Assiste.com
CVE - Common Vulnerabilities and Exposures
Un identifiant « CVE » est l'enregistrement d'une description (publiquement succinte - juste la date tant qu'elle n'est pas corrigée) d'une vulnérabilité, dans un dictionnaire unique et international.
Le dictionnaire des « CVE » est une base de données unique, internationale, intégrale, enregistrant les découvertes de failles de sécurité informatiques, vulnérabilités et risques, chronologiquement (Les CNA réservent des blocs d'identificateurs, ce qui fait que les identificateurs ne sont pas purement chronologiques), au moment de la publication de leurs découvertes, avant leurs corrections.
Le dictionnaire des « CVE » est maintenu par l'organisme « MITRE », soutenu par le département de la Sécurité intérieure des États-Unis. Cela a commencé en octobre 1988.
MITRE
MITRE est une organisation à but non lucratif américaine dont l'objectif est de travailler pour l'intérêt public. Ses domaines d'intervention sont les domaines de la défense et du renseignement, de l'aviation, des systèmes civils, de la sécurité intérieure, de la justice, de la santé et de la cybersécurité.
Qu'est-ce qu'un CVE - Common Vulnerabilities and Exposures
Un « CVE » est un document signalant un problème de sécurité informatique, à qui il est donné automatiquement un numéro d’enregistrement chronologique.
Un « CVE » est un document :
- Enregistrant la date d’inscription d’une vulnérabilité découverte dans un code informatique (un programme, une application, un composant, etc.). Seule cette date (et une volontairement très vague allusion à ce dont il s'agit) est publique tant que la vulnérabilité n’est pas corrigée. Le « CVE » ne donne aucune information publique permettant à un cybercriminel d'exploiter la faille. Cet horodatage sert de preuve avec différents objectifs :
- Preuve d’antériorité de la découverte dans les batailles d’ego que se livrent les hackers « chapeaux blancs » et les chercheurs en sécurité informatique.
- Date de départ de la découverte permettant de voir à quelle vitesse un éditeur corrige la faille.
- Date d'échéance d'un délais donné à l'éditeur (généralement entre 30 et 90 jours) pour corriger la faille avec menace de révéler publiquement et totalement l'exploitation de la faille à l'échéance (Full disclosure).
- Enregistrant la description de la vulnérabilité, et, éventuellement, la description de son exploitation (ou une POC - Proof of Concept - Preuve de fonctionnement), l'état de l’art de cette vulnérabilité contre laquelle aucune protection n’existe actuellement et qui représente une dangerosité plus ou moins importante (faille critique, haute, modérée, basse… - Guide du système de notation des vulnérabilités V 2.0 et V 3.0).
La partie descriptive détaillée et les POC du « CVE », ne seront rendues publiques (partiellement) que lorsque la faille aura été corrigée.
Codification des CVE
Le numéro d’enregistrement d’un « CVE » répond strictement à une syntaxe formelle :
CVE-AAAA-NNNN
AAAA est l'année de publication de la fiche « CVE »
NNNN est un numéro commençant à 0001 dans l’année en cours et simplement incrémenté par +1.
On remarquera qu'il n'est/n’était donc pas prévu plus de 9999 CVE (9999 failles) par an. Le format est donc changé en 2018 :
CVE-AAAA-NNNNN
Un ensemble d'organisations est autorisé à créer/modifier les CVE : les CNA (CVE Numbering Authority)
Liste des CVE
- Liste par nouvelles entrées dans la liste, par MITRE et autres informations à propos de CVE par MITRE
- Recherches dans la liste CVE
- NIST NVD (National Vulnerability Database
- Liste des CVE ajoutés/modifiés aujourd'hui
Liste des Full Disclosure
A l'opposé, dans l'esprit, des « CVE », il existe, depuis juillet 2002, une page de centralisation des « Full disclosures » : la Full Disclosure Mailing List.
Full Disclosure Mailing List
Exemples de CVE
