Je vais prendre de mon temps pour t'expliquer commet ça marche (mais avec un petit effort, t'aurais pu trouver par toi même) :
Découverte d'une faille est découverte :
1) L'éditeur est mis au courant (quand elle n'a pas été trouvée directement par lui-même)
2) La plus part du temps, l'éditeur répare la faille AVANT de communiquer publiquement dessus. Elle DOIT prévenir ses clients si il estime qu'ils peuvent être impactés. Cela permet de ne pas aggravé le problème est diffusant une faille qui pourrait être exploitée par d'autres attaquants.
3) L'éditeur communique à minima auprès de la totalité de ses clients ou publiquement.
4) La faille est vérifiée par les experts de toutes les entreprises potentiellement impactées ainsi que par la communauté (C'est le passe temps de certaines personnes, chacun son délire, mais merci à eux). Ces expert vérifient que la faille est bien celle annoncée et que le correctif est effectivement efficace et prennent les mesures pour se protéger.
Alors, comme je te vois venir, qu'est ce qui empêche l'éditeur de mentir ou de cacher la vérité :
L'avantage de l'informatique c'est que tout est reproductible donc :
1) Si une faille existe il est possible de vérifier qu'elle existe
2) Si des données ont été volées, elles réapparaitront un jour ou l'autre et l'impact pour l'entreprise qui aurait caché son hack serait largement plus négatif que si elle l'avait annoncé.
3) Il y a des failles et des hacks tous les jours (y compris chez Microsoft), celui-ci a été un peu plus médiatisé mais ça n'a rien d'exceptionnel.
Pour tes autres questions :
Les autorités compétentes du coup, c'est qui ? Les équipes de Microsoft, les services de renseignement qui les aident à colmater les failles et à repérer les trainards, les administrations américaines ?
Les services de renseignements américains et français. Ce genre de problème est pris très au sérieux et la France comme les autres pays mènent leur enquêtes internes et communiquent auprès des entreprises du secteur.
Les journaux spécialisés en disent quoi, et se basent sur quelles sources ? Des sources internes et anonymes ou aussi sur les autorités compétentes ?
Ils se base à la fois sur les déclarations de l'éditeurs et/ou d'analystes externes ainsi que sur les vérifications effectuées par leurs équipes. (Encore une fois, chaque failles est vérifiable!)
La faille se situe le plus souvent entre la chaise et le clavier à ce qu'il parait ? Cette faille a-t-elle été identifié ?
C'est exact. Pour le cas présent, les hackeurs ont essayé un petit nombre de mot de passe très courants sur un grand nombre de compte différents en passant par des Proxy et VPN varié ce qui rend l'attaque très difficile à détecter. Parmi les comptes corrompus, il y avait un compte de test qui n'avait pas été désactivé en production (donc faute à Microsoft et impacte élevé).
D'où ma question vis a vis de la date de communication au sujet de cette MàJ NFS : si elle était prévue et annoncée de longue date, alors mea culpa, j'ai fait fausse route.
Je dirais que ça fait une semaine au moins que j'ai un avertissement dans le launcher pour une maj, mais je ne peux pas garantir qu'il s'agit de celle-ci, j'ai lu le message en diagonale.
Je te remercie grandement pour ces explications détaillées, d'avoir pris le temps de le faire et de m'avoir épargné ces recherches.
Belle mise en abîme : tacler gratuitement tout un peuple, qui n'a rien demandé, sans aucun rapport avec l'article, en lui reprochant sa mentalité.
Du coup, si je m'en tiens à ta logique, j'en déduis que tu es français ?