Pour faire simple, l’identifiant CVE (Common Vulnerabilities and Exposures) d’un correctif est un identifiant unique attribué à un problème de sécurité découvert dans un logiciel informatique. Lorsque des experts découvrent une faille ou une faiblesse dans un programme, ils lui attribuent un identifiant CVE.
Cela permet à tout le monde de parler du même problème et de travailler ensemble pour le résoudre. Il existe un programme CVE, dont la mission est d’identifier, de définir et de cataloguer les vulnérabilités en matière de cybersécurité divulguées publiquement.
Qu’est-ce que le CVE ?
Le programme CVE est supervisé par la société MITRE et financé par l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA), qui fait partie du ministère américain de la sécurité intérieure. Voici comment il fonctionne :
- Identification des vulnérabilités : Lorsqu’une faille de sécurité est découverte, que ce soit par des chercheurs en sécurité, des fournisseurs ou d’autres parties prenantes, un identifiant CVE unique lui est attribué.
- Attribution CVE : Le programme CVE attribue un numéro d’identification à chaque vulnérabilité signalée. Cet identifiant suit un format spécifique, comprenant généralement le préfixe « CVE » suivi d’une année et d’un numéro séquentiel (par exemple, CVE-2024-12345).
- Création de l’entrée CVE : Une entrée CVE est créée pour chaque identifiant CVE attribué. Cette entrée comprend des informations détaillées sur la vulnérabilité, telles que sa description, les versions de logiciels affectées, l’impact potentiel et toutes les mesures d’atténuation ou correctifs disponibles.
- Divulgation publique : Les entrées CVE sont accessibles au public par le biais de la base de données CVE et d’autres canaux. Cela permet aux professionnels de la sécurité, aux fournisseurs, aux chercheurs et aux utilisateurs d’accéder aux informations sur les vulnérabilités connues et de prendre les mesures appropriées pour y remédier. Il est important de noter qu’avant la divulgation publique, les fournisseurs concernés sont informés de la vulnérabilité découverte afin qu’ils puissent travailler à l’atténuation en amont.
- Coordination et collaboration : Le programme CVE facilite la collaboration entre les différentes parties prenantes, notamment les fournisseurs, les chercheurs, les coordinateurs de vulnérabilités et la communauté de la cybersécurité au sens large. Cette collaboration permet de s’assurer que les vulnérabilités sont traitées efficacement et que les informations pertinentes sont partagées de manière transparente.
- Références croisées : Les identifiants CVE sont largement utilisés comme références dans les avis de sécurité, les bases de données de vulnérabilités et d’autres ressources de cybersécurité. Cela permet d’établir facilement des références croisées et des liens entre les informations relatives à des vulnérabilités spécifiques sur différentes plateformes et dans différents référentiels.
- Surveillance et mises à jour continues : Le programme CVE surveille en permanence les nouvelles vulnérabilités et met à jour les entrées CVE existantes au fur et à mesure que de nouvelles informations sont disponibles. Cela permet de garantir que la base de données CVE reste exacte et à jour au fil du temps.
Globalement, le programme CVE joue un rôle essentiel dans la normalisation de l’identification, de la documentation et de la communication des vulnérabilités, facilitant ainsi les pratiques efficaces en matière de cybersécurité et améliorant la posture de sécurité globale dans le paysage numérique.
Un exemple de CVE ?
En 2018, une vulnérabilité affectant les microprocesseurs modernes a été annoncée, sous le nom de Spectre. Elle a touché tous les processeurs qui utilisent l’exécution spéculative.
L’impact de cette vulnérabilité a été énorme puisque presque tous les systèmes informatiques dans le monde ont été touchés, y compris les serveurs, les ordinateurs de bureau, les ordinateurs portables et les appareils mobiles. Il a été prouvé qu’elle fonctionnait sur les processeurs Intel, AMD, ARM et IBM. Compte tenu de son impact significatif, elle a suscité un intérêt particulier dans la communauté informatique.
CVE-2017-5753 et CVE-2017-5715 sont les références officielles de Spectre et la raison pour laquelle il y en a deux est qu’il existe deux variantes différentes de cette vulnérabilité.
Quelle est la relation entre les correctifs, les vulnérabilités et les CVE ?
Les correctifs, les vulnérabilités et les vulnérabilités et expositions courantes (CVE) sont des éléments étroitement liés dans le domaine de la cybersécurité. Les vulnérabilités représentent des faiblesses ou des failles dans les logiciels, le matériel ou les systèmes que des acteurs malveillants peuvent exploiter pour compromettre la sécurité.
Une fois les vulnérabilités découvertes, les développeurs publient des correctifs ou des mises à jour pour y remédier, améliorant ainsi la sécurité du système ou du logiciel concerné.
Les identifiants CVE, quant à eux, sont des identifiants standardisés attribués aux vulnérabilités divulguées publiquement, fournissant un point de référence unique pour le suivi et la discussion des problèmes de sécurité sur diverses plateformes et entreprises.
Les correctifs sont les solutions conçues pour remédier aux vulnérabilités, et les CVE servent de nomenclature standardisée pour identifier et communiquer ces vulnérabilités, facilitant la collaboration et le partage d’informations au sein de la communauté de la cybersécurité.
Cette relation souligne l’importance d’une correction rapide pour atténuer les risques de sécurité et le rôle des CVE dans la rationalisation de la gestion des vulnérabilités et des efforts de communication.
Comment savoir si mon système est affecté par un CVE ?
- Le nombre de CVE signalées est énorme, et il est donc complexe de suivre chaque CVE qui affecte un système. Heureusement, les développeurs de logiciels corrigent les vulnérabilités dans les nouvelles versions des logiciels, de sorte qu’en général, lorsque le système d’exploitation et les applications sont mis à jour, les anciennes CVE sont déjà résolues et il n’y a pas lieu de s’en préoccuper. Les systèmes plus anciens peuvent présenter un risque, mais comme de nouvelles CVE apparaissent chaque jour, les systèmes plus récents présentent eux aussi toujours un certain risque.
- Les correctifs logiciels sont classés de différentes manières, mais les correctifs critiques et de sécurité sont ceux qui corrigent les vulnérabilités. Si l’un de ces éléments manque à votre système, il est probable qu’il soit affecté par une vulnérabilité signalée par une CVE.
- Pour se protéger, il faut disposer d’un système de gestion des correctifs qui garantit que les systèmes sont à jour avec les correctifs. Étant donné que les applications et les systèmes d’exploitation bénéficient d’un soutien limité, les fournisseurs cessent à un moment donné de mener des recherches et de publier des mises à jour de sécurité, de sorte que rester à jour en ce qui concerne le matériel, le système d’exploitation et les applications est un autre élément crucial.
NinjaOne peut-il détecter les systèmes affectés par une CVE ?
NinjaOne peut détecter les systèmes auxquels il manque des correctifs et il peut détecter la classification des correctifs . L’utilisation de NinjaOne peut aider à détecter les systèmes manquant de correctifs critiques ou de sécurité qui sont considérés comme vulnérables et qui sont susceptibles d’être affectés par une vulnérabilité signalée sur une CVE.