 |
Assiste.com
| |
CVE - Common Vulnerabilities and Exposures
CVE : Identifiant unique et international d'une description (succincte tant qu'elle n'est pas corrigée) d'une vulnérabilité (faille de sécurité).
16.09.2023 : Pierre Pinard.
 |
|
Dossier (collection) : Encyclopédie |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
Un CVE (Common Vulnerabilities and Exposures) est un document consignant la découverte d'une vulnérabilité ou d'une faille de sécurité informatique et la décrivant en termes de causes et, si elle a été exploitée malicieusement, en termes d'effets.
Chaque document CVE est référencé et est stocké dans une base de données mondiale des CVE.
Un CVE est un document qui :
- Enregistre sa date d'inscription.
- Se dote d'une référence unique.
- Se dote d'un titre.
- Décrit la vulnérabilité de manière textuelle.
- Décrit la vulnérabilité de manière technique (causes et conditions). Tant que la vulnérabilité n'est pas corrigée et qu'un certain temps ne s'est pas écoulé pour que la correction soit déployée, la description technique n'est pas inscrite dans le CVE, à plus forte raison si la découverte est le fruit d'un hacker « chapeau blanc » et qu'aucun cybercriminel (hacker « chapeau noir ») ne l'a encore découverte et exploitée.
| Annonce |
Cet horodatage sert de preuve avec différents objectifs :
- Prouver l'antériorité de la découverte dans les batailles d'ego que se livrent les hackers « chapeaux blancs » et les chercheurs en sécurité informatique.
- Dater le départ de la découverte afin de voir à quelle vitesse un constructeur ou un éditeur corrige une faille.
- Fixer l'échéance d'un délai donné au constructeur ou à l'éditeur (généralement entre 30 et 90 jours) pour corriger la faille avec menace de révéler publiquement et totalement la faille et son exploitation à l'échéance (Full disclosure).
- Enregistrer la description de la vulnérabilité, et, éventuellement, la description de son exploitation (ou une POC - Proof of Concept - Preuve de fonctionnement).
- Suivre l'état de l'art de cette vulnérabilité dont les exploitations peuvent être diverses avec divers niveau de dangerosité.
La partie descriptive détaillée et les POC du « CVE » ne seront rendues publiques (partiellement) que lorsque la faille aura été corrigée.
| Annonce |
Le numéro d'enregistrement d'un CVE répond strictement à une syntaxe formelle :
CVE-AAAA-NNNN
- AAAA est l'année de publication de la fiche CVE
- NNNN est un numéro commençant à 0001 dans l'année en cours et simplement incrémenté par +1.
On remarquera qu'il n'était donc pas prévu plus de 9999 CVE (9999 failles de sécurité) par an. Le format est donc changé en 2018 :
CVE-AAAA-NNNNN
Un ensemble d'organisations est autorisé à créer / modifier les CVE : les CNA (CVE Numbering Authority).
| Annonce |
| Annonce |
Contrairement à la liste publique des CVE, il existe, depuis juillet 2002, une autre centralisation des CVE incluant les descriptions des failles de sécurité trouvées et de leurs exploitations. Que les failles soient trouvées avant exploitation, par des hackers en col blanc, ou trouvées et exploitées par des cybercriminels, ces publications détaillées sont dangereuses car pouvant servir de guide d'exploitation pour d'autres cybercriminels. Elles ne sont donc publiées de manière détaillées qu'une fois corrigées, généralement dans les trois mois qui suivent leurs corrections, afin de donner le temps à la correction d'être appliquée le plus largement possible par les mécanismes de mises à jour ou tout autres moyens.
Full Disclosure Mailing List
Exemples de CVE
| Annonce |
