Zeroday Cyber Academy

Métiers de la cybersécurité

Qu'est-ce qu'un reverse engineer ? Fiche métier

Fiche métier reverse engineer : malware analysis, vulnerability research, outils IDA/Ghidra, assembleur, spécialisations, salaires et certifications rares.

Naim Aouaichia
14 min de lecture
  • Reverse Engineering
  • Fiche métier
  • Malware Analysis
  • Vulnerability Research
  • IDA
  • Ghidra
  • Assembleur
  • Niche technique

Un reverse engineer (ou chercheur en rétro-ingénierie) est un spécialiste cyber qui analyse du code binaire compilé — exécutables Windows, Linux, macOS, firmwares, bibliothèques, applications mobiles — pour comprendre son fonctionnement interne sans disposer du code source. Applications typiques : analyse de malwares (extraction d'IOCs, signatures YARA), recherche de vulnérabilités 0day inconnues, analyse de firmwares IoT ou industriels OT, bypass de mécanismes DRM ou anti-debug. Quatre spécialisations dominantes : malware analyst (threat researcher), vulnerability researcher, firmware / hardware RE, mobile RE. Le métier se distingue du pentester (exploitation de vulns connues) : le reverse engineer découvre l'inconnu par analyse binaire, sur des échelles de temps de 1 à 6 mois par sujet complexe. Niche rare en France (20-30 équipes actives), salaires qui reflètent la rareté : junior 50-68 k€ IDF, senior 85-120 k€, research lead 100-150 k€+. TJM indépendant 900-1 500 €. Cet article détaille la définition précise, les distinctions avec métiers voisins, les quatre spécialisations, la stack technique, le quotidien, la trajectoire et le profil qui réussit dans ce métier exigeant.

1. Définition précise : qu'est-ce qu'un reverse engineer ?

Le reverse engineering est le processus d'analyse d'un artefact compilé (binaire, firmware, protocole) pour en reconstruire la logique interne sans disposer de la documentation ou du code source. En cybersécurité, cette discipline sert trois objectifs principaux.

Comprendre le comportement d'un malware

Face à un échantillon de code malveillant inconnu (ransomware, infostealer, backdoor, rootkit), le malware analyst reconstitue la logique d'infection, les canaux de communication C2 (command-and-control), les techniques de persistance, les indicateurs de compromission (IOCs). Livrable : un rapport d'analyse technique et des signatures de détection (YARA, Sigma, snort).

Découvrir des vulnérabilités 0day

Dans un logiciel propriétaire sans code source, le vulnerability researcher identifie des bugs exploitables en analysant le binaire. Livrable : un PoC (proof of concept) d'exploit, un avis de divulgation responsable au vendor, parfois une CVE attribuée et publiée. Le domaine est dense en acteurs : Zero Day Initiative, Pwn2Own, Google Project Zero, Trail of Bits, ESET research, Lexfo, Quarkslab, Synacktiv R&D.

Analyser des firmwares et hardware

Les objets connectés (IoT), les équipements industriels (OT/ICS), les terminaux embarqués sont souvent livrés avec un firmware compilé sans documentation. L'analyse RE révèle des backdoors, credentials hardcodés, cryptographie cassée, flux non chiffrés. Marché en croissance forte avec la multiplication des objets connectés et la directive NIS 2 qui couvre les OIV industriels.

2. Reverse engineer vs pentester vs exploit developer : distinctions

Trois métiers techniques offensifs souvent confondus en entretien d'orientation.

DimensionReverse EngineerPentesterExploit Developer
Objet principalBinaire compilé, firmwareSystème vivant accessiblePoC exploit pour vuln identifiée
Temps d'une tâcheJours à moisHeures à joursJours à semaines
Compétence dominanteAssembleur, OS internalsMéthodologie, outils offensifsProgrammation bas niveau, kernel
Outils principauxIDA, Ghidra, x64dbg, GDBBurp Suite, Impacket, MetasploitPwntools, GDB, Python, C
LivrableRapport analyse + IOCsRapport pentest + preuvesExploit fonctionnel + write-up
Profil pénétrance FRRare (~20-30 équipes)Large (ESN offensives)Très rare (~5-10 équipes R&D)

Recouvrements réels : un chercheur vulnérabilité senior combine souvent RE + exploit development. Un pentester confirmé peut faire du RE ponctuel sur une application mobile client. Les trois métiers se recoupent dans la communauté CTF, où les participants développent simultanément les trois compétences sur les challenges binary et pwn.

3. Les quatre spécialisations principales

Malware analyst / threat researcher

Activité : analyse quotidienne d'échantillons de malwares nouveaux pour construire des détections. Reconstitution de chaînes d'infection, attribution d'acteurs menaces (APT, cybercrime groups), publication de rapports de threat intelligence.

Employeurs types : ANSSI CSIRT, éditeurs antivirus (ESET, Kaspersky, ThreatStop, Thales HarfangLab), threat intel providers (Sekoia.io, Mandiant, CrowdStrike), grandes banques (équipes SOC internes avancées).

Livrables : rapports d'analyse 5-30 pages, règles YARA, rules Sigma, scripts d'extraction d'IOCs, TIPs (Threat Intelligence Platforms) enrichis.

Vulnerability researcher

Activité : chercher des failles de sécurité inconnues dans des logiciels propriétaires, publier responsable disclosure au vendor, éventuellement obtenir une CVE.

Employeurs types : équipes produit security des éditeurs (Microsoft MSRC, Google Project Zero, équivalents FR plus rares), cabinets de recherche offensive (Synacktiv, LEXFO, Quarkslab), plateformes bug bounty (YesWeHack, HackerOne), consulting indépendant.

Livrables : PoC d'exploit, advisories vendor, CVE publiées, présentations en conférences (SSTIC, Pass the SALT, DEF CON, BlackHat).

Firmware et hardware RE

Activité : analyse de firmwares embarqués sur routeurs, switches, caméras IP, automates industriels, véhicules connectés, équipements médicaux. Extraction de firmware (via JTAG, UART, memory dump), émulation sous QEMU, identification de backdoors ou credentials hardcodés.

Employeurs types : ANSSI (secteur OIV industriels), Thales (automotive, aéronautique), Airbus Defense, Orange Cyberdefense labs, éditeurs IoT sécurité (Sternum, DEKRA), acteurs automotive (Stellantis cyber).

Livrables : rapports techniques, PoC de compromission, recommandations de sécurisation, publications académiques.

Mobile reverse engineering

Activité : analyse d'applications iOS et Android, bypass des protections (certificate pinning, jailbreak / root detection, obfuscation), analyse des flux réseau post-bypass, extraction de credentials ou logique métier.

Employeurs types : cabinets pentest mobile (LEXFO, Synacktiv, certains pôles Almond), éditeurs applications bancaires et paiement (équipes sécurité interne), éditeurs DRM et anti-cheat.

Livrables : rapports de test mobile, bypass stratégies documentées, recommandations renforcement.

4. Stack d'outils et de compétences

Disassemblers et decompilers

  • IDA Pro : référence commerciale historique, 2 000 $ par an minimum (IDA Home), 3 500 $ (IDA Pro complet), 6 000 $+ (IDA avec Hex-Rays décompilateurs).
  • Ghidra : gratuit, open source, développé par la NSA et libéré en 2019. Devenu référence dans les labs publics et académiques.
  • Binary Ninja : alternative moderne, bon rapport qualité-prix, interface ergonomique.
  • Radare2 et rizin / Cutter : open source, ligne de commande et GUI, puissant mais courbe d'apprentissage raide.

Debuggers

  • x64dbg (Windows, open source) : référence moderne x86/x64.
  • WinDbg (Windows, Microsoft) : pour kernel et analyses avancées.
  • GDB (Linux, macOS) : debugger Unix universel, extensions pwndbg, peda, gef.
  • LLDB : alternative moderne à GDB.

Langages et systèmes

  • Assembleur x86 et x64 : obligatoire pour l'écrasante majorité des malwares (Windows).
  • ARM (AArch64) : obligatoire pour mobile, embedded, automotive.
  • RISC-V : émergence 2024-2026, niche mais à surveiller.
  • OS internals : Windows NT (PE format, heap, syscalls), Linux kernel (ELF, syscalls, modules), macOS Mach-O.

Sandboxes et analyse dynamique

  • Cuckoo Sandbox / CAPEv2 : analyse automatique dynamique.
  • QEMU + Unicorn Engine : émulation de processeur pour firmwares.
  • Frida : dynamic instrumentation (attachement runtime pour modifier code).
  • PIN (Intel Pin) : instrumentation binaire dynamique.

Automation et scripting

  • Python : scripting IDA, Ghidra, angr, automation analyse.
  • angr : framework d'analyse symbolique en Python.
  • Pwntools : Python pour exploit development CTF.

Exemple concret de règle YARA représentative du travail d'un malware analyst junior :

rule Agent_Tesla_Infostealer
{
    meta:
        description = "Detects Agent Tesla infostealer family samples"
        author = "reverse-engineer-zeroday"
        date = "2026-04-23"
        reference = "https://attack.mitre.org/software/S0331/"
        severity = "high"
 
    strings:
        // Strings caracteristiques de la config hardcodee
        $config1 = "AgentTesla" ascii nocase
        $config2 = { 41 67 65 6E 74 ?? 54 65 73 6C 61 }
 
        // URL de C2 typiques (ex-Agent Tesla samples analyses)
        $url_pattern = /https?:\/\/[a-z0-9.-]+\.(ru|xyz|top|tk)\/[a-z0-9]+\.php/ ascii
 
        // Imports suspects combines (keylogging + screenshot + injection)
        $api1 = "GetAsyncKeyState" ascii
        $api2 = "GetForegroundWindow" ascii
        $api3 = "CreateRemoteThread" ascii
 
        // Stub de dechiffrement XOR classique du payload
        $xor_stub = { 33 C8 81 E1 FF FF 00 00 }
 
    condition:
        // Compile .NET (header MZ + indicateurs CLR)
        uint16(0) == 0x5A4D and
        (
            2 of ($config*) or
            (1 of ($config*) and 2 of ($api*)) or
            ($xor_stub and $url_pattern)
        )
}

Ce type de règle est exactement ce que produit un malware analyst junior après avoir analysé 5-10 échantillons d'une famille — patterns extraits, conditions affinées pour réduire les faux positifs.

5. Le quotidien d'un reverse engineer junior

Répartition type selon la spécialisation (malware analyst junior dans un CSIRT).

ActivitéPourcentage du temps
Analyse statique de nouveaux échantillons (IDA, Ghidra, strings, imports)30-40 %
Analyse dynamique (sandbox, debugger, trafic réseau)20-25 %
Rédaction de règles de détection (YARA, Sigma, rules SIEM)15-20 %
Rédaction de rapports et partage TIPs10-15 %
Veille threat intelligence, lecture de rapports (Mandiant, ESET, CrowdStrike)5-10 %
Formation continue, CTF, conférences5-10 %

Une analyse approfondie d'un malware complexe inconnu peut prendre de 1 à 4 semaines (identification chaîne d'infection, reverse complet, écriture détections, rapport). Une analyse « quick triage » pour alerte opérationnelle : 2-8 heures.

6. Formations, CTF et certifications pour entrer

Pas de parcours unique - rareté structurelle

Contrairement au pentest (eJPT → PNPT → OSCP) ou au DevSecOps (Security+ + AWS Security Specialty), le reverse engineering n'a pas de parcours canonique en France. Trois voies structurantes :

Voie 1 — CTF intensif sur catégories reverse et pwn

Participation active à des CTF (Capture The Flag) dans les catégories reverse et pwn (binary exploitation) : FCSC, France Cybersecurity Challenge, Google CTF, DEF CON CTF quals, hack.lu CTF. Construction progressive de compétence par les writeups publics.

Voie 2 — Parcours académique spécialisé

Master SSI avec spécialisation binary analysis ou sécurité offensive bas niveau : Télécom SudParis, EURECOM, ENSIBS Vannes, Université de Limoges (spécialité XLIM), Télécom Paris.

Voie 3 — Bascule depuis dev bas niveau ou système embarqué

Développeurs C/C++ ou embedded software engineers qui basculent par auto-formation + CTF + contribution open source. Plus long (3-5 ans de transition) mais solide.

Certifications disponibles

CertificationÉditeurCoûtPertinence FR 2026
GREM (GIAC Reverse Engineering Malware)SANS / GIAC≈ 949 $ + cours ≈ 7 000 $Forte (référence historique)
SANS FOR710 (Reverse-Engineering Malware)SANSCours seul ≈ 7 000 $Forte
OSEE (Offensive Security Exploitation Expert)Offensive Security≈ 2 500 $Très forte niveau expert
OSED (Offensive Security Exploit Developer)Offensive Security≈ 1 600 $Forte
eCXD (eLearnSecurity Certified Exploit Developer)INE≈ 400 $Moyenne, plus accessible
Qualification PASSI ANSSI portée ConfigurationANSSI (via prestataire)VariableNiche, OIV

Budget total formation + certifications pour passage vers reverse engineer : souvent 10 000-20 000 € en autofinancement, ou financement employeur dans les labs avancés. SANS reste la référence mais avec un prix élevé.

Ressources gratuites et communautaires

  • Crackmes.one : challenges RE progressifs, gratuits.
  • Microcorruption (Matasano) : embedded RE challenge gratuit.
  • Pwnable.kr : binary exploitation progressif.
  • HackTheBox section Reverse et Pwn : challenges mensuels.
  • Malware Analysis Bootcamp (MalwareUnicorn) : cours gratuit référence débutant.

7. Employeurs français et trajectoire salariale

Principaux employeurs en France 2026

FamilleExemplesSpécialisation
Secteur publicANSSI CSIRT national, DGA, DGSE, DGSIMalware analysis, vuln research OIV
Labs industrielsThales, Airbus Defense, Naval Group, Dassault SystèmesFirmware, automotive, embedded defense
Éditeurs antivirusESET, Thales HarfangLab, WallixMalware analysis, signatures détection
Cabinets offensifs R&DSynacktiv, LEXFO, Quarkslab, AmossysVulnerability research, exploit development
Threat intel providersSekoia.io, Orange Cyberdefense CERTMalware analysis, TIP enrichment
Banques et financeSociété Générale CERT, BNP CERTMalware analysis secteur finance
Universités et rechercheEURECOM, LIP6, XLIMRecherche académique publiable

Trajectoire salariale

NiveauExpérienceSalaire brut annuel (province)Salaire brut annuel (IDF)
Junior RE0-2 ans post-CTF / formation45-60 k€50-68 k€
RE confirmé2-4 ans62-85 k€70-95 k€
Senior RE / researcher4-7 ans85-110 k€95-125 k€
Research lead7+ ans100-140 k€115-160 k€
Consulting indépendant TJM4+ ans800-1 300 €900-1 500 €

Fourchettes Apec Cadres 2023-2024, retours communautaires francophones, observatoires sectoriels labs. Les profils avec CVE publiques à leur actif, présentations en conférences reconnues (SSTIC, Pass the SALT, DEF CON, BlackHat), contributions open source sur outils RE (Ghidra plugins, Frida modules) tirent systématiquement la fourchette haute.

Bifurcations classiques après 3-5 ans

  • Management d'équipe RE : lead d'un lab de 3-8 RE, moins hands-on.
  • Startup 0day commerce : Zerodium, Exodus Intelligence, autres acteurs grey market (positionnement éthique délicat).
  • Enseignement et formation : formateur SANS, cours universitaires spécialisés.
  • Bug bounty indépendant full-time : rare mais possible pour les profils très productifs.

Pour les trajectoires voisines en cybersécurité offensive, voir Qu'est-ce qu'un pentester ? Fiche métier complète et Peut-on devenir pentester sans expérience ?. Pour l'ensemble des métiers cyber avec salaires et accessibilité par profil, voir Les métiers de la cybersécurité : guide complet.

Points clés à retenir

  • Reverse engineer = analyse de binaires sans code source pour comprendre malwares, découvrir vulnérabilités 0day, auditer firmwares / mobiles.
  • Distinction pentester : le pentester exploite des vulns connues sur un cadre contractuel ; le RE découvre l'inconnu sur 1-6 mois par sujet.
  • 4 spécialisations : malware analyst (threat researcher), vulnerability researcher, firmware / hardware RE, mobile RE.
  • Stack technique exigeante : IDA Pro ou Ghidra, x64dbg ou GDB, assembleur x86/x64/ARM, OS internals, Python scripting, Frida, angr.
  • Niche rare en France : 20-30 équipes actives (ANSSI, Thales, Airbus, Synacktiv, LEXFO, Quarkslab, éditeurs antivirus). Salaires reflètent la rareté.
  • Pas de parcours canonique : CTF intensif + master SSI spécialisé OU bascule depuis dev bas niveau. GREM, OSEE, OSED en certifications. 10 000-20 000 € budget formation.
  • Salaires juniors 50-68 k€ IDF → senior 95-125 k€ → research lead 115-160 k€ → TJM indépendant 900-1 500 €.

Pour l'ensemble des métiers cyber avec salaires et accessibilité, voir Les métiers de la cybersécurité : guide complet. Pour comparer avec les autres métiers techniques offensifs, voir Qu'est-ce qu'un pentester ? Fiche métier complète. Pour les métiers plus accessibles en reconversion cyber, voir Qu'est-ce qu'un DevSecOps ? Fiche métier et Qu'est-ce qu'un ingénieur cloud security ? Fiche métier. Pour la trajectoire pentest qui est la porte d'entrée la plus proche du RE, voir Peut-on devenir pentester sans expérience ?. L'accompagnement cyber 6 mois ne cible pas le reverse engineering directement (métier niche avec parcours spécialisés), mais peut servir de socle cyber avant bascule vers un parcours RE universitaire ou CTF intensif.

Questions fréquentes

  • Qu'est-ce qu'un reverse engineer en cybersécurité ?
    Un reverse engineer (ou chercheur en rétro-ingénierie) est un spécialiste cyber qui analyse du code binaire compilé (exécutables Windows, Linux, macOS, firmwares, bibliothèques, applications mobiles) pour comprendre son fonctionnement interne sans disposer du code source. Applications typiques en cybersécurité : analyse de malwares pour extraire les IOCs (Indicators of Compromise) et construire des signatures de détection, recherche de vulnérabilités 0day dans des logiciels propriétaires, analyse de firmwares IoT ou industriels OT, bypass de mécanismes DRM ou anti-debug pour raisons défensives. C'est l'un des métiers cyber les plus techniques et les plus rares en France.
  • Quelle différence entre reverse engineer et pentester ?
    Deux métiers techniques proches mais distincts. Le pentester exploite des **vulnérabilités connues** ou reproductibles pour compromettre des systèmes dans un cadre contractuel. Le reverse engineer **découvre** des vulnérabilités inconnues en analysant le binaire compilé (0day research), ou analyse du code malveillant pour le comprendre en profondeur. Le reverse engineer travaille sur des échelles de temps bien plus longues (1 à 6 mois pour comprendre un malware complexe) et exige des compétences en assembleur (x86, x64, ARM), systèmes d'exploitation internes, anti-debug et obfuscation. Les deux métiers se combinent parfois chez les chercheurs sécurité seniors.
  • Quels sont les principaux types de reverse engineers ?
    Quatre spécialisations dominantes. 1) Malware analyst (threat researcher) : analyse de code malveillant en CERT ou CSIRT, éditeurs antivirus (ESET, Kaspersky, Thales), recherche de signatures YARA et rules Sigma. 2) Vulnerability researcher : découverte de 0day chez des éditeurs, équipes produit security ou offensive research. 3) Firmware et hardware RE : IoT, OT / ICS, embedded, automotive. 4) Mobile RE : analyse d'applications iOS et Android, bypass de sécurité mobile (DRM, jailbreak detection, certificate pinning). Chaque spécialisation a ses outils spécifiques et sa communauté propre.
  • Quels outils et compétences un reverse engineer utilise-t-il ?
    Cinq catégories d'outils. 1) Disassemblers et decompilers : IDA Pro (référence commerciale, environ 2 000 $ par an), Ghidra (gratuit, open source de la NSA), Binary Ninja (alternative moderne), Radare2 (CLI open source). 2) Debuggers : x64dbg, WinDbg (Windows), GDB, LLDB (Linux et macOS). 3) Emulators et sandboxes : QEMU, Unicorn Engine, Cuckoo Sandbox, CAPEv2. 4) Scripting et automation : Python (API IDA, Ghidra, angr), Frida (dynamic instrumentation). 5) Langages assembleur : x86 et x64 obligatoires, ARM fortement recommandé, RISC-V en émergence. Connaissance approfondie des OS internals (Windows NT, Linux kernel).
  • Quel salaire attendre en reverse engineer en France ?
    Métier niche à haute rémunération due à la rareté. Junior (0-2 ans) : 45-60 k€ bruts annuels en province, 50-68 k€ en Île-de-France (si recruté sans expérience pure RE préalable). Confirmé (2-4 ans) : 62-85 k€. Senior (4-7 ans) : 85-120 k€. Research lead ou senior researcher : 100-150 k€ plus selon employeur. Consulting indépendant : TJM 900-1 500 €. Profils rares : 20 à 30 vraies équipes RE actives en France (ANSSI CSIRT, Thales, Airbus, Orange Cyberdefense R&D, Synacktiv, LEXFO, Quarkslab, éditeurs antivirus). Le salaire reflète la rareté structurelle du métier.
Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également