C'est pas tout à fait exact. Beaucoup de script kiddies, et pas forcément les plus doués, ont leurs réseaux, et s'échange des exploits pour des failles qui ne sont pas encore publiées (0-day).
Les gens qui cherchent et découvrent des vulnérabilités ne sont d'ailleurs pas tous enclins à poster leurs résultats sur des listes publiques, ou même à prévenir les développeurs. Mais un exploit finit toujours par se diffuser, à plus ou moins grande échelle, avant que la vulnérabilité ne soit officiellement publiée.
[^] # Disclosure
Posté par dvrasp . En réponse à la dépêche Deux failles de sécurité pour les noyaux Linux 2.4.x et 2.6.x. Évalué à 4.
Les gens qui cherchent et découvrent des vulnérabilités ne sont d'ailleurs pas tous enclins à poster leurs résultats sur des listes publiques, ou même à prévenir les développeurs. Mais un exploit finit toujours par se diffuser, à plus ou moins grande échelle, avant que la vulnérabilité ne soit officiellement publiée.