Common Vulnerabilities and Exposures (CVE) est un système standard d’identification et de publication des vulnérabilités de cybersécurité. Son objectif principal est de faciliter le partage et la distribution de données sur les vulnérabilités afin de permettre de meilleures stratégies de défense et de favoriser la collaboration au sein de la communauté de la cybersécurité.
Histoire et genèse du CVE
Le concept de CVE est né à la fin des années 1990 au sein de la communauté de la sécurité informatique, principalement comme une initiative de MITRE Corporation. Le système a été lancé en septembre 1999 avec la première liste CVE, une base de données d'identifiants standardisés pour les vulnérabilités connues en matière de cybersécurité.
L’objectif initial du CVE était de fournir un langage commun pour discuter et partager des informations sur les vulnérabilités. Avant l’introduction de CVE, différents fournisseurs et chercheurs utilisaient des noms et des descriptions différents pour les mêmes vulnérabilités, ce qui entraînait confusion et problèmes de communication.
Comprendre le CVE
Chaque entrée CVE comprend un numéro d'identification, une description et au moins une référence publique. Le numéro d'identification suit un format spécifique : CVE-YYYY-NNNNN, où "YYYY" est l'année où l'ID CVE a été attribué ou la vulnérabilité a été rendue publique, et "NNNNN" est un numéro unique pour cette vulnérabilité.
Le système CVE ne fournit aucune information sur la gravité ou le risque associé à une vulnérabilité particulière. Cependant, il fournit une base de référence autour de laquelle d'autres organisations, comme la base de données nationale sur les vulnérabilités (NVD), peuvent associer des métadonnées supplémentaires, telles que des scores de risque ou des indices d'exploitabilité.
Structure interne et fonctionnalité du CVE
Le système CVE fonctionne en attribuant un identifiant unique à chaque vulnérabilité connue. Cet identifiant aide les professionnels de la sécurité à se référer à une vulnérabilité spécifique en utilisant un langage commun, ce qui facilite les efforts d'atténuation.
Les identifiants CVE sont demandés et attribués par les autorités de numérotation CVE (CNA). Les CNA sont des organisations du monde entier qui se sont associées au programme CVE pour attribuer des identifiants CVE aux vulnérabilités affectant les produits dans leur portée distincte et convenue.
La liste CVE, maintenue par MITRE, est ensuite mise à jour avec ces nouvelles entrées. Les bases de données de vulnérabilités, comme le NVD, extraient les données de la liste CVE pour créer des listes de vulnérabilités plus détaillées.
Principales caractéristiques du CVE
- Identifiants standardisés : Chaque ID CVE fait référence à une vulnérabilité unique, ce qui évite toute confusion lors de la discussion ou du partage d'informations sur les vulnérabilités.
- Base de données accessible au public : La liste CVE est librement accessible au public, favorisant la transparence et la collaboration.
- Adoption répandue: Les identifiants CVE sont largement utilisés par les fournisseurs et les chercheurs en cybersécurité du monde entier, ce qui en fait une norme mondialement reconnue.
- Langue commune: L’utilisation d’un identifiant commun contribue à améliorer la coordination et la collaboration en matière de cybersécurité en fournissant un moyen standard de discuter des vulnérabilités individuelles.
Types de CVE
Il n'existe pas de classification formelle des types CVE en soi, mais les vulnérabilités peuvent être classées en fonction de différents critères, tels que la zone qu'elles affectent (par exemple, la mémoire, le système d'exploitation, l'application), la manière dont elles peuvent être exploitées (par exemple, à distance, local). ) et leur impact (par exemple, fuite de données, panne du système).
Par exemple, en regardant comment les vulnérabilités peuvent être exploitées, nous pouvons avoir :
| Vecteur d'exploitation | Description |
|---|---|
| Locale | L'attaquant a besoin d'un accès physique ou de privilèges d'utilisateur local pour exploiter la vulnérabilité. |
| Adjacent | L'attaquant doit avoir accès au même réseau que le système cible pour exploiter la vulnérabilité |
| Télécommande | L'attaquant peut exploiter la vulnérabilité depuis Internet. |
Les CVE sont utilisés par les professionnels de la cybersécurité pour identifier les vulnérabilités, évaluer leur impact et concevoir des stratégies d'atténuation. Cependant, ce système n’est pas sans défis. Notamment, le système CVE peut être lent à attribuer des identifiants aux nouvelles vulnérabilités, entraînant une lacune dans la couverture. De plus, comme CVE ne fournit pas d’informations sur la gravité ou les risques, les organisations doivent s’appuyer sur d’autres ressources pour obtenir ces données.
Pour répondre à ces problématiques, la communauté de la cybersécurité a développé des outils et des ressources complémentaires. Par exemple, la base de données nationale sur les vulnérabilités fournit des scores de gravité et des métadonnées supplémentaires pour chaque CVE, tandis que des organisations comme CERT/CC et Zero Day Initiative attribuent souvent des identifiants temporaires aux nouvelles vulnérabilités avant qu'un identifiant CVE ne soit attribué.
Comparaison avec des termes similaires
| Terme | Description | Comparaison avec CVE |
|---|---|---|
| CVSS | Le Common Vulnerability Scoring System (CVSS) permet de capturer les principales caractéristiques d'une vulnérabilité et de produire un score numérique représentant sa gravité. | Alors que CVE identifie les vulnérabilités, CVSS les note en fonction de leur gravité. |
| CWE | Common Weakness Enumeration (CWE) est une liste développée par la communauté des faiblesses courantes en matière de sécurité logicielle. Il sert de langage commun pour décrire ces faiblesses. | Alors que CVE identifie des vulnérabilités spécifiques, CWE décrit les types de failles de sécurité pouvant conduire à des vulnérabilités. |
Perspectives futures et technologies liées à la CVE
À mesure que les menaces de cybersécurité continuent d’évoluer, le système CVE devra également s’adapter. Les améliorations futures du système CVE pourraient inclure la détection et le reporting automatisés des vulnérabilités, des portées élargies pour les CNA et l'intégration des technologies d'intelligence artificielle (IA) et d'apprentissage automatique (ML) pour l'analyse prédictive.
Serveurs proxy et CVE
Les serveurs proxy, comme ceux fournis par OneProxy, peuvent être à la fois des cibles et des outils dans le cadre du CVE. En tant que cibles, les vulnérabilités du logiciel du serveur proxy peuvent recevoir leurs propres identifiants CVE si elles présentent un risque de sécurité. En tant qu'outils, les serveurs proxy peuvent être configurés pour atténuer l'impact de certaines vulnérabilités, par exemple en filtrant le trafic malveillant lié à un CVE connu.
