Mais point d’inquiétude, les trous de sécurité les plus importants sont généralement communiqués directement et discrètement à l’éditeur responsable, et seulement dévoilés au public une fois le problème corrigé par une rustine. Excepté si l’éditeur refuse de reconnaître l’existence de la faille ou tarde à la corriger. Dans ces conditions, il n’est pas rare que l’inventeur (celui qui découvre la faille) lâche l’information sur un site public ou cherche à vendre sa trouvaille. Certains hackers ont tenté de vendre des failles sur eBay. D’autres utilisent les canaux plus officiels du ZDI, Zero Day Initiative orchestré par TippingPoint (http://www.zerodayinitiative.com/about/benefits/) ou du laboratoire iDefense (http://labs.idefense.com/vcp/).
On a même, durant une brève période, vu apparaître une entreprise Italo-Helvète, WabiSabi- Labi, qui devait jouer le rôle de “place de marché” de la faille. Sans grand succès d’ailleurs. Mais pour certains, la majorité des failles doit être divulguée gratuitement, pour couper court à toute tentative de spéculation mafieuse ou de camouflage.
Les résultats de ces publications se lisent chaque jour sur la mailing list du Full Disclosure (https://lists.grok.org.uk/mailman/listinfo/full-disclosure), les colonnes du Bugtraq (http://www.securityfocus.com/archive/1), le journal quotidien du Danois Secunia (http://secunia.com/advisories/) ou les archives de Milw0rm (http://www.milw0rm.com/).
Chez Microsoft, les bulletins publiés sur le Technet ne concernent que les failles découvertes sur les noyaux Windows et applications bureautiques et serveurs (http://www.microsoft.com/technet/security/Current.aspx).
Cependant, les sources d’information les plus fiables demeurent, pour les vulnérabilités, la liste Common Vulnerabilities and Exposures (CVE) dressée par un organisme de recherche gouvernemental Américain, le Mitre (http://cve.mitre.org/data/downloads/allcves.html).
Les problèmes de configuration sont répertoriés sur le Common Configuration Enumeration (CCE) (http://cce.mitre.org), les indices de dangerosité sont consultables sur le site du Common Vulnerability Scoring System (CVSS) (http://www.first.org/cvss/) et le dictionnaire des familles de failles se compulse sur le Common Weaknesses Enumeration (CWE) (http://cwe.mitre.org/).
En France, le site d’information le plus clair et le plus synthétique sur le sujet est celui du “Cert Industrie” (http://www.cert-ist.com/). C’est l’équivalent du Cert US (http://www.us-cert.gov/), autrement dit un observatoire objectif et dépassionné capable d’apporter un avis pondéré sur la dangerosité réelle de telle ou telle faille. Ces lectures peuvent, le cas échéant, être accompagnées du suivi de certains blogs de laboratoires. Celui de l’Avert Lab de McAfee (http://www.avertlabs.com/research/blog/) ou celui du Cert Lexsi Français (http://cert.lexsi.com/weblog/index.php/fr).
