Qu’est ce qu’une CVE ?


Le système CVE (Common Vulnerabilities and Exposures) permet de recenser toutes les failles et les menaces liées à la sécurité des systèmes d’information. Pour ce faire, un identifiant unique est attribué à chaque faille.

Format de l’identifiant :
CVE-AAAA-NNNN (AAAA est l'année de publication et NNNN un numéro d'identifiant unique).

L’objectif est de constituer un dictionnaire qui recense toutes les failles avec une description succincte de la vulnérabilité, ainsi qu’un ensemble de liens que les utilisateurs peuvent consulter pour plus d’informations. Cette base vous est proposée pour consultation et reste maintenue par l'organisme à but non lucratif MITRE soutenu par le département de la Sécurité intérieure des États-Unis. Pour consulter les CVE il suffit de se rendre sur https://www.cve.mitre.org.

Dans la base de données du système CVE on retrouve l’identifiant de l’une des dernières vulnérabilités qui a permis une attaque massive par ransomware (Wannacry) : CVE-2017-0144. Il s’agit de l’identifiant de la faille dans le protocole SMB, celle qui est à l’origine de l’arrêt des lignes de production de Renault. Plus 200.000 ordinateurs on été impactés dans environ 100 pays.

On retrouve aussi, dans cette même base, l’identifiant de l’une des failles les plus importantes des ces dernières années : CVE-2014-0160. « Heardbleed » est le nom d’une faille de sécurité présente dans le logiciel open source OpenSSL. Pour en savoir plus sur cette vulnérabilité nous vous invitons à consulter l'article "HEARTBLEED OPENSSL : EXPLICATION ET EXPLOIT" rédigé par l’un de nos collaborateurs sur notre site.


Comment publier une CVE ?


Tout d’abord, il faut préciser que les CVE concernent seulement les logiciels (les CMS étant considéré comme des logiciels). Lorsqu’une faille est détectée on dit qu’il s’agit d’une « 0 Day ». Cela signifie qu’elle n’a pas fait l’objet de publications ou de correctifs. Si l’entreprise cible accepte la faille elle peut faire une demande auprès du MITRE pour faire valider la CVE. Si le MITRE estime que le logiciel en question est très utilisé et supporté il validera la demande de l’entreprise. Il est aussi en droit de refuser. Lorsque le MITRE donne son consentement, il transmet un identifiant unique CVE à l’entreprise qui doit à remplir un formulaire avec une description complète de la vulnérabilité. L’entreprise peut se faire aider de la personne qui a mis la faille en évidence. Une fois complété, le formulaire est retourné au MITRE afin de rendre public la faille.

Les deux entreprises qui déposent le plus de CVE sont Apple et Microsoft. Pour une entreprise, déposer une CVE est synonyme de transparence vis à vis des consommateurs concernant leur politique de sécurité.

Il existe aussi le système CWE (Common Weakness Enumeration) qui inclut des catégories plus spécifiques de vulnérabilité afin que les entreprises puissent mieux comprendre le fonctionnement des failles qui peuvent toucher leur logiciel. Dans ce registre on peut, par exemple, trouver des descriptifs sur les failles XSS, CSRF, SQLi, …