Un observateur aguerri pourra constater, à la lecture des “bulletins d’alerte” publiés chaque premier mardi du mois par Microsoft, que certains codes corrigent 2, 3 voire 4 générations différentes d’un même programme. Ce qui signifie que certains problèmes sont latents depuis plusieurs générations, que des trous de sécurité “traînent” ou sont passés inaperçus pendant parfois plus de 3 ans. Soit parce que l’éditeur considérait le problème comme mineur tant qu’il était le seul à en connaître l’existence, soit parce que personne n’avait officiellement fait cette découverte. Corriger un défaut peut parfois coûter très cher, tant en développement qu’en tests de non-régression (incompatibilités ultérieures avec des programmes qui ne sont plus “bug compatibles”).
Insistons sur le mot “officiellement”, car détenir une faille non répertoriée constitue, pour certains, un trésor inestimable. A commencer par les services de police et les agences de renseignements, qui utilisent ces trous pour mieux espionner leurs adversaires. Richesse également pour les diffuseurs de spywares, de virus divers, qui cherchent à rentabiliser au mieux ce genre de connaissances, afin qu’elles servent le plus longtemps possible. Fortune, surtout, pour “l’inventeur” du trou, qui négocie sa trouvaille au plus offrant. Entre 500 $ et 3000 $ pièce, selon la discrétion de l’exploit, la popularité du programme, la “puissance” ou la latitude d’accès qu’offrent la vulnérabilité, l’offre et la demande sur les marchés officiels ou underground. A ce “prix à la pièce” doivent s’ajouter les gains dérivés, tel que l’argent qui sera rapporté par une campagne de phishing ou de spam fructueuse, le chiffre d’affaires d’un éditeur d’antivirus et autres outils de protection (firewalls) ou d’inventaire de failles… Certes, certains gains sont plus honorables que d’autres, plus légitimes. Mais il faut bien admettre que sans défauts logiciels, des pans entiers de l’industrie informatique, des dizaines de milliers d’emplois viendraient à disparaître du jour au lendemain.
