Metasploit : 1, Response Teams : 0
Parallèlement à cette savoureuse histoire (voir ci-dessus) mêlant règlements de comptes et rebondissements juridico-politiques, H.D. Moore continue à piloter son opération « un bug de navigateur par jour ». Les dents grincent de toutes parts. Chez les éditeurs du domaine « closed source », cela va sans dire, et probablement également chez les malfrats du spam, phishing, spyware, backdoor et consorts, qui voient certaines de leurs « entrées privilégiées » se fermer à vitesse Grand V après divulgation. Mais c'est un fait connu, la pègre du spyware ou la mafia du phishing ne possède pas d'attachée de presse pour clamer son désaccord. Bien entendu, bien des éditeurs concernés par ce pilonnage Webesque rétorquent qu'il existe une sacrée différence entre le simple bug « planteur » de navigateur et la plus subtile « faille exploitable à distance »... trouver l'un ou l'autre n'a pas la même portée du point de vue de la défense périmétrique. C'est là un fait indéniable, quoiqu'une bonne attaque en déni de service peut parfois s'avérer bien utile pour camoufler une intrusion plus discrète et oh combien plus dangereuse. Il reste que la technique Moore -principalement à base de « fuzzing »- est un peu comme une exploitation minière : sur 10 tonnes de « stériles », on trouve généralement 100 kilos de galène argentifère et moins de 10 grammes d'argent natif. Sans perdre de vue non plus que la galène donnera, si elle est proprement bocardée et chauffée, de l'argent chiffré. Tout comme un mauvais bug saura un jour être utilisé comme composant d'une opération plus ambitieuse.
