Qu’est-ce qu’un CVE (Common Vulnerabilities and Exposures) ?

Un CVE, ou « Common Vulnerabilities and Exposures », est un identifiant unique et standardisé pour une vulnérabilité ou exposition de sécurité logicielle ou matérielle. Les CVE sont un système de nomenclature et de suivi utilisé dans le monde entier pour identifier et répertorier des vulnérabilités de sécurité spécifiques. Ce système a été créé pour faciliter l’organisation, la communication et la référence des informations sur les vulnérabilités, ce qui permet à la communauté de la sécurité informatique et aux professionnels de l’informatique d’aborder et de résoudre les problèmes de sécurité plus efficacement.

Comment fonctionne le système CVE ?

La supervision des Identifiants de Vulnérabilité et d’Exposition Commune (CVE) incombe à la Corporation MITRE, avec le soutien financier de l’Agence de Cybersécurité et de Sécurité de l’Infrastructure (CISA), une entité appartenant au Département de la Sécurité Intérieure des États-Unis.

Les entrées CVE sont concises et ne contiennent pas de détails techniques ni d’informations sur les risques, les impacts ou les solutions. Ces informations se trouvent dans d’autres bases de données, telles que la Base de données nationale sur les vulnérabilités (NVD) des États-Unis, la base de données Notes de vulnérabilité CERT/CC et diverses listes tenues par des fournisseurs et d’autres sociétés.

Ces numéros d’identification CVE jouent un rôle fondamental en permettant aux utilisateurs d’identifier de manière fiable les points de vulnérabilité uniques et de faciliter la coordination dans le développement de solutions et d’outils de sécurité pour divers systèmes. La Corporation MITRE est chargée de maintenir la liste CVE, bien que ce soient souvent les entreprises et les membres de la communauté open source qui signalent les failles de sécurité qui deviennent CVE.

Les identifiants CVE

Les identifiants CVE sont attribués par les Autorités de Numérotation CVE (CNA). Actuellement, il y a 327 CNAs (325 CNAs et 2 CNA-LRs) de 37 pays participant au programme CVE représentant les principaux fournisseurs de technologies de l’information, ainsi que des entreprises de sécurité et des institutions de recherche. En ce sens, Pandora FMS est en contact avec des chercheurs en sécurité qui informent l’entreprise des vulnérabilités qu’ils ont détectées, en fournissant des détails tels que la date et l’heure auxquelles la faille de sécurité a été identifiée, les versions affectées, le type de sécurité à signaler (XSS, CSRF, SQLi, RCE), les composants affectés (API, agent, serveur, entre autres), la capture d’écran ou les journaux de transactions et les instructions pour reproduire le problème, suivant ses politiques de divulgation et de gestion des vulnérabilités. Il convient de mentionner que nous demandons au chercheur de ne pas publier les détails de la vulnérabilité, en analysant d’abord le problème, en reproduisant le bogue et en déterminant la priorité pour sa correction. Une fois le problème résolu, avec le chercheur, la réponse à la communauté est gérée et la correction effectuée est publiée dans une version officielle de CVE, en indiquant le code CVE, les détails de la vulnérabilité, la date de certification et la version qui a été corrigée.

Il est important de considérer que les rapports CVE proviennent non seulement de chercheurs, mais peuvent également provenir de toute personne qui découvre une vulnérabilité et la signale, qu’il s’agisse d’un fournisseur ou simplement d’un utilisateur astucieux. En effet, de nombreux fournisseurs offrent des récompenses pour la découverte de failles de sécurité afin d’encourager leur divulgation responsable. Si une vulnérabilité est trouvée dans les systèmes logiciels open source, il est important d’en informer la communauté.

MITRE a également la capacité d’émettre directement des identifiants CVE. Les CNA reçoivent des blocs d’identifiants CVE et les réservent pour les utiliser dans de nouveaux problèmes découverts. Chaque année, des milliers de numéros d’identification CVE sont émis. Même un seul produit complexe, tel qu’un système d’exploitation, peut accumuler des centaines d’identifiants CVE.

Les informations sur la vulnérabilité arriveront à la CNA d’une manière ou d’une autre. La CNA attribue un numéro d’identification CVE aux informations, crée une brève description et fournit des références. Par la suite, les nouveaux identifiants CVE sont publiés sur le site Web correspondant. 

Dans de nombreux cas, un identifiant CVE est attribué avant qu’un avertissement de sécurité ne soit publié, car les fournisseurs gardent généralement les vulnérabilités de sécurité secrètes jusqu’à ce qu’une solution soit développée et testée. Ceci est fait pour réduire les opportunités de ceux qui cherchent à exploiter les vulnérabilités sans correction.

Une fois qu’une entrée CVE est publiée, le numéro d’identification (au format « CVE-2023-1234567 »), une brève description de l’exposition ou de la vulnérabilité et des références pouvant contenir des liens vers des recommandations et des rapports liés à la vulnérabilité sont inclus.

Caractéristiques des CVE

Il est important de comprendre qu’une vulnérabilité est une faiblesse que la cybercriminalité peut exploiter pour obtenir un accès non autorisé ou effectuer des actions non autorisées sur les systèmes informatiques, telles que l’exécution de codes, l’accès à la mémoire d’un système, l’installation de logiciels malveillants et le vol de données sensibles. L’Exposition est une erreur trouvée dans un logiciel ou un matériel qui permet au cybercriminel d’entreprendre des actions telles que l’accès à un système ou à un réseau, de trouver la possibilité de violer ou de filtrer des données et d’obtenir des informations d’identité personnelle pour ensuite les vendre. Des expositions accidentelles ont donné lieu aux plus grandes violations de données et non à des attaques sophistiquées.

Les numéros d’identification CVE sont attribués aux vulnérabilités qui répondent à cet ensemble spécifique de critères :

• Solution indépendante : La vulnérabilité peut être résolue de manière autonome, sans dépendre d’autres corrections.
• Confirmation ou documentation par le fournisseur : Le fournisseur de logiciel ou de matériel reconnaît l’existence de la vulnérabilité et son impact négatif sur la sécurité. Alternativement, la personne qui a signalé la vulnérabilité fournit un rapport démontrant son impact négatif et sa violation de la politique de sécurité du système affecté.
• Affectation d’une base de code : Les vulnérabilités affectant plus d’un produit reçoivent des identifiants CVE distincts. Dans les cas impliquant des bibliothèques, des protocoles ou des normes partagés, un seul CVE est attribué s’il n’est pas possible d’utiliser le code partagé sans s’exposer à la vulnérabilité. Dans le cas contraire, un CVE distinct est attribué à chaque produit.

Avantages des CVE

Les CVE jouent un rôle important dans la constante Supervision de la sécurité pour auditer et sécuriser les systèmes, créant un environnement de confiance numérique, basé sur :

• L’identification et la sensibilisation – les CVE deviennent un langage commun pour les professionnels de la sécurité afin d’identifier et de communiquer rapidement les vulnérabilités.
• Priorisation – Les CVE permettent aux stratèges en sécurité de hiérarchiser les vulnérabilités à traiter en fonction de leur gravité et de leur impact potentiel.
• Gestion des correctifs – Les références CVE aident à localiser et à appliquer des correctifs ou à effectuer des mises à jour pour corriger les vulnérabilités.
• Atténuation des risques : En s’attaquant aux CVE connus, les organisations peuvent réduire leur surface d’attaque et minimiser le risque d’incidents de sécurité.

La collaboration est également très importante. Le système CVE favorise la connaissance et la collaboration entre les chercheurs, les fournisseurs et les organisations de sécurité, ce qui peut conduire à une résolution plus rapide des vulnérabilités ou des expositions.

Considérations sur les CVE

Comme expliqué précédemment, les CVE partent des informations sur les vulnérabilités et les expositions fournies par différents acteurs, de sorte que leur identification est une « entité vivante » en constante évolution, qui mérite de mentionner quelques considérations importantes :

• Difficultés à interpréter et à superviser la liste CVE – Sans les bons outils, il est difficile de savoir quelles vulnérabilités affectent l’organisation sans outils supplémentaires.
• Conflit d’intérêts – Selon la section 7 des Règles de la CNA, un fournisseur qui reçoit un rapport sur une vulnérabilité ou une exposition à la sécurité a une discrétion totale à cet égard, ce qui peut générer un conflit d’intérêts. Il est possible pour un fournisseur d’essayer de laisser des défauts non réparés, en niant une affectation CVE, une décision que Mitre ne peut pas inverser.
• Temps où les CVE sont hors du radar – La croissance accélérée des vulnérabilités et des expositions a entraîné un retard dans les affectations de CVE, ce qui peut retarder leur disponibilité dans la liste des identifiants. Il existe également des vulnérabilités non signalées qui restent cachées du radar des conseillers en sécurité ou des traqueurs de problèmes.
•  Informations incomplètes – Toutes les vulnérabilités et expositions ne reçoivent pas de CVE ; beaucoup sont divulguées à titre privé et peuvent être corrigées sans attribution publique de CVE.
• Complexité – Le système CVE se concentre sur l’identification et le suivi des vulnérabilités et des expositions, mais peut ne pas capturer le contexte complet d’une attaque, ce qui a un impact sur la définition des résolutions. 

Dans un analyse du Cadre MITRE, il est alarmant de constater que seulement 86 % de toutes les vulnérabilités open source sont incluses dans la liste CVE de MITRE et près de 30 % des vulnérabilités open source de JavaScript ne se trouvent pas dans la base de données CVE.

En parlant de CVE, nous devons également parler de CWE (Common Weakness Enumeration ou énumération des faiblesses communes), qui est une initiative lancée par la communauté CVE et maintenue également par Mitre Corporation pour fournir une liste normalisée et complète des faiblesses, vulnérabilités et erreurs de codage communes du logiciel, en tant que ressource pour les professionnels de la cybersécurité et les développeurs de logiciels. Des exemples de vulnérabilités dans le logiciel sont :

• Erreurs de codage lors du processus de développement logiciel. Exemples : débordements de mémoire tampon, erreurs de validation des entrées et gestion inadéquate des erreurs.
• Défauts de conception, tels que des défauts dans l’architecture ou la conception d’un système logiciel. Exemples : mécanismes d’authentification non sécurisés ou contrôles d’accès inappropriés.
• Vulnérabilités introduites via des bibliothèques ou des composants tiers sur lesquels une application logicielle est basée.
• Configurations incorrectes de logiciels ou de systèmes pouvant entraîner l’exposition de données ou de services confidentiels sur Internet.

Enfin, il faut garder à l’esprit qu’il peut y avoir des vulnérabilités inconnues que la cybercriminalité peut exploiter avant qu’une solution ou un correctif ne soit disponible.

Conclusion

Comme on peut le voir, les CVE sont un élément fondamental de la cybersécurité pour identifier, hiérarchiser et atténuer les vulnérabilités et les expositions dans le cadre d’une stratégie efficace et globale. Les organisations doivent rester informées sur les CVE pour gérer les risques et les menaces de manière proactive, efficace et la plus immédiate possible, en s’appuyant sur les meilleurs outils et plateformes de supervision de la sécurité 

Rappelez-vous que, dans un monde plus connecté, il est essentiel d’améliorer la posture de sécurité, de réduire les risques et de protéger les données et les actifs numériques, en tirant parti des efforts collaboratifs et complémentaires d’une communauté mondiale de cybersécurité, dans le but non seulement de prévenir les violations de la sécurité, mais également les pertes financières dues aux coûts associés aux sanctions légales et à la résolution des vulnérabilités, à la non-conformité réglementaire et aux dommages à la réputation.