Qu’est-ce que CVE (Common Vulnerabilities and Exposures) ?

CVE signifie Common Vulnerabilities and Exposures. C’est un système qui suit les vulnérabilités de cybersécurité déjà connues du public.

Chaque enregistrement CVE a son propre identifiant, comme CVE-2024-492881, et explique une faiblesse spécifique dans le logiciel, le matériel ou le firmware que les attaquants pourraient utiliser pour exploiter le système.

Le programme CVE a été lancé par MITRE Corporation, une organisation à but non lucratif financée par le gouvernement américain, axée sur la cybersécurité et la technologie. Aujourd’hui, MITRE continue de gérer le système CVE sous la supervision du CVE Board—un groupe qui comprend des experts en sécurité, des fournisseurs et des parties prenantes mondiales. Les organisations, les fournisseurs, les outils de sécurité et les chercheurs du monde entier utilisent CVE pour suivre les vulnérabilités et gérer les correctifs.

Pourquoi CVE est important en cybersécurité

Avant CVE, les chercheurs et les organisations s’appuyaient sur des systèmes de nommage séparés, ce qui rendait difficile le suivi des vulnérabilités à travers différents outils et rapports.

CVE aide à résoudre ce problème en offrant :

• Des identifiants cohérents pour chaque vulnérabilité
• Une visibilité centralisée dans la base de données de sécurité mondiale
• Une collaboration facilitée entre les fournisseurs, les chercheurs et les organisations impliqués dans la cybersécurité.

CVE forme la base des outils de sécurité tels que les scanners de vulnérabilités, SCA, ASPM, et les systèmes de gestion des correctifs qui s’appuient sur les identifiants CVE pour détecter et prioriser les risques.

Comment fonctionne CVE ?

Chaque enregistrement CVE dans la base de données de vulnérabilités comprend

• Un ID CVE - un identifiant unique pour une vulnérabilité
• Une Description - explication de la vulnérabilité
• Références - sources externes fiables qui fournissent des informations détaillées sur la vulnérabilité
• Un Score CVSS - évaluation de la gravité, une note qui indique à quel point la vulnérabilité est sérieuse ou impactante si elle est exploitée.

Tous les CVE sont stockés publiquement sur cve.org, et également reproduits dans la Base de Données Nationale des Vulnérabilités (NVD) maintenue par le NIST (Institut National des Standards et de la Technologie), qui est une agence non réglementaire du Département du Commerce des États-Unis.

Vulnérabilités Connues vs. Inconnues

Vulnérabilités Connues

Vulnérabilités dont les organisations de sécurité et les chercheurs sont conscients et peuvent fournir des correctifs pour résoudre les vulnérabilités.

Les vulnérabilités connues sont souvent déjà publiées dans des bases de données comme CVE ou NVD.

Exemple :

CVE-2017-5638 — la vulnérabilité Apache Struts exploitée lors de la violation d’Equifax (2017).

Vulnérabilités Inconnues (Zero-Day)

Ce sont des failles non découvertes ou non divulguées ; elles existent dans le logiciel mais ne sont pas encore documentées dans les bases de données CVE.

Les attaquants peuvent les exploiter avant que le fournisseur ne publie un correctif. C’est une faille très dangereuse.

Exemple :

Une vulnérabilité de navigateur est utilisée par des attaquants avant que Google ou Microsoft ne publie une correction.

Termes Connexes

• NVD (Base de Données Nationale des Vulnérabilités)
• CVSS (Système Commun de Notation des Vulnérabilités)
• Vulnérabilité Zero-Day
• Exploit
• Gestion des Correctifs
• Gestion des Vulnérabilités
• Énumération des Faiblesses Communes (CWE)

FAQ : CVE