Reste que l’interviewé, David Aucsmith, chargé de la technologie au sein de la Business Unit « sécurité » de MS, s’est montré légèrement optimise en déclarant « We have never had vulnerabilities exploited before the patch was known» « nous n’avons jamais rencontré de cas de failles exploitées avant que le correctif ait été sorti ».

En d’autres termes, les Zero Day Exploits n’existent pas. Et de citer en exemple la faille ASN1. De source pas trop digne de foi, l’exploit était « en bonne voie » au moment de la publication du correctif. Et nous ne nous permettrons pas de faire du mauvais esprit en exhumant les multiples inconsistances d’I.E. non corrigées, tel le défaut « URL Spoofing » ou d’autres trous ayant été, en leur temps, fortement alésés par des hackers chinois notamment.

Ce détail humoristique mis à part, les propos de Aucsmith sont empreints d’une évidente sagesse : patchez, patchez, patchez, et soyez persuadé que les systèmes actuels sont considérablement plus solides que leurs ancêtres. Pour qui a tâté du Windows depuis la 1.10 « French » livrée en bundle sur Goupil G4, c’est une évidence qui fait parfois froid dans le dos. Fort heureusement, les hackers, à l’époque, étaient bien plus passionnés par le phreaking que par le Buffer Overflow. Réaction logique, somme toute… lorsqu’il suffit parfois de regarder la machine d’un oeil torve pour qu’elle plante, ça ôte toute envie de sortir son Masm pour rédiger une bombe.

Source : Marc Olanié © (Réseaux & Télécoms)