Pour gérer vos consentements :

Sécurité : sous pression, Mitre poussé à réformer les CVE

Le système CVE (Common Vulnerabilities and Exposures) reste un point de repère des politiques de sécurité. Il recense et attribue un identifiant à chaque faille ou menace. Au-delà de la simple identification, ce système sert également de référence dans le monde de la sécurité : il témoigne des travaux des chercheurs ayant trouvé ou aidé à la correction d’une faille. Un moyen pour les spécialistes de se comparer entre eux et de créer une saine émulation.

Cette base de données est gérée par un organisme à but non lucratif, nommé Mitre. Ce dernier vient d’avouer qu’il avait dû faire face à une « demande sans précédent pour l’identification des vulnérabilités ». L’affaire a commencé voici quelques mois avec la plainte de plusieurs chercheurs. En cause : la longue attente pour voir des vulnérabilités étiquetées. Certains, excédés par la lenteur du processus, ont renoncé et finalement publié leurs travaux sans numéro de CVE. Un risque, car les grandes entreprises et les administrations restent très attachées au système pour travailler sur les questions de sécurité.

Pour expliquer cette recrudescence de demandes d’identification, les yeux se tournent vers l’Internet des objets. La multiplication des terminaux connectés et la faible prise en compte des questions de sécurité dans cette industrie ont affolé les compteurs de Mitre, en générant un grand nombre de bug. Les équipes de l’organisme d’identification n’ont simplement pas pu suivre cet afflux. Car leur travail ne se limite pas à attribuer un numéro à un rapport de sécurité. Ils contactent les éditeurs ou les constructeurs concernés pour évaluer la faille et en calculer le degré de gravité.

Déjà un remplaçant pour CVE ?

Mitre a reconnu ces problèmes sur sa page d’accueil : « CVE a connu une demande sans précédent d’ID pour des vulnérabilités. Nous sommes impatients de travailler avec le comité éditorial de CVE et la communauté pour améliorer sensiblement la communication avec les parties prenantes, ainsi que les opérations CVE afin de réduire les temps de réponse pour l’identification et augmenter la couverture des produits ».

Kurt Seifried, membre du conseil d’administration de Mitre et expert en sécurité chez Red Hat, préfère se tourner vers l’avenir et propose une solution alternative à CVE, qui se nomme DWF (Distributed Weakness Filing). Un système qu’il avait prévu de lancer à l’été prochain, a-t-il expliqué à nos confrères de The Register. Face à l’empilement de CVE en retard, il a commencé à publier sur GitHub la documentation pour DWF. On note par exemple un effort de rationalisation : « si un audit de sécurité trouve 500 failles de cross scripting (XSS), il n’y aura pas 500 identifiants DWF, mais un seul en fonction de la catégorie » de la vulnérabilité.

L’affaire des CVE n’est pas sans rappeler l’expérience de Joyent avec Node.js. La communauté demandait à Joyent plus de retour sur le code et sur l’ajout de nouvelles fonctionnalités, mais devant le retard du fournisseur de Cloud, des développeurs ont décidé de « forker » la plateforme de JavaScript. Résultat, ce fork porté par io.js est devenu incontournable. Un exemple à ne pas suivre pour Mitre et CVE.

A lire aussi :

Drown : la faille qui met en danger un tiers des serveurs HTTPS

Et Flash Player d’Adobe s’invita dans le Patch Tuesday

Crédit Photo : Olivier le Moal-Shutterstock

Recent Posts

Noyau Linux : Rust fusionné demain (ou presque)

Le support Rust for Linux pourrait être prêt pour la version 5.20 du noyau Linux,…

8 heures ago

Cloud et sécurité : les référentiels-clés selon le Clusif

Le Clusif a listé 23 référentiels pour traiter le sujet de la sécurité dans le…

8 heures ago

Tech : une équité salariale contrariée

Malgré des avancées, la diversification des embauches et l'équité salariale progressent lentement dans les technologies…

12 heures ago

Assurance cyber : le marché français en 9 chiffres

Primes, capacités, franchises, indemnisations... Coup de projecteur sur quelques aspects du marché français de l'assurance…

13 heures ago

CodeWhisperer : AWS a aussi son « IA qui code »

Dans la lignée du passage de GitHub Copilot en phase commerciale, CodeWhisperer, son concurrent made…

15 heures ago

Zscaler met plus d’intelligence dans la sécurité Zero Trust

Zscaler renforce les capacités d'intelligence artificielle de sa plateforme de sécurité Zero Trust Exchange, de…

1 jour ago