Common Vulnerabilities and Exposure ou CVE désigne une faille de sécurité informatique se voyant attribuer un identifiant. Chaque élément est accompagné d’une description plus ou moins succincte permettant de mieux comprendre la faille de sécurité ou la vulnérabilité informatique. Vous retrouvez également des liens d’une grande utilité pour consulter des avis et des rapports complémentaires. Les Common Vulnerabilities and Exposure (CVE) sont d’une importante pertinence pour les professionnels grâce à la coordination des efforts pour non seulement définir la hiérarchisation des vulnérabilités, mais également procéder à leur résolution, tout en renforçant la protection et la sécurité des systèmes informatiques.
Définition d’une CVE
Tout d’abord, le format de l’identifiant reste scrupuleusement le même en se présentant sous cette forme : CVE-AAAA-NNNN. La suite « AAAA » désigne l’année de publication alors que la suite de caractères « NNNN » correspond à un numéro d’identification unique. L’idée repose sur la création d’un dictionnaire universel permettant d’incorporer l’intégralité des failles en l’accompagnant d’une description succincte. En supplément, les utilisateurs trouveront des liens pour obtenir un complément d’information.
La base ainsi établie peut être consultée par n’importe quelle entreprise et l’organisme MITRE s’assure de la maintenir à jour. Cette initiative est d’ailleurs soutenue par le département de la Sécurité intérieure des États-Unis. Pour accéder à la liste, il vous suffit de vous rendre sur le site https://www.cve.mitre.org.
Dans la base de données, de nombreuses vulnérabilités sont présentes comme la célèbre attaque massive Wannacry. Un ransomware connu sous le nom de CVE-2017-0144 se basant sur une faille au sein du protocole SMB. Une particularité qui a permis au logiciel malveillant d’arrêter les lignes de production de la réputée entreprise française Renault. Sa propagation a été très rapide, car une centaine de pays ont été concernés, représentant près de 200 000 ordinateurs.
Dans la même base du système CVE figure l’une des failles les plus importantes de la décennie précédente. Une faille de sécurité sous l’identifiant CVE-2014-0160 du nom de Hearbleed. Initialement, une faille de sécurité a été découverte dans le logiciel OpenSSL. Les experts l’ont immédiatement jugé comme très dangereuse, car le programme malveillant est en théorie capable de récupérer toutes les informations dans la mémoire du serveur et notamment les données sensibles des certificats X.590.
Le principe de fonctionnement des Common Vulnerabilities and Exposure
Comme expliqué brièvement, l’organisme MITRE supervise le programme CVE. C’est un organisme à but non lucratif bénéficiant d’une subvention de la part de la Cybersecurity and Infrastructure Security Agency. Les entrées de la liste sont brèves et de ce fait, vous ne trouverez aucun renseignement concernant les risques et les données techniques. C’est également le même constat sur les correctifs et les effets. Pour de plus amples informations, l’utilisateur est invité à consulter une base de données complémentaire, plus particulièrement la base CERT/ CC Vulnerability Notes Database ou la National Vulnerability Database.
Les identifiants incorporés dans les systèmes ont pour objectif d’aider les utilisateurs à prendre conscience de l’existence d’une vulnérabilité. Mais également à renforcer la sécurité informatique d’une organisation en utilisant des outils plus spécifiques. Même si le contrôle de la liste appartient à l’organisme MITRE, ce sont les membres de la communauté et les entreprises qui mentionnent les failles de sécurité en renseignant leur origine.
Comment procéder à la publication des Common Vulnerabilities and Exposure ?
Avant de s’attarder sur la publication d’une CVE, il est nécessaire de comprendre qu’elle concerne uniquement les logiciels. Dans le langage informatique, les CMS sont à proprement parler des logiciels et donc ils peuvent faire l’objet d’une publication. À partir du moment où une faille est détectée, on décrit celle-ci comme « 0 day ». Le terme signifie que la vulnérabilité n’appartient à aucune publication et donc il n’y a pas de correctifs proposés. Lorsque l’organisme concerné décide de procéder à l’acceptation de la faille, elle émet une demande auprès de l’organisme indépendant MITRE dans le but de la faire valider.
Selon l’appréciation du MITRE, la demande peut être accordée ou non. Tout dépend de la popularité du logiciel et de la vulnérabilité en question. En aucun cas, la demande n’est acceptée automatiquement. Cependant, si le MITRE accorde son consentement, il procède à la création d’un identifiant unique CVE. Cela implique que l’entreprise qui en a fait la demande remplisse un formulaire détaillé afin de fournir un maximum de renseignements sur la vulnérabilité en question.
Étant donné que l’entreprise n’est pas forcément experte dans le domaine informatique, il est légitime de se faire aider par un prestataire capable de procéder à un audit de sécurité. Une fois que le formulaire est complété, il est renvoyé au MITRE qui se chargera de le rendre public. Le dépôt d’une CVE n’est pas un aveu de faiblesse, mais au contraire une action cohérente, informant les consommateurs d’une transparence totale sur la politique de sécurité. En la matière, Microsoft et Apple sont les deux entreprises publiant le plus de CVE.
En complément du système précédent, vous retrouvez la base Common Weakness Enumeration ou CWE. Le système incorpore de multiples catégories s’attardant sur des vulnérabilités plus spécifiques. La liste s’avère d’une très grande utilité pour les entreprises souhaitant mieux comprendre le détail d’une faille pouvant potentiellement toucher un de ses logiciels. Dans le registre, vous trouvez notamment des informations détaillées sur les failles CSRF, SQLi ou XSS.
Quels sont les critères d’attribution selon le MITRE ?
Pour obtenir un identifiant Common Vulnerabilities and Exposure, il est primordial que la faille concernée réponde à des critères spécifiquement définis par l’organisme à but non lucratif. En premier lieu, il est obligatoire que la faille puisse être corrigée en toute indépendance des autres bugs. Le deuxième élément porte sur la reconnaissance de la faille par le fabricant de matériel ou par l’éditeur de logiciel. Ce dernier admet que c’est un problème informatique ayant un impact direct et négatif sur la sécurité générale d’un système.
En parallèle, la société qui a procédé au signalement du bogue émet un rapport de vulnérabilité en vue de démontrer les effets négatifs de la faille, tout en soulignant l’infraction à la politique de sécurité du système concerné. Si jamais la vulnérabilité impacte plusieurs produits, alors elle recevra différents identifiants. La seule exception concerne les normes partagées, les protocoles et les bibliothèques. Ainsi, l’organisme n’attribue qu’un seul identifiant CVE à la faille si jamais il n’existe pas d’autres moyens de procéder à l’utilisation du code partagé sans contourner la vulnérabilité.
Pour quelles raisons est-il nécessaire de consulter régulièrement les bases de données publiques ?
Les Common Vulnerabilities and Exposure sont d’une aide précieuse pour les entreprises, car c’est un dictionnaire d’informations publiques. Ce dernier recense différentes vulnérabilités et menaces avec un identifiant unique. Pour son accès et plus généralement son téléchargement, il n’existe aucun prérequis et la démarche demeure totalement gratuite. Il suffit d’utiliser le moteur de recherche du site en question en indiquant le nom d’un logiciel ou d’une application.
Ensuite, vous découvrirez une liste des menaces recensées ainsi que des vulnérabilités avec un numéro de référencement. Il suffit de cliquer sur l’identifiant pour prendre connaissance de la fiche personnelle de la faille, vous permettant d’avoir de plus amples informations. Pour un particulier, la démarche reste bénéfique, mais elle n’est pas aussi indispensable que pour une entreprise. En effet, cette dernière devra se montrer vigilante sur les vulnérabilités informatiques en se tenant à jour des failles découvertes et existantes.
Lorsqu’une menace est ainsi présente, l’entreprise prend toutes les dispositions pour procéder à sa correction le plus rapidement possible. C’est une manière de sécuriser son infrastructure, tout en évitant les fuites de données. La réactivité reste une qualité essentielle, car à partir du moment où une vulnérabilité est dévoilée, elle se répand très rapidement sur Internet pour être ensuite utilisée à des fins malveillantes.
Dans cette même continuité, il est préférable que l’entreprise exécute systématiquement la mise à jour des systèmes d’exploitation et des applications. En effet, des vulnérabilités sont peut-être déjà existantes, mais pas encore répertoriées. Entre-temps, l’éditeur en a pris connaissance et donc il a procédé à l’édition d’une mise à jour. Mais si l’entreprise ne procède pas à son téléchargement et à son installation, la vulnérabilité reste encore une fois présente.
Définition du CVSS
Le Common Vulnerability Scoring System fait partie des systèmes capables d’évaluer avec précision la gravité d’une faille. Certes, ce n’est pas le seul modèle existant se basant sur une multitude de normes ouvertes pour évaluer la dangerosité d’une faille. Ensuite, les scores obtenus sont utilisés pour des bases complémentaires comme CERT et NVD. En d’autres termes, c’est une manière de déterminer les conséquences d’une faille détectée.
Le score varie entre 0 et 10. 0 étant la note minimale et 10 un haut degré de gravité. Même si des fournisseurs de solutions de sécurité ont pris l’initiative de mettre en place leurs propres systèmes d’évaluation, le CVSS reste une véritable référence.
C’est d’ailleurs ce système qui est utilisé pour hiérarchiser les Common Vulnerabilities and Exposure. Par conséquent, lorsqu’une entreprise prend connaissance des vulnérabilités existantes, elle aura tout intérêt à s’attarder davantage sur une CVE de niveau 8 plutôt que sur une CVE de niveau 3. Autre particularité à prendre en considération, le fait qu’une CVE se décompose en trois scores CVSS. C’est-à-dire que vous retrouvez le score de base, mais également environnemental et temporel. Pour déterminer le niveau d’urgence et de vulnérabilité, l’indicateur de base reste l’élément le plus couramment employé.
De ce fait, lorsqu’une vulnérabilité peut être exploitée à distance, lorsqu’elle est simple à mettre en place, lorsqu’elle n’a pas besoin de privilèges ou d’interactions avec l’utilisateur et lorsque les impacts sont conséquents sur l’accessibilité, l’intégralité et la confidentialité, on parle alors d’une CVE critique.
Comment interpréter la dangerosité des Common Vulnerabilities and Exposure ?
Lorsqu’une CVE possède un CVSS élevé, vous pourriez être tenté de concentrer vos efforts sur cette vulnérabilité. Une approche légitime, mais pas forcément nécessaire. En effet, l’établissement du score se base avant tout sur une analyse technique. C’est-à-dire l’impact sur la machine et la facilité d’exploitation. Or, la machine possède peut-être une contribution métier relativement faible et donc elle ne contient pas d’informations confidentielles. Même si la faille est présente, il y a peu de chances que l’activité de l’entreprise s’en retrouve perturbée. Prenons l’exemple d’un écran digital d’affichage servant uniquement à diffuser les actualités du comité d’entreprise.
En prenant en compte cette spécificité, une Common Vulnerabilities and Exposure disposant d’un score CVSS de 10 ne devra pas forcément être prioritaire. À vrai dire, la position sur la chaîne d’attaque reste l’élément essentiel. Pour y voir plus clair, n’hésitez pas à vous faire assister par un prestataire informatique disposant de toutes les connaissances requises. En la matière, Weodeo est capable de vous accompagner en mettant en place des solutions de sécurité en fonction de vos besoins.
