Qu’est-ce qu’un CVE et pourquoi est-il important

Il y a de « bons » hackers. Ils se font appeler analystes de sécurité et certains consacrent même leur temps à travailler pour le bien commun. Ils enquêtent sur les vulnérabilités possibles dans les applications publiques et connues, et lorsqu’ils trouvent une faille de sécurité possible qui pourrait mettre en danger les utilisateurs de ces applications, ils signalent cette vulnérabilité au fabricant du logiciel. Il n’y a pas de récompense, ils ne sont pas payés pour cela, ils le font pour rendre le monde plus sûr.

Qu’est-ce qu’un CVE ?

L’ensemble de ce processus, à partir du moment où le fabricant accepte la vulnérabilité signalée jusqu’à ce qu’elle soit corrigée, est déplacé vers un système de référence public appelé CVE Database. Il s’agit d’une base de données gérée par MITRE Corporation (c’est pourquoi la liste est parfois connue sous le nom de MITRE CVE List) avec des fonds de la National Cyber Security Division du gouvernement des États-Unis.

Le CVE Program est un effort international, fondée sur la communauté et s’appuie sur elle pour découvrir des vulnérabilités. Les vulnérabilités sont découvertes, attribuées et publiées dans la liste CVE.

Chaque CVE identifie de manière unique un problème de sécurité. Ce problème peut être de différents types, mais dans tous les cas, c’est quelque chose que s’il n’est pas résolu et reste caché, quelqu’un profitera un jour de cet échec. Un CVE décrit simplement qui est l’application vulnérable et la version et/ou le composant affecté sans révéler d’informations sensibles. Lorsque l’erreur est corrigée, il signale où la solution peut être trouvée. Généralement, un CVE n’est rendu public qu’une fois l’erreur corrigée, ce qui est particulièrement important, car cela garantit que les utilisateurs de ladite application ne sont pas soumis à un risque gratuit lors de la publication d’informations sur l’échec. S’il n’y avait pas de CVE, les chercheurs publieraient ces informations sans se coordonner avec les fabricants, produisant des risques de sécurité inacceptables pour les utilisateurs qui n’ont aucun moyen de se protéger contre les données révélant des erreurs de sécurité dans leurs systèmes en tant qu’utilisateurs de ces applications. N’oubliez pas que tous les éditeurs de logiciels ont publié des CVE publics. Personne n’est épargné.

Ce consensus entre fabricants et chercheurs sur la manière de révéler des informations sensibles, concernant les failles de sécurité d’une application, permet une amélioration continue de la sécurité des systèmes d’information publics. Bien que MITRE soit à l’origine une organisation financée par les États-Unis, il existe des organisations partenaires dans le monde entier qui aident à organiser les CVE au niveau régional, décentralisant la gestion et aidant les fabricants locaux à s’organiser plus efficacement.

INCIBE et ARTICA

Les CVE sont coordonnés par les CNA, des organisations bénévoles qui se prêtent à la coordination et à la résolution des différends en cas de conflit de positions entre les chercheurs en sécurité et les fabricants. La racine CNA est MITRE, et il existe des CNA répartis dans le monde entier. La plupart des fabricants de logiciels et de matériel tels que Microsoft, CISCO, Oracle, VMware ou Dell sont des CNA de ce réseau.

INCIBE, l’Institut national de cybersécurité d’Espagne, est une organisation espagnole qui est récemment devenue un CNA root, un membre avec un état spécial au sein de la hiérarchie CVE, car elle coordonne les CNA espagnoles. C¡est aussi le point de contacte dans le pays pour la récéption de vulnérabilités découvertes dans le domaine de la technologie de l’information ou l’informatique, les systèmes industriels et les appareils d’Internet d’Objets (IdO).

Grâce à leur collaboration avec INCIBE, ÁRTICA la société derrière Pandora FMS, Integria IMS et eHorus est devenue le CNA officiel de CVE. Ceci est particulièrement important car cela démontre l’engagement de Pandora FMS envers la sécurité des systèmes d’information et se met à la disposition des chercheurs du monde entier pour travailler à la résolution de tout problème pouvant affecter ses utilisateurs.

A partir de ce moment, le programme compte sur deux cents un CNA de trente-deux pays, étant ARTICA le numéro deux cent dans le monde, le troisième en Espagne. Après avoir joint le programme, ARTICA pourra recevoir publiquement toute information relative à la sécurité de Pandora FMS, Integria IMS ou eHorus et donner un traitement fiable à la solution du problème ainsi qu’à sa communication publique.
Notre politique de gestion des vulnérabilités nous permet d’assurer à tout utilisateur de Pandora FMS que tout problème sera traité de manière rigoureuse, en priorisant l’impact et en atténuant les risques dans les environnements productifs, tout en garantissant au chercheur une réception, une communication et une publication correctes en plein air de son travail.

Politique de divulgation des vulnérabilités dans Pandora FMS

Chez Pandora FMS, nous avons une politique très ouverte à cet égard. Pandora FMS est né avec une philosophie ouverte, cela signifie non seulement open source, mais aussi connaissance libre et, bien sûr, transparence dans les processus. Nous avons une politique de divulgation des vulnérabilités entièrement publique et transparente. Au fil des ans, différents chercheurs nous ont contactés pour signaler des problèmes de sécurité dans Pandora FMS. Oui, nous aussi avons eu, et aurons, des failles de sécurité. Et grâce en partie au travail désintéressé des chercheurs en sécurité, nous avons corrigé bon nombre de ces défauts. Nous sommes tellement conformes et honnêtes que nous les publions nous-mêmes dans une liste de vulnérabilités connues sur notre propre site Web.

Les rapports de bogues de sécurité ont généralement un cycle de vie qui permet aux utilisateurs d’éviter le risque supplémentaire de publier des informations sur les bogues logiciels à l’avance, avant que le fabricant n’ait pu créer un correctif et le distribuer à temps à ses utilisateurs. Dans ce processus, la faille de sécurité reste dans une phase d’attente, où le fabricant accepte le problème signalé et convient d’une date pour résoudre le problème. Le chercheur en sécurité attend patiemment et facilite autant que possible la solution du problème : fournir plus d’informations, collaborer avec l’équipe de développement, voire effectuer des tests supplémentaires lorsque le correctif est disponible. Il s’agit de travailler en équipe pour améliorer la robustesse du logiciel.

La boîte e-mail [email protected] est ouverte à toute personne intéressée à améliorer la sécurité de notre logiciel.

Shares

Téléchargez gratuitement le rapport le plus complet sur la surveillance sécurisée d'IDG research.