Hacker fumeux et Commissaire priseur
L'histoire a fait un véritable tabac : en ce début de semaine, un certain Fearwell décidait de vendre aux enchères en ligne un rapport de faille Excel parfaitement exploitable et un poster comportant un autographe. Le montant des actions s'est même anormalement envolé, nonobstant le fait que l'auteur était jusqu'à présent totalement inconnu du milieu de la sécurité. On a même vu, au nombre des enchérisseurs, de respectables et très jeunes pédégés... ou des personnes se faisant passer comme telles, aller jusqu'à proposer 1200$, non, pas pour l'exploit, mais pour le poster.
Comme il fallait s'y attendre, les enchères furent fermées et l'histoire vite oubliée. Quelques papiers de ci, de là, firent remarquer que la mode de l'achat d'exploit par iDefense ou Tippingpoint devait y être pour quelque chose, que le métier foutait le camp, que la bombe atomique détraquait franchement les esprits, et qu'autrefois, on n'aurait jamais vu une chose pareille : une faille est soit rendue publique gratuitement, soit gardée jalousement par ses talentueux auteurs. Et n'allons pas salir les choses avec de l'argent tout de même.
Il faut admettre que cette affaire crée un précédent, qui va probablement transformer radicalement les professionnels de Drouot. Outre un savoir encyclopédique en Histoire de l'Art et en estimation du chiffre de l'argent déposé sur les couverts et chandeliers, les hommes au marteau devront également maîtriser l'art du Buffer Overflow et être capable d'estimer la viabilité d'un robinet à XSS sous I.E., la richesse commerciale d'un kernel failure ou la beauté intrinsèque d'une injection de macro cachée sous l'épaisse couche de spoofing provoquée par une erreur XML. Selon la qualité et la quantité de l'offre et le parterre d'enchérisseurs -spammers professionnels, éditeurs de sites roses, officiers des Renseignements Généraux, associations de pirate à but lucratif etc-, le Commissaire sera à même de proposer une valeur marchande au bout de code mis en vente. Ceci dit, la part la plus dure du métier sera assumée par les commissionnaires. Outre le Savoyard de Tarentaise*, ils devront apprendre à parler l'assembleur Intel et Symbian, le C++, le VBA, et acheminer ces informations en toute discrétion et sans altération aucune. C'est sacrément plus compliqué que de devoir soulever une commode Louis XIII ou un buffet Henri II.
* Les « vestes noires-cols rouges » sont tous, à Drouot, Savoyards patoisants en vertu d'un privilège accordé par Napoléon III. Arvi'pa.