La NSA aime les vulnérabilités de sécurité. L'agence de sécurité nationale américaine a même payé la société VUPEN pour des informations sur des vulnérabilités et leur exploitation. Pas franchement le genre d'informations dont on imagine qu'elles seront ultérieurement divulguées auprès des premiers concernés.

NSA Pourtant, la NSA affirme " qu'historiquement ", elle a divulgué dans 91 % du temps les vulnérabilités qu'elle a découvertes dans des produits développés ou utilisés aux États-Unis. Soit… la première question qui vient à l'esprit est alors de savoir ce qu'il en est pour les 9 % des cas restants.

La réponse est que ces 9 % de vulnérabilités ont été corrigées par les fabricants et entreprises affectés avant qu'ils ne soient prévenus par la NSA. Mais elles peuvent également ne pas avoir été divulguées pour les fameuses raisons de sécurité nationale.

" Divulguer une vulnérabilité peut signifier que nous renonçons à une opportunité de recueillir des renseignements étrangers cruciaux qui pourraient contrecarrer une attaque terroriste, arrêter le vol de notre propriété intellectuelle nationale, ou même de découvrir des vulnérabilités encore plus dangereuses qui sont utilisées pour exploiter nos réseaux "

, peut-on lire sur le site de la NSA.

Par ailleurs, tout n'est pas aussi limpide que cela. Un ancien responsable de la Maison-Blanche souligne à Reuters que la NSA ne dit pas quand les divulgations sont faites. Pour lui, une " hypothèse raisonnable " est que la plupart des vulnérabilités divulguées (les 91%) le sont après avoir été exploitées.