Qu’est-ce que CVE (Common Vulnerabilities and Exposures) ?

CVE signifie Common Vulnerabilities and Exposures. C’est un système qui suit les vulnérabilités en cybersécurité déjà connues du public.

Chaque enregistrement CVE a son propre ID, comme CVE-2024-492881, et explique une faiblesse spécifique dans un logiciel, un matériel ou un firmware que les attaquants pourraient utiliser pour exploiter le système.

Le programme CVE a été lancé par la MITRE Corporation, une organisation à but non lucratif financée par le gouvernement fédéral des États-Unis, axée sur la cybersécurité et la technologie. Aujourd’hui, MITRE continue de gérer le système CVE sous la supervision du CVE Board—un groupe qui comprend des experts en sécurité, des fournisseurs et des parties prenantes mondiales. Les organisations, les fournisseurs, les outils de sécurité et les chercheurs du monde entier utilisent CVE pour suivre les vulnérabilités et gérer les correctifs.

Pourquoi CVE est important en cybersécurité

Avant CVE, les chercheurs et les organisations s’appuyaient sur des systèmes de nommage séparés, ce qui rendait difficile le suivi des vulnérabilités à travers différents outils et rapports.

CVE aide à résoudre ce problème en offrant :

• Identifiants cohérents pour chaque vulnérabilité
• Visibilité centralisée dans la base de données de sécurité mondiale
• Collaboration facilitée entre les fournisseurs, les chercheurs et les organisations impliquées dans la cybersécurité.

CVE constitue la base pour les outils de sécurité tels que les scanners de vulnérabilités, SCA, ASPM, et les systèmes de gestion des correctifs qui s’appuient sur les identifiants CVE pour détecter et prioriser les risques.

Comment fonctionne CVE ?

Chaque enregistrement CVE dans la base de données des vulnérabilités comprend

• Un identifiant CVE - un identifiant unique pour une vulnérabilité
• Une description - explication de la vulnérabilité
• Références - sources externes fiables fournissant des informations détaillées sur la vulnérabilité
• Un score CVSS - évaluation de la gravité, une note qui indique la sérieuse ou l’impact d’une vulnérabilité si elle est exploitée.

Tous les CVE sont stockés publiquement sur cve.org, et également reproduits dans la Base de données nationale des vulnérabilités (NVD) maintenue par le NIST (National Institute of Standards and Technology), qui est une agence non réglementaire du Département du Commerce des États-Unis.

Vulnérabilités Connues vs. Inconnues

Vulnérabilités Connues

Vulnérabilités dont les organisations de sécurité et les chercheurs sont conscients et pour lesquelles ils peuvent fournir des correctifs pour les résoudre.

Les vulnérabilités connues sont souvent déjà publiées dans des bases de données comme CVE ou NVD.

Exemple :

CVE-2017-5638 — la vulnérabilité Apache Struts exploitée lors de la violation de données d’Equifax (2017).

Vulnérabilités Inconnues (Zero-Day)

Ce sont des failles non découvertes ou non divulguées ; elles existent dans le logiciel mais ne sont pas encore documentées dans les bases de données CVE.

Les attaquants peuvent les exploiter avant que le fournisseur ne publie un correctif. C’est une faille très dangereuse.

Exemple :

Une vulnérabilité de navigateur est utilisée par des attaquants avant que Google ou Microsoft ne publie un correctif.

Termes Connexes

• NVD (National Vulnerability Database)
• CVSS (Common Vulnerability Scoring System)
• Vulnérabilité Zero-Day
• Exploit
• Gestion des Correctifs
• Gestion des Vulnérabilités
• Common Weakness Enumeration (CWE)

FAQ : CVE