Chacun son niveau de parano effectivement et on peut imaginer n'importe quel détournement sans forcement faire de l'anti-américanisme primaire: ton FAI français ou ton hébergeur français peut très bien faire la même chose sous ordre d'un organisme qui aurait autorité dessus.
Je rapporte des faits avérés et un scénario d'attaque qui y concorde, libre à toi de faire d'en faire des conclusions. Je pense que mon FAI aurait un peu plus de mal à injecter son payload avec vérification d'identité sur Lafibre.info (site en SSL+HSTS avec paramètres stricts pour rappel). Bien sûr il existera toujours nombre d'autres vecteurs d'attaque potentiels, ce n'est qu'une backdoor de plus que l'administrateur du site est libre de laisser ou non.
Tu sembles prompt à faire des projections sur la supposée paranoïa
de tes interlocuteurs, si ça peut te rassurer, j'utilise d'abord l'activation sur demande des plugins et du JavaScript pour des raisons de consommation de ressources (je suis sur une machine faible en RAM, les navigateurs se goinfrent toujours plus en ressources au fur et à mesure que les version se suivent), et divers filtres Adblock également pour alléger les pages.
Qu'une personne travaillant dans un domaine sensible avec une grosse compétition américaine se protège ainsi ça se comprend mais un ado lambda, une mère de famille ou un boulanger ou que sais-je encore, un peu moins voir pas du tout.
Ce n'était peut-être pas clair, je parlais toujours de la présence de Google Analytics sur Lafibre.info.
Il ne faut pas oublié les effets de masse: plus un service ou un produit est utilisé plus de gens le scrute, l'examine, le contrôle, etc et plus la société qui le fournit risque gros s'il elle se fait choper à faire des choses pas réglo.
Qui se cachent encore difficilement de collaborer largement avec divers gouvernements, dont certains organismes sont eux connus pour prendre une certaine liberté sur le respect de la loi, et ne demanderont pas nécessairement pour s'installer sur les routeurs de leurs entreprises de toutes façons.
La diffusion d'un payload peut être très ciblée, et camouflée par la présence d'un comportement plus générique (cf. un des modules d'Equation qui reproduisait des comportements typiques de malware pour ne pas trop attirer l'attention des chercheurs et se faire classer comme un trojan générique, ce qui a fonctionné).
Apres le buzz et le FUD que Kaspersky et d'autres diffusent pour servir leur propre intérêt c'est aussi une autre histoire (sans nier certains faits avérés mais on les remettant a leur juste mesure notamment en terme de date et de chiffres d'impact).
Il y a certes une partie de publicité qui ira aux auteurs du papier, ce que dans tous les cas une entreprise privée rejetterait difficilement, mais aussi beaucoup d'informations techniques qui présentent un réel intérêt. Ce qui est surtout aberrant, c'est qu'il ait fallu des années pour que la communauté de la sécurité informatique soit au courant de l'existence de cette plateforme de malwares d'espionnage, qui dans tous les cas existe bel et bien (une recherche Google suffit pour en télécharger des samples librement, j'en ai d'ailleurs ouvert un dans IDA pas plus tard qu'il y a quelques heures pour ma curiosité personnelle), et qui remet carrèment en cause l'état de l'art en matière de persistance par infection de microcontrôleurs. Rien que le faible taux de détection VirusTotal pour la variété de cibles importantes connues était aberrant en fait. Je pense qu'en tous cas sur ce point là, on ne peut pas nier que la publication de cet article était une bonne chose.