L’une des stratégies de cyber-guerre de la NSA est de constituer un stock de failles 0-Day (Une faille Zero Day est une faille de sécurité informatique qui n’a pas été publiée, documentée et corrigée et pour laquelle une attaque est donc théoriquement aisée) dont elle peut se servir pour attaquer ces cibles, à l’intérieur comme à l’extérieur des frontières états-uniennes. Vu le budget très conséquent de l’agence pour acheter ces failles aux hackers qui les découvrent, le stock de 0-Day de la NSA est parfois imaginé comme astronomique, il n’en serait en fait rien selon Jason Healey, un chercheur de l’Université de Columbie. Ce nombre se compterait en dizaines, pas plus, et seule une poignée serait ajoutée chaque année au tas. Il a présenté ses recherches à la dernière Defcon de Las Vegas et a assuré que s’il ne pouvait pas être sûr de ce qu’il avançait il en avait la conviction. L’un des arguments de sa recherche est que la NSA est depuis peu « obligée » de communiquer un certains nombres de ces failles aux fabricants, et qu’on a pas pour autant vu un ras-de-marée de failles critiques arriver. La NSA communiquerait 91% des failles, et des 9% restants, un certain nombre constitue des failles qui sont entre temps découvertes par d’autres chercheurs. Notons que ce chiffre n’inclut pas les failles possédées par d’autres agences comme le FBI.
L’image des Aventuriers de l’Arche Perdue est couramment empruntée pour désigner les stocks de la NSA