La Rand Corporation publie une étude plutôt copieuse de 115 pages, entièrement consacrée aux exploits « Zero Days », travail qui repose sur l’analyse quasi « sociologique » d’environ 200 failles « inconnues et non corrigées » au moment de leur exploitation, le tout sur une période allant de 2002 à 2012. Un formidable travail de bénédictin qui classe les failles en X catégories : les « vivantes », connues publiquement, les « immortelles », qui ne seront jamais corrigées, généralement en raison de la disparition de l’éditeur et de l’absence de maintenance du code, les « décédées », celles pour lesquelles un correctif a été développé et enfin les « zombies », failles corrigées sur des versions récentes des logiciels faillibles, mais toujours actives sur des éditions plus anciennes. Les Zero Day se situent dans un monde parallèle, et parfois franchissent le pas qui va de l’ombre à la lumière, prenant alors de statut de faille vivante.
Combien de temps peut vivre un zéro day ? Longtemps, très longtemps. En moyenne 7 ans, affirment les statisticiens de Rand. Si certains trépassent dans leur prime jeunesse -25% n’ont une espérance de vie de seulement 1,5 an, ce qui n’est déjà pas mal, d’autres ont l’âme chevillée au corps. Sur 200 cas précis, 25% peuvent se maintenir en activité durant 8 ou 10 ans. Mais le moindre mouvement est susceptible de révéler l’existence de l’exploit sur les radars des chasseurs de faille. Et dans ce cas, le malware n’a plus qu’à numéroter ses abatis : en moins de 22 jours, une parade est développée puis déployée. C’en est fini du Zero Day.
Le taux de découverte d’un même ZDE par une équipe de recherche tierce est assez faible, aux environs de 5%. Une sorte d’assurance-immunité qui joue en faveur d’un marché parallèle florissant, dans les allées duquel se côtoient truands et barbouzes, clients prêts à payer très cher ces machines à intrusion. Entre 100 000 $ et un million de dollar (montant d’une panoplie complète d’attaque sur iPhone). Une lecture que l’on ne peut que recommander aux agents de la CIA.