Sécurité : sous pression, Mitre poussé à réformer les CVE
Mitre, l’organisme en charge des CVE, a pris du retard dans le processus d’identification des failles. Une solution alternative, DWF, pointe son nez.
Le système CVE (Common Vulnerabilities and Exposures) reste un point de repère des politiques de sécurité. Il recense et attribue un identifiant à chaque faille ou menace. Au-delà de la simple identification, ce système sert également de référence dans le monde de la sécurité : il témoigne des travaux des chercheurs ayant trouvé ou aidé à la correction d’une faille. Un moyen pour les spécialistes de se comparer entre eux et de créer une saine émulation.
Cette base de données est gérée par un organisme à but non lucratif, nommé Mitre. Ce dernier vient d’avouer qu’il avait dû faire face à une « demande sans précédent pour l’identification des vulnérabilités ». L’affaire a commencé voici quelques mois avec la plainte de plusieurs chercheurs. En cause : la longue attente pour voir des vulnérabilités étiquetées. Certains, excédés par la lenteur du processus, ont renoncé et finalement publié leurs travaux sans numéro de CVE. Un risque, car les grandes entreprises et les administrations restent très attachées au système pour travailler sur les questions de sécurité.
Pour expliquer cette recrudescence de demandes d’identification, les yeux se tournent vers l’Internet des objets. La multiplication des terminaux connectés et la faible prise en compte des questions de sécurité dans cette industrie ont affolé les compteurs de Mitre, en générant un grand nombre de bug. Les équipes de l’organisme d’identification n’ont simplement pas pu suivre cet afflux. Car leur travail ne se limite pas à attribuer un numéro à un rapport de sécurité. Ils contactent les éditeurs ou les constructeurs concernés pour évaluer la faille et en calculer le degré de gravité.
Déjà un remplaçant pour CVE ?
Mitre a reconnu ces problèmes sur sa page d’accueil : « CVE a connu une demande sans précédent d’ID pour des vulnérabilités. Nous sommes impatients de travailler avec le comité éditorial de CVE et la communauté pour améliorer sensiblement la communication avec les parties prenantes, ainsi que les opérations CVE afin de réduire les temps de réponse pour l’identification et augmenter la couverture des produits ».
Kurt Seifried, membre du conseil d’administration de Mitre et expert en sécurité chez Red Hat, préfère se tourner vers l’avenir et propose une solution alternative à CVE, qui se nomme DWF (Distributed Weakness Filing). Un système qu’il avait prévu de lancer à l’été prochain, a-t-il expliqué à nos confrères de The Register. Face à l’empilement de CVE en retard, il a commencé à publier sur GitHub la documentation pour DWF. On note par exemple un effort de rationalisation : « si un audit de sécurité trouve 500 failles de cross scripting (XSS), il n’y aura pas 500 identifiants DWF, mais un seul en fonction de la catégorie » de la vulnérabilité.
L’affaire des CVE n’est pas sans rappeler l’expérience de Joyent avec Node.js. La communauté demandait à Joyent plus de retour sur le code et sur l’ajout de nouvelles fonctionnalités, mais devant le retard du fournisseur de Cloud, des développeurs ont décidé de « forker » la plateforme de JavaScript. Résultat, ce fork porté par io.js est devenu incontournable. Un exemple à ne pas suivre pour Mitre et CVE.
A lire aussi :
Drown : la faille qui met en danger un tiers des serveurs HTTPS
Et Flash Player d’Adobe s’invita dans le Patch Tuesday
