01.04.2012 - Révision 21.08.2020 - Révision mineure 18.02.2021. Auteur : Pierre Pinard.
Dossier (collection) : Encyclopédie informatique |
---|
Introduction Liste Plan du site Malwarebytes et Kaspersky recommandés Amazon |
Sommaire (montrer / masquer) |
---|
Le dictionnaire des « CVE » est une base de données unique, internationale, intégrale, enregistrant les découvertes de failles de sécurité informatiques, vulnérabilités et risques, chronologiquement (Les CNA réservent des blocs d'identificateurs, ce qui fait que les identificateurs ne sont pas purement chronologiques), au moment de la publication de leurs découvertes, avant leurs corrections.
Le dictionnaire des « CVE » est maintenu par l'organisme « MITRE », soutenu par le département de la Sécurité intérieure des États-Unis. Cela a commencé en octobre 1988.
MITRE est une organisation à but non lucratif américaine dont l'objectif est de travailler pour l'intérêt public. Ses domaines d'intervention sont les domaines de la défense et du renseignement, de l'aviation, des systèmes civils, de la sécurité intérieure, de la justice, de la santé et de la cybersécurité.
Un « CVE » est un document signalant un problème de sécurité informatique, à qui il est donné automatiquement un numéro d’enregistrement chronologique.
Un « CVE » est un document :
La partie descriptive détaillée et les POC du « CVE », ne seront rendues publiques (partiellement) que lorsque la faille aura été corrigée.
Le numéro d’enregistrement d’un « CVE » répond strictement à une syntaxe formelle :
CVE-AAAA-NNNN
AAAA est l'année de publication de la fiche « CVE »
NNNN est un numéro commençant à 0001 dans l’année en cours et simplement incrémenté par +1.
On remarquera qu'il n'est/n’était donc pas prévu plus de 9999 CVE (9999 failles) par an. Le format est donc changé en 2018 :
CVE-AAAA-NNNNN
Un ensemble d'organisations est autorisé à créer/modifier les CVE : les CNA (CVE Numbering Authority)
A l'opposé, dans l'esprit, des « CVE », il existe, depuis juillet 2002, une page de centralisation des « Full disclosures » : la Full Disclosure Mailing List.