CVE (Common Vulnerabilities and Exposures) est une liste d’informations accessible au public qui aide les professionnels de la cybersécurité et les organisations à identifier les failles de sécurité connues.
Elle a été introduite en 1999 par la MITRE Corporation, une organisation à but non lucratif financée par le gouvernement des États-Unis. Oui, c’est la même société qui est à l’origine de MITRE ATT&CK, un modèle de sécurité potentiellement meilleur que le cyber kill chain.
Ce modèle est devenu la norme pour l’ensemble du secteur de la cybersécurité dans le monde entier. Ainsi, toute personne souhaitant mettre à jour ses stratégies de cybersécurité ou protéger ses systèmes se réfère au CVE.
Qu’est-ce que le CVE ?
LeCVE est un catalogue accessible au public qui contient des informations sur les vulnérabilités et leur gravité potentielle en termes de sécurité.
Il ne s’agit pas d’une base de données sur les vulnérabilités, car vous ne disposez pas de suffisamment d’informations techniques concernant les vulnérabilités (comme l’impact, la correction, etc.). Un CVE comprend des informations telles que la date, le numéro de référence et une brève description de la vulnérabilité.
Tous les acteurs du secteur de la cybersécurité se réfèrent à la liste CVE pour actualiser leurs stratégies. Vous pouvez vous référer à la liste CVE maintenue sur sa page GitHub pour trouver, rechercher ou télécharger des informations concernant une certaine CVE.
Il est important de noter qu’il est impossible de tout trouver dans le CVE. Vous devez toujours faire des recherches, suivre l’actualité et être à l’affût de toutes les vulnérabilités. Cela dit, le CVE est un catalogue énorme et utile.
Pourquoi avons-nous besoin de CVE ?
Même si CVE n’est pas tout, pouvez-vous imaginer la cybersécurité sans CVE ?
CVE rend les informations accessibles et classe les vulnérabilités sous un nom commun. Un expert en cybersécurité peut rapidement commencer à chercher un correctif ou à se défendre contre une menace en vérifiant les CVE associés à un logiciel ou à un système.
En d’autres termes, il s’agit d’un élément essentiel du processus d’évaluation des risques en matière de cybersécurité, qui vous permet d’obtenir des informations précises sur les problèmes liés à votre logiciel ou à votre système.
Objectifs de CVE
L’objectif premier de CVE est de collaborer et de partager les connaissances sur les vulnérabilités et l’exposition afin de mieux se défendre.
Voici quelques-uns de ces objectifs
- Permettre à chacun de comprendre/reconnaître facilement les vulnérabilités connues.
- Filtrer les failles de sécurité par année.
- Faciliter le partage des connaissances pour mieux gérer la cybersécurité.
- Ajouter plus d’informations dans les bases de données de vulnérabilités et les comparaisons d’outils de sécurité.
Bien sûr, avec un CVE, on peut mieux défendre ou résoudre les problèmes d’un produit ou d’une organisation pour protéger les informations confidentielles, et ajouter des informations pour la criminalistique numérique lorsque quelque chose ne va pas.
Voici comment un CVE est créé
Un CVE ne peut être attribué (ou généré) que par un partenaire du programme CVE.
Ce partenaire peut être l’autorité de numérotation CVE (CNA) ou avoir un rôle spécifié dans le programme CVE. Une CNA attribue des identifiants à la vulnérabilité, à condition qu’elle réponde à des critères spécifiques, que nous explorerons au fur et à mesure de votre lecture.
Ces partenaires du programme CVE peuvent attribuer et publier les enregistrements CVE. Parmi les exemples, citons Microsoft, Red Hat et d’autres organismes de recherche ou programmes de récompense des bogues.
Lorsqu’une vulnérabilité est découverte, l’organisation ou le vendeur doit fournir les informations requises pour qu’elle soit considérée comme un CVE. Ces données sont les suivantes
- Le type de vulnérabilité (injection SQL, dépassement de tampon, etc.)
- Si le fournisseur ou l’équipe produit a confirmé/reconnu la vulnérabilité
- Type d’attaque (physique, à distance, etc.)
- Impact potentiel de la vulnérabilité
- Détails des composants affectés par la vulnérabilité
- Détails sur la vulnérabilité
- Remerciements à la personne qui a découvert la vulnérabilité (individu/organisation)
- Référence publique à la vulnérabilité
Lors du rapport, toutes ces informations doivent être fournies par l’individu ou l’organisation.
En outre, si vous n’êtes pas une ANC et que vous souhaitez signaler la vulnérabilité, vous pouvez la soumettre directement à CVE si l’entreprise du vendeur/produit n’est pas une ANC.
Supposons que le vendeur soit une ANC dans la liste des partenaires du programme CVE. Vous devrez signaler la vulnérabilité directement à eux plutôt qu’au CVE.
Cependant, avant tout cela, vous devez vous assurer que la vulnérabilité répond aux exigences minimales avant d’essayer de la signaler à qui que ce soit. Le strict minimum comprend une vulnérabilité qui n’a pas été signalée précédemment et qui ne doit pas être un produit couvert par l’ANC (si vous la signalez à titre individuel).
En outre, il est important que la vulnérabilité soit référencée publiquement sur le web. Si ce n’est pas le cas, même si le CVE est accepté, il sera affiché comme “RESERVÉ” jusqu’à ce que vous fournissiez une URL contenant des informations publiques à son sujet.
Qu’est-ce qu’un CVSS ?
Le système CVSS (Common Vulnerability Scoring System) vous permet de connaître la gravité (ou l’impact) de la faille de sécurité signalée dans le CVE. Le CVSS n’est pas géré par l’organisation responsable des CVE.
Il est détenu et géré par une autre organisation à but non lucratif basée aux États-Unis, FIRST.org.
CVSS dispose d’une spécification particulière sur la manière dont les mesures sont calculées, et il évolue constamment pour s’adapter à la complexité des vulnérabilités. Au moment d’écrire ces lignes, CVSS 3.1 est la dernière spécification à laquelle tout le monde se réfère.
Bien que le système de notation de 0 à 10 soit aussi simple qu’il y paraît, il comporte trois groupes de mesures.
Le score de base indique la gravité de la vulnérabilité. Ensuite, une note temporelle change avec le temps en raison des interactions externes avec la vulnérabilité. Enfin, il y a une note environnementale spécifique à son impact sur une organisation particulière affectée par le CVE.
La mesure de base est également appelée composante “vulnérabilité“. Elle prend en compte la manière dont une vulnérabilité est exploitée et ce qui la rend plus efficace. Il s’agit d’éléments tels que les moyens d’exploitation (distants/locaux), les conditions externes, le niveau de privilège, l’interaction avec l’utilisateur et l’impact de la vulnérabilité.
La mesure temporelle évolue en fonction des conditions et du temps, car elle tient compte du fait que le code permettant d’exploiter la vulnérabilité est accessible au public ou que la vulnérabilité n’a pas été corrigée. Elle prend également en considération le fait que la vulnérabilité est accompagnée de détails dans le rapport.
Parfois, la cause première d’une vulnérabilité n’est pas connue. Dans ce cas, le score est plus bas, et si chaque détail associé au CVE est spécifique, le score est plus élevé.
En fin de compte, la mesure de l’environnement est spécifique au fournisseur ou à l’organisation concernés. Elle tient compte de l’impact de la vulnérabilité, de l’actif affecté et de la mesure de l’impact sur la disponibilité, la confidentialité et l’intégrité.
Elle peut également être appelée“métrique de base modifiée” parce qu’elle prend en compte les mêmes facteurs, mais uniquement pour une organisation spécifique.
Voici à quoi cela ressemble dans la base de données nationale des vulnérabilités (National Vulnerability Database, NVD) pour les CVE :
Dans toutes les bases de données, on trouve le plus souvent le score de base. Vous pouvez ou non trouver les autres scores dans l’une ou l’autre des bases de données sur les vulnérabilités.
La fourchette du groupe de scores de base se présente comme suit
- 0 → Aucun
- 0.1-3.9 → Faible
- 4.0-6.9 → Moyen
- 7.0-8.9 → Élevée
- 9.0-10.0 → Critique
Plus la note est élevée, plus le problème est grave.
Par conséquent, si une CVE comporte un score de base élevé, il convient de la traiter en priorité pour trouver un correctif ou se défendre contre elle.
Comment les scores sont-ils calculés ?
Il existe plusieurs aspects d’une vulnérabilité, comme le fait qu’elle influence la disponibilité et l’intégrité des données ou les privilèges requis pour l’exploiter.
Pour la mesure de base, le score CVSS, les facteurs sont les suivants
- Vecteur d’attaque (local/physique, réseau, etc.)
- Complexité de l’attaque
- Privilèges requis
- Impact sur la confidentialité
- Impact sur l’intégrité
- Interaction avec l’utilisateur
- Portée de l’attaque
- Impact sur la disponibilité
Le calcul repose sur une équation spécifiée par FIRST.org, l’organisation responsable de CVSS.
Il ne s’agit pas d’une simple formule ; il y a des sous-formules, et vous devez vous référer à son document officiel de spécifications pour calculer un score :
ISS = 1 – [(1-Confidentialité) x (1 – Intégrité) x (1 – Disponibilité)]
ISS, c’est la note secondaire d’impact. Les autres paramètres de la formule ont une certaine valeur constante, comme suit :
Confidentialité/Intégrité/Disponibilité → Élevé (0,56) | Faible (0,22) | Aucun (0)
Si cela vous semble complexe, vous pouvez également utiliser le calculateur NVD pour générer des scores pour tous les groupes de métriques sans vous préoccuper de la manière dont ils sont calculés.
Principales listes de CVE
Les CVE les plus importants (ou les plus populaires) ne sont pas nécessairement ceux qui ont le score CVSS le plus élevé.
De temps à autre, une CVE peut affecter un grand nombre de logiciels et d’organisations qui les utilisent, ce qui fait qu’il convient d’en être plus conscient.
Par exemple, CVE-2021-41617 est une vulnérabilité qui permet une escalade des privilèges dans OpenSSH. Bien qu’elle ait été signalée en 2021, elle a également été mise à jour récemment.
Sans oublier la vulnérabilité Log4j d’Apache(CVE-2021-44228) qui a inquiété l’ensemble du secteur et encouragé des agences de sécurité comme la CISA à publier des conseils à ce sujet.
Vous pouvez passer au peigne fin les bases de données de vulnérabilités pour filtrer les CVE les plus préoccupants. Mais il n’existe pas de classement spécifique pour filtrer les CVE les plus importants.
CVE et CVSS : une collaboration pour une meilleure cybersécurité
Bien que l’objectif des CVE et des CVSS soit différent, les deux aident le monde de la cybersécurité à améliorer les défenses.
Les CVE aident les développeurs et les experts en cybersécurité à connaître les vulnérabilités associées à un produit ou à un système.
Le CVSS, quant à lui, rend les informations plus significatives en indiquant l’importance du rapport CVE et sa priorité pour l’organisation ou le fournisseur.
Vous pouvez consulter la base de données nationale sur les vuln érabilités ( National Vulnerability Database ou Vuldb ) à titre d’exemple.
Base de données nationale sur les vulnérabilités
La base de données nationale sur les vulnérabilités (NVD) est une base de données soutenue par le gouvernement américain et gérée par l’Institut national des normes et de la technologie (NIST).
Lorsque vous visitez le site web, vous pouvez parcourir toutes les vulnérabilités connues dans le monde de la cybersécurité et vérifier les dernières vulnérabilités signalées. Vous obtenez tous les détails nécessaires sur la vulnérabilité, y compris le CVE, le CVSS (selon les dernières spécifications), la date de signalement et la date de publication.
VulDB
VulDB est une base de données sur les vulnérabilités qui offre gratuitement un accès limité aux informations les plus récentes.
Il est possible de souscrire un abonnement premium pour obtenir de meilleures informations sur la vulnérabilité. Les utilisateurs qui ont besoin d’une assistance, de détails techniques, d’une couverture, de renseignements sur les menaces, etc. peuvent opter pour l’abonnement payant.
Par ailleurs, un avis de sécurité peut énumérer les CVE en fonction de leur CVSS afin de souligner leur importance ou de refléter leur ordre de priorité.
Par exemple :
- Les avis de sécurité d’Ubuntu: Ils décrivent la vulnérabilité et les paquets concernés, ainsi que les CVE associés
- Bulletin de sécurité d’Android: Il énumère le produit affecté ainsi que les CVE
Dans certains cas, comme chez Microsoft, vous devez vous inscrire pour recevoir les notifications de sécurité et rester informé des dernières nouveautés.
Intrinsèquement, ces deux types de services ne présentent aucune limite. Cependant, ils ne vous donnent pas une image complète d’une vulnérabilité. Vous devez toujours faire des recherches et en apprendre davantage sur le CVE signalé en utilisant une base de données de vulnérabilités et évaluer le produit ou le système pour voir comment il peut être corrigé ou défendu.
Sans oublier que les CVE et CVSS peuvent être inutiles pour les utilisateurs finaux. Vous devriez plutôt vous concentrer sur les bases de la cybersécurité.
FAQ
CVE est une liste de failles de sécurité connues et de données associées telles que la date de découverte, une brève description et le fournisseur concerné. CVSS est un système de notation qui aide les experts en cybersécurité à connaître l’impact d’un CVE.
Ces deux systèmes sont gérés par des organisations américaines à but non lucratif différentes, mais ils se complètent dans toutes sortes de cas d’utilisation pour aider à améliorer l’état de la cybersécurité.
Conclusion
Nous avons besoin de beaucoup d’informations pour élaborer des stratégies de cybersécurité. Parfois, cela peut être accablant.
Toutefois, le fait de pouvoir se référer aux normes CVE et CVSS rend les choses plus simples.
CVE et CVSS sont des éléments essentiels à prendre en considération et ils ont ouvert la voie à de meilleures bases de données sur les vulnérabilités. En outre, ils rendent les informations sur les failles de sécurité accessibles et faciles à comprendre. Vous avez besoin de ces deux éléments pour gagner le jeu de la cybersécurité.
Vous pouvez également explorer les meilleurs logiciels de gestion des vulnérabilités pour protéger vos systèmes contre les menaces de sécurité et sécuriser vos données.