CVE - Common Vulnerabilities and Exposures

Un identifiant « CVE » est l'enregistrement d'une description (publiquement succinte - juste la date tant qu'elle n'est pas corrigée) d'une vulnérabilité (une faille de sécurité), dans un dictionnaire unique et international.

24.09.2022 : Pierre Pinard.

Le dictionnaire des « CVE » est une base de données unique, internationale, intégrale, enregistrant les découvertes de failles de sécurité informatiques, vulnérabilités et risques, chronologiquement (Les CNA réservent des blocs d'identificateurs, ce qui fait que les identificateurs ne sont pas purement chronologiques), au moment de la publication de leurs découvertes, avant leurs corrections.

Le dictionnaire des « CVE » est maintenu par l'organisme « MITRE », soutenu par le département de la Sécurité intérieure des États-Unis. Cela a commencé en octobre 1988.

Qu'est-ce qu'un CVE - Common Vulnerabilities and Exposures

Un « CVE » est un document signalant un problème de sécurité informatique, à qui il est donné automatiquement un numéro d'enregistrement chronologique.

Un « CVE » est un document :

1. Enregistrant la date d'inscription d'une vulnérabilité découverte dans un code informatique (un programme, une application, un composant, etc.). Seule cette date (et une volontairement très vague allusion à ce dont il s'agit) est publique tant que la vulnérabilité n'est pas corrigée. Le « CVE » ne donne aucune information publique permettant à un cybercriminel d'exploiter la faille. Cet horodatage sert de preuve avec différents objectifs :
   • Preuve d'antériorité de la découverte dans les batailles d'ego que se livrent les hackers « chapeaux blancs » et les chercheurs en sécurité informatique.
   • Date de départ de la découverte permettant de voir à quelle vitesse un éditeur corrige la faille.
   • Date d'échéance d'un délais donné à l'éditeur (généralement entre 30 et 90 jours) pour corriger la faille avec menace de révéler publiquement et totalement l'exploitation de la faille à l'échéance (Full disclosure).
2. Enregistrant la description de la vulnérabilité, et, éventuellement, la description de son exploitation (ou une POC - Proof of Concept - Preuve de fonctionnement), l'état de l'art de cette vulnérabilité contre laquelle aucune protection n'existe actuellement et qui représente une dangerosité plus ou moins importante (faille critique, haute, modérée, basse… - Guide du système de notation des vulnérabilités V 2.0 et V 3.0).

   La partie descriptive détaillée et les POC du « CVE », ne seront rendues publiques (partiellement) que lorsque la faille aura été corrigée.

Codification des CVE

Le numéro d'enregistrement d'un « CVE » répond strictement à une syntaxe formelle :

CVE-AAAA-NNNN

AAAA est l'année de publication de la fiche « CVE »

NNNN est un numéro commençant à 0001 dans l'année en cours et simplement incrémenté par +1.

On remarquera qu'il n'est/n'était donc pas prévu plus de 9999 CVE (9999 failles) par an. Le format est donc changé en 2018 :

CVE-AAAA-NNNNN

Un ensemble d'organisations est autorisé à créer/modifier les CVE : les CNA (CVE Numbering Authority)

Liste des CVE

• Liste par nouvelles entrées dans la liste, par MITRE et autres informations à propos de CVE par MITRE
• Recherches dans la liste CVE
• NIST NVD (National Vulnerability Database
• Liste des CVE ajoutés/modifiés aujourd'hui

Liste des Full Disclosure

A l'opposé, dans l'esprit, des « CVE », il existe, depuis juillet 2002, une page de centralisation des « Full disclosures » : la Full Disclosure Mailing List.

Full Disclosure Mailing List

Exemples de CVE

CVE - Common Vulnerabilities and Exposures - Avant correction de la faille

CVE - Common Vulnerabilities and Exposures - Après correction de la faille

CVE - Common Vulnerabilities and Exposures - Faille Heartbleed dans OpenSSL

Annonce