été brièvement contesté, bien que les archives publiques des compétitions Pwn2Own, y compris les billets de blog officiels et les enregistrements de diffusions en direct, ne contiennent aucune mention documentée de participation féminine antérieure à son entrée en 2021. Le fondateur de la compétition a confirmé son statut historique sur Twitter.

Publications et conférences

Esage a présenté ses recherches lors de plusieurs conférences internationales de sécurité, notamment RECON, Positive Hack Days, Zero Nights, POC x Zer0con et Chaos Communications Congress. Ses travaux ont été publiés dans des revues telles que Virus Bulletin, Secure List et Phrack Magazine. Parmi ses publications notables figurent « Self-patching Microsoft XML with misalignments and factorials » dans Phrack Magazine (numéro 69, 2016), ainsi que plusieurs articles dans Virus Bulletin portant sur des sujets tels que le fuzzing pour la divulgation de zero-days, les investigations cyber et des études de cas sur les malwares.

Controverse

ZOR Security, la société d'Esage, a été inscrite sur une liste de sanctions des États-Unis à la suite d'accusations selon lesquelles elle aurait contribué à des efforts d'ingérence dans l'élection présidentielle américaine de 2016. Esage a publiquement déclaré que les autorités avaient soit mal interprété les faits, soit été trompées, et les responsables américains n'ont pas divulgué publiquement la base précise de leur conviction qu'elle aurait travaillé avec des hackers liés au GRU, ni ce qu'elle leur aurait prétendument fourni.

Distinctions

Esage a remporté plusieurs compétitions internationales de hacking avancé et a été mise en avant dans les principales publications du secteur de la sécurité. Elle est en partie d'origine ukrainienne.