Ce bilan n'est qu'une partie d'une vue d'ensemble dans la mesure où il ne se base que sur les résultats du programme Zero Day Initiative ( ZDI ). Cette initiative ZDI est placée sous l'égide de TippingPoint, notamment connu pour organiser le concours de hacking Pwn2Own.

Via ZDI, TippingPoint rémunère des chercheurs en sécurité pour la découverte de vulnérabilités. Pendant une durée de 180 jours, les trouvailles sont échangées de manière confidentielle avec les éditeurs de logiciels concernés. TippingPoint en profite pour mettre au point des mesures de protection dans ses propres produits.

Une fois ce délai passé, des détails sont divulgués publiquement. Cette année, TippingPoint a ainsi publié des détails pour 29 failles 0-day avec parmi les éditeurs : Cisco, HP, IBM et Microsoft.

Computerworld se montre plus explicite en désignant IBM, HP et Microsoft comme le trio le plus lent à corriger des failles 0-day. Sur les 29 failles, dix affectaient des produits IBM, six pour HP et cinq pour Microsoft.

En l'occurrence, il s'agissait pour Microsoft de failles dans Office. Pour la firme de Redmond, la divulgation publique a semble-t-il eu son petit effet puisque sur les cinq failles divulguées en février, toutes ont été corrigées en avril. Une correction qui n'a toujours pas eu lieu pour IBM et HP. C'est peut-être le comble, TippingPoint est une division de HP.

Pour nuancer, ajoutons que dans son dernier rapport de sécurité, Microsoft a indiqué que moins de 1 % des tentatives d'attaques exploitent une vulnérabilité 0-day.