Définition
Common Vulnerabilities and Exposures (« Vulnérabilités et expositions communes ») ou CVE est un dictionnaire d’identifiants uniques (CVE ID) attribués aux vulnérabilités de cybersécurité divulguées publiquement, fournissant une méthode normalisée pour identifier et communiquer des informations sur ces faiblesses.
Importance du CVE
Avant son lancement en 1999, les outils industriels utilisaient leurs propres bases de données et conventions de dénomination pour rendre compte des vulnérabilités en matière de sécurité, ce qui entraînait une communication inefficace avec d’autres outils et donc des lacunes dans les informations sur les vulnérabilités en matière de sécurité. Le système CVE a été conçu pour normaliser l’identification des vulnérabilités informatiques et le partage des informations.
Aujourd’hui, « CVE » est la norme de facto pour l’identification unique des vulnérabilités, établissant un moyen fiable de relier des versions spécifiques de logiciels ou de bibliothèques de logiciels à des vulnérabilités divulguées publiquement. Il peut ainsi être considéré comme un canal entre les scanners de vulnérabilités, les informations sur les correctifs, les patch managers (ou gestionnaires de correctifs) et les ingénieurs en sécurité.
Son utilisation a inévitablement conduit à une augmentation de l’efficacité des professionnels de la sécurité, des chercheurs et de la capacité des organisations à identifier, suivre et hiérarchiser les vulnérabilités. En outre, il facilite la collaboration, la réaction rapide et l’élaboration de stratégies d’atténuation efficaces.
Comment fonctionne le système CVE?
Le système CVE fonctionne en attribuant un identifiant unique à chaque vulnérabilité. Ces identifiants, connus sous le nom d’identifiants CVE, peuvent être demandés par n’importe qui en les soumettant à l’autorité de numérotation CNA (CNA Numbering Authority) appropriée. Les CNA sont des organisations qui ont été examinées et approuvées par le programme CVE pour attribuer des identifiants CVE et publier des enregistrements CVE dans leur zone de couverture spécifique. Ces organisations diffèrent en termes de territoire et d’expertise afin de couvrir le plus large éventail possible de types de vulnérabilités.
Programme CVE et base de données CVE
Le programme CVE et la base de données CVE (également connue sous le nom de National Vulnerability Database ou NVD) sont deux éléments distincts mais interconnectés dans le domaine du partage d’informations et de la gestion des vulnérabilités.
Le programme CVE : Géré par MITRE Corporation, le programme CVE est une initiative mondiale qui vise à fournir une convention de dénomination normalisée pour les vulnérabilités connues du public. Son principal objectif est d’attribuer aux vulnérabilités un identifiant unique (CVE ID), ce qui permet aux organisations de les référencer et de les suivre plus facilement. Le programme CVE fait office d’autorité centrale pour l’attribution et la gestion des identifiants CVE, afin d’assurer la cohérence entre les différents outils, bases de données et plateformes de sécurité.
La base de données CVE : Gérée par le National Institute of Standards and Technology (NIST), la base de données CVE est un référentiel complet d’informations sur les vulnérabilités. Elle contient des enregistrements détaillés des vulnérabilités, y compris leurs identifiants CVE, leurs descriptions, leurs niveaux de gravité, les versions des logiciels concernés et les références associées. La NVD, qui fait partie de la base de données CVE, offre une plateforme accessible au public où les utilisateurs peuvent rechercher des informations sur les vulnérabilités. Elle fournit également des ressources supplémentaires telles que des mesures de vulnérabilité, des systèmes d’évaluation tels que CVSS, et des liens vers des avis de sécurité et des correctifs.
MITRE vs. NIST
Le MITRE supervise l’attribution et la gestion des identifiants CVE dans le cadre du programme CVE. Il collabore avec les parties prenantes telles que les fournisseurs, les chercheurs en vulnérabilités et les organismes de sécurité afin de garantir une identification précise et rapide des vulnérabilités. Le MITRE tient également à jour la liste CVE, une source essentielle d’identifiants CVE et de détails associés.
Le NIST est responsable de la maintenance et de l’exploitation de la NVD, qui comprend la collecte de données sur les vulnérabilités auprès de diverses sources, la conservation et l’analyse des informations, et l’alimentation de la base de données CVE. Le NIST collabore avec le MITRE et d’autres organisations pour garantir l’exactitude et l’intégrité des données sur les vulnérabilités. Ils fournissent également des ressources et des outils supplémentaires pour aider les utilisateurs à comprendre les vulnérabilités et à y remédier efficacement.
En résumé, le programme CVE, géré par le MITRE, se concentre sur l’attribution d’identifiants uniques (CVE ID) aux vulnérabilités, tandis que la base de données CVE (NVD), gérée par le NIST, sert de dépôt d’informations sur les vulnérabilités, indexées principalement par les CVE ID. Le MITRE joue un rôle clé dans la gestion des identifiants CVE, tandis que le NIST est responsable de la conservation et de la maintenance du NVD, qui constitue une ressource précieuse pour la gestion des vulnérabilités et le partage d’informations.
Qu’est-ce qui qualifie une vulnérabilité pour une indexation CVE ?
Plusieurs facteurs sont pris en compte pour déterminer si une vulnérabilité peut se voir attribuer un identifiant CVE et donc être considérée comme une vulnérabilité et exposition commune. Pour se qualifier, la vulnérabilité :
- Doit être susceptible de compromettre la confidentialité, l’intégrité ou la disponibilité d’un système ou de données.
- La vulnérabilité doit pouvoir être reproduite de manière fiable dans des conditions spécifiques.
- Elle doit pouvoir affecter des logiciels, des systèmes ou des dispositifs largement utilisés.
- Elle doit être accompagnée d’une documentation claire ou de preuves démontrant l’existence et l’impact de la vulnérabilité.
- Elle ne peut pas dépendre d’autres vulnérabilités pour être exploitée.
- Il doit y avoir un besoin d’atténuation ou de remédiation pour remédier à la vulnérabilité.
Le programme CVE du MITRE couvre tous les types de vulnérabilités, y compris les vulnérabilités des logiciels/applications, les vulnérabilités de l’infrastructure/configuration et les vulnérabilités du réseau. La seule exception concerne les vulnérabilités des sites web ou des applications web, qui ne font pas l’objet d’une indexation CVE. En effet, l’objectif du programme CVE est de préconiser la mise à jour vers une nouvelle version du logiciel, ce qui n’est pas pertinent dans le contexte des sites web, qui sont mis à jour en arrière-plan.
Qu’est-ce que le CVE scanning ?
Le CVE scanning est un type d’analyse des vulnérabilités qui analyse les composants logiciels, les bibliothèques et les dépendances afin de détecter les vulnérabilités et expositions communes (CVE). La base de données des vulnérabilités divulguées publiquement à laquelle les scanners CVE se réfèrent fournit également des informations importantes sur la gravité et l’applicabilité de chaque vulnérabilité.
En effectuant un balayage CVE et en obtenant un aperçu de la gravité des vulnérabilités détectées, les organisations peuvent évaluer l’impact potentiel et la pertinence de chaque menace signalée.
Comment prévenir les attaques avec le CVE scanning
La meilleure façon de traiter une vulnérabilité logicielle est de l’empêcher de se produire. Nous conseillons donc aux développeurs de vérifier les bibliothèques tierces avant de les utiliser et de choisir des bibliothèques sans CVE critiques.
Étant donné qu’aucune solution ne peut garantir que le code de votre application est 100 % exempt de vulnérabilités, le CVE scanning est une mesure de sécurité permanente qui présente des avantages. Si les scanners CVE détectent un composant d’application connu pour être vulnérable, ils alertent les développeurs afin qu’ils corrigent le problème. Il est important de noter que les scanners CVE ne détectent pas toujours toutes les vulnérabilités potentielles, telles que les vulnérabilités zero-day qui n’ont pas encore été identifiées publiquement. Cependant, ils protègent contre la grande majorité des vulnérabilités.
Une fois les vulnérabilités détectées, vous devez évaluer le niveau de gravité en utilisant le niveau CVSS (Common Vulnerability Scoring System) de chaque alerte signalée. Les équipes expérimentées ont également tendance à utiliser des scanners CVE commerciaux avec des capacités basées sur le risque. Cela signifie qu’elles utilisent des logiciels de recherche de vulnérabilités qui peuvent aider à hiérarchiser les alertes qui présentent le plus de risques pour leur version spécifique.
Enfin, formulez et exécutez un plan pour atténuer la vulnérabilité. Le processus d’atténuation varie en fonction de la nature de la vulnérabilité, mais dans de nombreux cas, la correction de la vulnérabilité implique soit l’application d’un correctif, soit la mise à jour vers une version plus récente du composant tiers vulnérable. Si aucun correctif n’est disponible et que vous ne pouvez pas le mettre en œuvre vous-même, vous pouvez prendre des mesures pour empêcher l’exploitation de la vulnérabilité. Par exemple, vous pouvez mettre à jour la configuration de l’application de manière à ce que les conditions requises pour l’exploitation ne soient pas réunies.
De cette manière, vous pouvez contribuer à ce que les CVE soient détectées et non exploitées.
