Lorsqu’un véritable expert en sécurité informatique découvre une faille en août et que le protocole de l’éditeur concerné repousse le problème sine die, les journalistes commencent à se poser des questions.
Lorsque le correctif out of band de ce même éditeur tend à battre en longueur le chapitre d’introduction d’un roman Balzacien et parvient à rectifier 8 alertes CVE d’un coup, les rédactions ne se posent plus de questions : c’est un trou ? c’est un gouffre ? Non, c’est une faille abyssale ! En revanche, l’on comprend moins bien comment une rustine d’une telle complexité a pu être développée en si peu de temps. Rétention d’information ? ce serait faire du mauvais esprit.
Lorsque les Cert Français, Allemands et Suisses émettent des réserves quant à l’usage de certains navigateurs en utilisant des subtilités sémantiques dignes d’un avocat d’affaires, on recommence à se poser des questions. Dans un monde cloudifié ou tout (nous explique-t-on), sera bientôt vu par le bout de la lorgnette d’un navigateur, nos gourous nationaux sont sur le point de ressusciter une vieille blague d’unixien période Berkeley : « le système d’exploitation du jour est…. » (cocher le programme de votre choix). Car « utiliser provisoirement un navigateur alternatif », c’est s’attendre à terme à entendre des avis du genre « il est fortement conseillé d’utiliser provisoirement un système d’exploitation alternatif » ou « n’oubliez pas d’employer provisoirement votre traitement de texte alternatif »… et pourquoi pas « pensez à emporter votre téléphone alternatif ». Fort heureusement, changer de VM en cours de journée ne nécessite pas de profondes compétences techniques, et les attaques contre les smartphones appartiennent encore au monde onirique des blogueurs en mal de sensations. Seule la majorité des usagers grand-public et informatisés des PME ne saisira pas l’aspect « provisoire » de ces recommandations… vae victis. Pendant ce temps, les Cert US, du Zimbabwe, de Boznie-Herzégovine, de Xanadu et de Cypango signalent une probable vague d’attaques et conseillent de faire le dos rond en utilisant les navigateurs « courants » et non « alternatifs ».
Lorsque les maîtres à penser de la sécurité ( certains américains, d’autres Français) conspuent la presse en l’accusant de sombrer dans le sensationnalisme et de ne « rien y connaître », à nouveau, l’on se pose des questions. Quel expert faut-il écouter ? Le gourou des virus (ou son directeur marketing) qui arbore fièrement le blason et l’objectivité d’un éditeur d’A.V. ? Le CSO de Google ? Le spécialiste de Wireshark et de Népenthes ? Au fil des intérêts ou désintérêts de chacun, l’échelle de Richter de la faille passe de « vague H1N1 médiatique » à « épidémie de peste bubonique avec surinfection d’ongle incarné». Affirmations d’ailleurs généralement mâtinées de toutes les précautions de langage qui, le temps venu, permettront à celui qui se serait trop laissé aller de se dédire en renchérissant : « déjà, à l’époque, j’avais avancé l’hypothèse que …. »
Mais on ne sait plus du tout que penser lorsque les politiques s’en mêlent, comme en témoignent les articles publiés dans Rue 89, Le Monde ou la BBC. Les spécialistes des conflits asymétriques y perdent leur latin et tentent d’expliquer les différentes facettes de cette affaire. Car le casus-belli profite presque à tout le monde. A Google, qui utilise ce catalyseur pour entamer un désengagement de Chine et se refaire une virginité, au moment même où son image bigbrotheriste devenait difficile à porter. A Washington, qui saisit l’occasion de se montrer « ferme à peu de frais » et ainsi clouer le bec aux ultras républicains qui accusent d’attentisme le pouvoir démocrate en place. A Pékin, également, pour qui cette « accusation sans preuve » est l’occasion d’affirmer un peu plus son refus de se voir infliger des leçons de démocratie de la part de pays étrangers. Google, Jeux Olympiques ou Tibet, même combat. Les seuls dindons de la farce sont donc les quelques « 15 autres entreprises » qui auraient fait les frais de ce fameux cyber-assaut et qui ont préféré faire profil bas de peur de se ridiculiser ou de se décrédibiliser. Attitude bien entendu décidée encore et toujours par des « cellules de crise », conduites par d’autres « experts en sécurité » dont les opinions et stratégies sont à l’opposé de celles de Google ou du Pentagone.
Chez les analystes technico-géo-politiques, toujours ce même partage des sentiments. Les uns, tel Joe Stewart de SecureWorks, défendent bec et ongle l’hypothèse de l’origine Chinoise et de l’attaque coordonnée. Propos que Brian Krebs vulgarise avec sont talent habituel. Une thèse que Graham Clueley de Sophos défend du bout des lèvres, en expliquant qu’il est impossible de prouver scientifiquement l’origine de l’attaque. Une discours que le Quai d’Orsay avait également tenu lors de la vague de tentatives d’intrusions qui avait frappé les serveurs de l’Administration Française. Des subtilités de langage évidentes pour un habitué des questions sécurité et de diplomatie, mais qui paraîtront bien obscures et pas très franches du collier pour un non-initié. Certes, dans le landernau des RSSI, tout le monde sait que Clueley, ex-technicien de Dr Solomon, est un homme marketing et que Stewart est un savant incontesté, un ancien du LUHRQ. Mais le monde, ce n’est pas Landernau.
Et si la presse généraliste, dans son imprécision et ses affirmations fantasmatiques, n’était que le reflet de l’opinion et de l’attitude de tous ces experts en sécurité ?