Un CVE (Common Vulnerabilities and Exposures) est une liste de failles de sécurité informatique publiquement divulguées. Lorsque quelqu'un fait référence à un CVE, il s'agit d'une faille de sécurité à laquelle un numéro d'identification CVE a été attribué.
Comment fonctionne le système CVE ?
Le programme CVE est supervisé par la MITRE, corporation financé par la Cybersecurity and Infrastructure Security Agency (CISA), qui fait partie du ministère américain de la Sécurité intérieure.
Dans ces différents systèmes, les identifiants CVE offrent aux utilisateurs un moyen fiable de reconnaître des vulnérabilités uniques et de coordonner le développement d'outils et de solutions de sécurité.
Comment fonctionnent les identifiants CVE?
Les identifiants CVE sont attribués par une autorité de numérotation CVE (CNA). Il existe environ 100 CNA, qui représentent les principaux fournisseurs informatiques (Red Hat, IBM, Cisco, Oracle et Microsoft) ainsi que des sociétés de sécurité et des organismes de recherche. MITRE peut également émettre des CVE directement.
Les ANC reçoivent des blocs de CVE, qui sont gardés en réserve pour être attachés aux nouveaux problèmes dès qu'ils sont découverts. Des milliers d'identifiants CVE sont émis chaque année. Un seul produit complexe, tel qu'un système d'exploitation, peut accumuler des centaines de CVE.
Les rapports CVE peuvent provenir de n'importe où. Un fournisseur, un chercheur ou tout simplement un utilisateur avisé peut découvrir une faille et la porter à l'attention de quelqu'un. De nombreux fournisseurs offrent des primes de bug pour encourager la divulgation responsable des problèmes de sécurité.
Souvent, un ID CVE est attribué avant qu'un avis de sécurité ne soit rendu public. Il est courant que les fournisseurs gardent secrètes les failles de sécurité jusqu'à ce qu'un correctif ait été développé et testé. Cela réduit les possibilités pour les attaquants d'exploiter les failles non corrigées.
Une fois rendue publique, une entrée CVE comprend l'ID CVE (au format "CVE-2019-1234567"), une brève description de la vulnérabilité ou de l'exposition à la sécurité, et des références, qui peuvent inclure des liens vers des rapports et des avis de vulnérabilité.
Quels sont les critères d'attribution d'un CVE ?
Les ID CVE sont attribués aux failles qui répondent à un ensemble spécifique de critères. Elles doivent être :
- Indépendamment réparable.
La faille peut être corrigée indépendamment de tous les autres bogues.
- Reconnu par le fournisseur concerné ou documenté.
Le fournisseur du logiciel ou du matériel reconnaît le bogue et son impact négatif sur la sécurité. Ou, le rapporteur doit avoir partagé un rapport de vulnérabilité qui démontre l'impact négatif du bug et qu'il viole la politique de sécurité du système affecté.
- Affectant une base de code.
Les failles qui ont un impact sur plus d'un produit obtiennent des CVE distincts. Dans le cas de bibliothèques, de protocoles ou de normes partagés, la faille obtient un seul CVE s'il n'y a aucun moyen d'utiliser le code partagé sans être vulnérable. Sinon, chaque base de code ou produit affecté obtient un CVE unique.