A l’heure actuelle, la proportion d’exploits visant des programmes « non Microsoft » tend à croître de manière exponentielle. Dame, depuis l’invention du Patch Tuesday, il devient de plus en plus difficile de trouver une faille qui offre un véritable retour sur investissement. Avant que les « scanners gratuits de vulnérabilités » et autres programmes de prévention généralistes ne se banalisent et viennent empoisonner la vie des auteurs de malwares, l’on assiste à une véritable mode du « PoC exogène ». Du bug Java au trou Acrobat Reader, du défaut Winzip à l’instabilité FlashPlayer, il n’est bon de bon exploit qui n’est pas Microsoft. Parmi les préférés du genre, Adobe a connu, ces derniers mois, un succès d’estime quasi mondial : un produit fiable, réservant chaque semaine une faille d’autant plus intéressante que très peu d’utilisateurs pensent à effectuer les mises à niveau. Précisons également qu’il existe des milliards de vieux « readers » de fichiers pdf, tapis dans les recoins d’un antique CD-Rom de démonstration, camouflés au détour d’un « readme » lié à une procédure d’installation.
Pour améliorer la situation, l’équipe sécurité de l’éditeur « promet d’être plus réactive que par le passé, plus communicante, plus… » rapide, surtout. Pour que des failles connues ne se transforment pas derechef en vecteurs d’infection ou d’espionnage. Première preuve de cette volonté d’information et de transparence, le Blog Asset, pour Adobe Secure Software Engineering Team. Bourré de bonnes intentions… mais peut-être truffé de détails diaboliques. Une lecture attentive montre que certains passages nécessitent une interprétation du droit canon digne des querelles du Concile de Nicée. Et notamment ce court passage mentionnant cette attention portée aux travaux des chercheurs en sécurité qui se conforment aux « standards de l’Industrie en matière de divulgation » (sic). Ca commence bien : un « standard » autoproclamé, voilà une preuve indiscutable de libéralisme éclairé, digne de la tolérance prônée par le Siècle des Lumières. Rappelons -les chercheurs d’Elcomsoft en ont fait la dure expérience- qu’Adobe était jusqu’à présent plus prompt à dégainer les avocats que les compilateurs, les affidavits expédiés aux agents du FBI que les bulletins d’alerte. Peut-on chasser le naturel en galopant sur un Blog ?