La sur-médiatisation et la politisation du « hack Google » aura au moins permis une chose rare : c’est la première fois, dans l’histoire de Microsoft, qu’un Zero Day de cette envergure ne provoque pas une avalanche de papiers incendiaires. Rares sont les confrères qui cherchent à deviner la date de publication du correctif « out of band » -car il ne fait pas l’ombre d’un doute qu’il y en aura un. Le blog du MSRC parvient même à user d’une dialectique toute jésuitique et minimise la situation : « In terms of the threat landscape, we are only seeing very limited number of targeted attacks against a small subset of corporations ». 20 victimes tout au plus, ce n’est plus une cyberguerre, c’est une scène de ménage. Pas le moindre signe de panique non plus dans la rédaction du bulletin d’alerte.
Pendant ce temps, Wepawet publie une analyse de l’exploit originel, HD Moore ajoute une munition marquée « Aurora » à son outil de pentest Metasploit, notre CertA explique, pour la énième fois, qu’il est conseillé d’utiliser pour l’instant un navigateur alternatif, F-Secure s’offre une minute de publicité sur le dos de Google en précisant que son « exploit shield » est efficace contre les chinoiseries informatiques… Même Joanna Rutkowska y va de son couplet en rappelant qu’avant de vendre du « cloud » et du « hosting », Google ferait mieux de se pencher sur un problème vieux comme l’informatique : la sécurité du poste de travail. Et des siens en particulier.
Si le battage fait autour de cette cyberguerre peut paraître bien dérisoire, la publication du ou des exploits risque fort de favoriser l’écriture d’autres codes viraux, moins politiques, moins chinois et plus opportunistes. L’on risque, dans les jours à venir, de retrouver du « 979352 » à la sauce Troyenne, parfumé au Viagra ou enrobé dans un délicat emballage de scareware. L’out of band de Microsoft ou un correctif sauvage à la sauce Zert serait le bienvenu.
