La NSA affirme divulguer la plupart des graves failles 0 day qu'elle exploite

L'agence explique avoir communiqué aux éditeurs 91% des vulnérabilités qu'elle a exploitées dans leurs produits. Mais elle oublie de dire qu'elle s'en sert avant...

La NSA a décidé d'en dire un peu sur ses pratiques concernant les failles 0 day, celles qui ne sont pas patchées. Sur son site, l'agence affirme communiquer aux éditeurs la grande majorité des vulnérabilités qu'elle exploite. Elle avance même le chiffre, très précis, de 91% de failles révélées. Les 9% restants englobent à la fois les vulnérabilités qui ont pu être corrigées avant qu'elle les transmette, mais aussi les failles utilisées pour la sécurité nationale – c'est-à-dire, notamment à des fins d'espionnage.

Reuters apporte une précision très importante à ce chiffre de 91%. D'après un responsable de la Maison Blanche cité par l'agence de presse, la NSA communique bien toutes ces failles 0 day, mais après les avoir exploitées… Cette même source a aussi expliqué à l'agence de presse que parmi les vulnérabilités divulguées figurent également celles que la NSA a achetées. Il existe en effet un marché des 0 day – la semaine dernière une entreprise ne cachait d'ailleurs pas avoir déboursé un million de dollars pour s'offrir une faille affectant iOS 9, et qu'Apple ne connaîtra pas, du moins "pas tout de suite".

La NSA n'a pas souhaité commenter les citations recueillies par Reuters.

Apple / Faille