Connexion / Inscription Account

Sécurité

Qu'est-ce qu'une CVE ?

L'acronyme CVE, pour Common Vulnerabilities and Exposures en anglais, désigne une liste publique de failles de sécurité informatique. Lorsque l'on parle d'une CVE, on fait généralement référence à l'identifiant d'une faille de sécurité répertoriée dans cette liste.

Les CVE aident les professionnels à coordonner leurs efforts visant à hiérarchiser et résoudre les vulnérabilités, et ainsi renforcer la sécurité des systèmes informatiques.

Fonctionnement du système des CVE

La liste CVE est supervisée par l'organisme MITRE et subventionnée par la CISA (Cybersecurity and Infrastructure Security Agency), qui fait partie du Département de la Sécurité intérieure des États-Unis.

Les entrées de la liste CVE sont brèves. Elles ne comprennent pas de données techniques, ni d'informations à propos des risques, des effets et des correctifs. Ces détails sont enregistrés dans d'autres bases de données, notamment dans la base de données NVD (National Vulnerability Database) des États-Unis ou la base de données CERT/CC Vulnerability Notes Database, ainsi que dans de nombreuses listes alimentées par des fournisseurs et d'autres organismes. Dans ces différents systèmes, les identifiants CVE permettent aux utilisateurs de différencier de manière fiable une faille de sécurité d'une autre.

Processus d'attribution d'un identifiant CVE à une faille de sécurité

Les identifiants CVE sont attribués par des autorités déléguées, les CNA (CVE Numbering Authority). Il existe environ 100 CNA qui représentent les principaux fournisseurs informatiques, ainsi que des entreprises de sécurité et des organismes de recherche. Le MITRE peut également émettre des CVE directement.

Les CNA disposent de blocs d'identifiants CVE alloués par le MITRE, qui sont réservés et attribués aux failles au moment de leur découverte. Des milliers d'identifiants CVE sont émis chaque année. Un seul produit complexe, un système d'exploitation par exemple, peut cumuler des centaines de CVE.

Les rapports de CVE peuvent avoir diverses origines : un fournisseur, un chercheur ou même un utilisateur avisé peut découvrir une faille et la signaler. De nombreux fournisseurs proposent des programmes de bug bounty qui encouragent et récompensent le signalement responsable des failles de sécurité. Si vous découvrez une vulnérabilité dans un logiciel Open Source, vous devriez la soumettre à la communauté.

D'une manière ou d'une autre, les informations concernant les failles finissent par parvenir jusqu'à une CNA. Celle-ci associe alors les informations reçues à un identifiant CVE, rédige une courte description et inclut des références. L'entrée est ensuite publiée sur le site web des CVE.

Toutes ces étapes ne sont pas forcément immédiates. Souvent, les fournisseurs ne révèlent pas l'existence d'une faille de sécurité tant qu'un correctif n'a pas été développé et testé. L'objectif est d'éviter qu'un cybercriminel n'exploite une faille non corrigée.

Une fois publique, une entrée de la liste CVE comprend un identifiant CVE (au format CVE-2019-1234567), une courte description de la vulnérabilité ou de la faille de sécurité, ainsi que des références, notamment des liens vers des rapports et des avis concernant la vulnérabilité.


Critères d'attribution d'un identifiant CVE

Les identifiants CVE sont attribués aux failles qui répondent à un ensemble de critères spécifiques :

1. Possibilité de correction indépendante

Chaque faille doit pouvoir être corrigée indépendamment de tout autre bogue.

2. Reconnaissance par le fournisseur concerné

L'éditeur de logiciel ou le fabricant de matériel doit reconnaître le bogue et son effet négatif sur la sécurité.

OU

Documentation Une personne a partagé un rapport de vulnérabilité qui permet de démontrer que le bogue a un effet négatif ET qu'il enfreint la politique de sécurité du système touché.

3. Impact sur un code base

Les failles qui touchent plus d'un produit doivent recevoir différents identifiants CVE. Dans le cas de bibliothèques, protocoles ou normes partagés, la faille reçoit un seul identifiant CVE uniquement s'il n'existe aucun moyen d'utiliser le code partagé sans être affecté par la vulnérabilité. Dans le cas contraire, chaque code base ou produit affecté obtient un identifiant CVE unique.

D'après le contenu de la page : https://cve.mitre.org/cve/cna/rules.html#Appendix_C

Qu'est-ce que le CVSS (Common Vulnerability Scoring System) ?

Plusieurs systèmes permettent d'évaluer la gravité d'une vulnérabilité. Il existe notamment le système CVSS (Common Vulnerability Scoring System), un ensemble de normes ouvertes utilisées pour attribuer un nombre à une vulnérabilité afin d'en évaluer la gravité. Les scores sont compris entre 0.0 et 10.0, et les nombres les plus élevés correspondent au plus haut degré de gravité pour une vulnérabilité. De nombreux fournisseurs de solutions de sécurité ont également créé leurs propres systèmes d'évaluation.

Trois points essentiels

Maîtrisez vos déploiements : l'apparition d'une faille ne signifie pas forcément que votre environnement et vos déploiements spécifiques sont exposés au risque. Lisez attentivement chaque entrée de la liste CVE afin de comprendre si la faille concerne votre environnement en vérifiant si elle touche (même partiellement) le système d'exploitation, l'application, les modules et les configurations qui composent votre environnement personnel.

Adoptez la gestion des vulnérabilités : la gestion des vulnérabilités est un processus reproductible qui permet d'identifier, de classer, de hiérarchiser, de corriger et d'atténuer les vulnérabilités. Ce processus implique de comprendre comment une faille peut affecter votre entreprise, afin d'identifier les vulnérabilités qui doivent être corrigées en priorité.

N'hésitez pas à communiquer : les failles et vulnérabilités auront un impact sur les systèmes de votre entreprise, à cause des vulnérabilités elles-mêmes, mais également à cause des temps d'arrêt potentiellement nécessaires pour les corriger. Communiquez et collaborez avec vos clients internes. Signalez les vulnérabilités au sein de votre entreprise via une fonction de gestion des risques centralisée.

Red Hat et les CVE

En tant que contributeur majeur aux logiciels Open Source, Red Hat s'engage en continu auprès de la communauté des spécialistes de la sécurité. Red Hat est une CNA (CVE Numbering Authority) et utilise les identifiants CVE pour effectuer un suivi des vulnérabilités de sécurité. L'équipe Red Hat Security gère une base de données des avis de sécurité ouverte et fréquemment mise à jour, que vous pouvez consulter pour rechercher un identifiant CVE.

Trust Red Hat

Learn about Red Hat’s commitment to protecting customer data and privacy

Découvrez l'infrastructure Red Hat

Red Hat Enterprise Linux logo

Base stable, éprouvée et suffisamment polyvalente pour prendre en charge le déploiement de nouvelles applications, la virtualisation des environnements et la création d'un cloud hybride sécurisé, avec le renfort des services d'assistance primés de Red Hat.

Solution la plus simple à utiliser pour gérer votre infrastructure Red Hat, normaliser l'exploitation informatique et la rendre plus efficace. Permet de mettre en place des référentiels de contenu et des processus fiables qui faciliteront la création d'un environnement normalisé et sécurisé.