Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  01.06.2024      r-  10.07.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Un CVE (Common Vulnerabilities and Exposures) est un document consignant la découverte d'une vulnérabilité ou d'une faille de sécurité informatique et la décrivant en termes de causes et, si elle a été exploitée malicieusement, en termes d'effets.

Chaque document CVE est référencé et est stocké dans une base de données mondiale des CVE.

Un CVE est un document qui :

  1. Enregistre sa date d'inscription.
  2. Se dote d'une référence unique.
  3. Se dote d'un titre.
  4. Décrit la vulnérabilité de manière textuelle.
  5. Décrit la vulnérabilité de manière technique (causes et conditions). Tant que la vulnérabilité n'est pas corrigée et qu'un certain temps ne s'est pas écoulé pour que la correction soit déployée, la description technique n'est pas inscrite dans le CVE, à plus forte raison si la découverte est le fruit d'un hacker « chapeau blanc » et qu'aucun cybercriminel (hacker « chapeau noir ») ne l'a encore découverte et exploitée.




Cet horodatage sert de preuve avec différents objectifs :

La partie descriptive détaillée et les POC du « CVE » ne seront rendues publiques (partiellement) que lorsque la faille aura été corrigée.




Le numéro d'enregistrement d'un CVE répond strictement à une syntaxe formelle :

CVE-AAAA-NNNN

  • AAAA est l'année de publication de la fiche CVE
  • NNNN est un numéro commençant à 0001 dans l'année en cours et simplement incrémenté par +1.

On remarquera qu'il n'était donc pas prévu plus de 9999 CVE (9999 failles de sécurité) par an. Le format est donc changé en 2018 :

CVE-AAAA-NNNNN

Un ensemble d'organisations est autorisé à créer / modifier les CVE : les CNA (CVE Numbering Authority).







Contrairement à la liste publique des CVE, il existe, depuis juillet 2002, une autre centralisation des CVE incluant les descriptions des failles de sécurité trouvées et de leurs exploitations. Que les failles soient trouvées avant exploitation, par des hackers en col blanc, ou trouvées et exploitées par des cybercriminels, ces publications détaillées sont dangereuses car pouvant servir de guide d'exploitation pour d'autres cybercriminels. Elles ne sont donc publiées de manière détaillées qu'une fois corrigées, généralement dans les trois mois qui suivent leurs corrections, afin de donner le temps à la correction d'être appliquée le plus largement possible par les mécanismes de mises à jour ou tout autres moyens.

Full Disclosure
Full Disclosure Mailing List


Exemples de CVE

CVE - Common Vulnerabilities and Exposures - Avant correction de la faille
CVE - Common Vulnerabilities and Exposures - Avant correction de la faille


CVE - Common Vulnerabilities and Exposures - Après correction de la faille
CVE - Common Vulnerabilities and Exposures - Après correction de la faille