Article de Blog

Comment Publier une Vulnérabilité CVE

Table des Matières

Une faille de sécurité informatique est une faiblesse qui peut être exploitée par un pirate. Ces faiblesses peuvent être trouvées dans le logiciel, le matériel ou le micrologiciel d’un système informatique. Common Vulnerabilities and Exposures (CVE) est un dictionnaire des vulnérabilités de sécurité informatique. Il est géré par la MITRE Corporation et est utilisé par les agences gouvernementales, les entreprises et les chercheurs pour partager des informations sur les vulnérabilités de sécurité. Dans cet article de blog, nous discuterons du processus de publication d’une vulnérabilité CVE.

Confirmez que votre vulnérabilité est nouvelle

Vous avez identifié une nouvelle vulnérabilité informatique dans un produit logiciel. La première étape consiste à s’assurer que cette vulnérabilité est nouvelle en effectuant des recherches. Si votre recherche dans l’un des référentiels suivants indique qu’un identifiant CVE a déjà été attribué à votre vulnérabilité, elle n’est pas nouvelle et n’a pas besoin d’être publiée.

CVE

La première base de données à rechercher est le catalogue CVE de Mitre. Le catalogue CVE est une liste de vulnérabilités de sécurité informatique auxquelles un identifiant CVE a été attribué.

La base de données nationale sur les vulnérabilités (NVD)

Un autre endroit où chercher est la base de données nationale sur les vulnérabilités (NVD). Le NVD est un référentiel de vulnérabilités de sécurité informatique géré par le gouvernement américain.

GitHub, ExploitDB et PacketStorm

Parmi les autres bases de données qui valent la peine d’être recherchées figurent GitHub, ExploitDB et PacketStorm. Ce sont des référentiels d’exploits de sécurité informatique.

Google

Cela ne fait pas de mal de faire également une recherche rapide sur Google. Sachez simplement que certains résultats peuvent ne pas être exacts. La raison en est que Google indexe les identifiants CVE et les inclut parfois dans les résultats de recherche même si la vulnérabilité n’a pas encore été attribuée à un identifiant CVE.

Contactez le fournisseur du produit concerné

Lorsque vos recherches vous permettent de confirmer que la vulnérabilité que vous avez identifiée est nouvelle, l’étape suivante consiste à contacter le fournisseur du produit concerné. Le fournisseur est la société qui fabrique le logiciel, le matériel ou le micrologiciel dans lequel vous avez trouvé la vulnérabilité.

A partir de là, plusieurs scénarios peuvent se dérouler :

Si le vendeur est coopératif

Vous avez contacté le propriétaire du produit pour l’avertir de la nouvelle vulnérabilité de sécurité informatique. Ils sont coopératifs et veulent travailler avec vous pour résoudre le problème. Le fournisseur attribuera un identifiant CVE et ajoutera l’entrée à son avis de sécurité.

Si le vendeur n’est pas coopératif

Vous avez contacté le propriétaire du produit, mais il ne souhaite pas travailler avec vous. Ils peuvent être peu coopératifs pour un certain nombre de raisons. Dans ce cas, vous pouvez toujours soumettre une demande au dictionnaire CVE pour qu’un identifiant CVE soit attribué.

Si le fournisseur ne répond pas

Vous avez contacté le propriétaire du produit, mais vous n’obtenez pas de réponse. Ceci est connu comme étant « non réactif ». Dans ce cas, vous pouvez également soumettre une demande au dictionnaire CVE pour qu’un identifiant CVE lui soit attribué.

Si le fournisseur offre une prime de bogue

Si le fournisseur décide d’offrir une prime de bogue, il émettra une demande d’informations (RFI) pour solliciter des rapports sur les vulnérabilités de sécurité informatique. La demande d’informations inclura une liste de critères qui doivent être remplis pour que la soumission soit éligible à la prime de bogue.

Si le fournisseur ignore la vulnérabilité

Si un e-mail envoyé à l’adresse e-mail principale du fournisseur ne reçoit aucune réponse, le fournisseur peut ignorer la vulnérabilité de sécurité informatique. Dans ce cas, vous pouvez également soumettre une demande au dictionnaire CVE pour qu’un identifiant CVE lui soit attribué.

Publiez votre vulnérabilité dans le catalogue CVE

Le processus de publication peut être décomposé en les étapes suivantes :

Recueillir des informations sur la vulnérabilité

Les informations dont vous aurez besoin pour rassembler incluent les éléments suivants :

  • Type d’attaque
  • Impact
  • Composant concerné
  • Vecteur d’attaque
  • Comment le fournisseur a reconnu la vulnérabilité
  • Quelques références publiques

MITRE propose même ses propres modèles de description :

  • [VULNTYPE] dans[COMPONENT] dans [VENDOR][PRODUCT] [VERSION] permet[ATTACKER] à[IMPACT] passant par[VECTOR] .
  • [COMPONENT] dans [VENDOR] [PRODUCT] [VERSION] [ROOT CAUSE], ce qui permet [ATTACKER] à [IMPACT] passant par [VECTOR].

Créer une demande CVE

Une demande CVE est simplement une demande d’attribution d’un identifiant CVE. La demande doit inclure toutes les informations mentionnées ci-dessus.

Soumettre la demande CVE

Après avoir envoyé votre demande CVE, elle sera examinée et, si elle est approuvée, votre vulnérabilité se verra attribuer un identifiant CVE et sera publiée. Dans tous les cas, assurez-vous toujours que votre vulnérabilité nouvellement découverte suit un processus de divulgation responsable convenu avec le fournisseur.

Emballer

Trouver une nouvelle vulnérabilité et la publier dans le catalogue CVE peut être une expérience gratifiante. Pour certains chercheurs en vulnérabilité, cela pourrait signifier un formidable élan de carrière. Dans tous les cas, le respect d’une démarche éthique stricte incluant l’accord du vendeur est indispensable à toutes les étapes de ce processus éditorial. Le respect de la divulgation responsable permet également de s’assurer que le fournisseur publie un correctif avant que la vulnérabilité ne soit publiée, tenant ainsi les attaquants à distance.

Dans le même esprit, améliorer la sécurité de votre application en identifiant et corrigeant vos vulnérabilités avant qu’un attaquant ne puisse les exploiter n’a que du sens.

Si vous avez besoin d’aide pour tester vos systèmes afin de corriger leurs vulnérabilités, contactez-nous .

Restez à l'Affût des Cyber Menaces !
Abonnez-vous à notre bulletin mensuel pour rester au fait des principaux risques de cybersécurité.

Récentes Publications

Catégories

Principaux Services

Récents Articles de Blog

Faites nous part de vos besoins.
Obtenez une réponse le même jour ouvrable.

Faites nous part de vos besoins. Obtenez une réponse le même jour ouvrable.

Un besoin urgent? Appelez-nous au 1-877-805-7475 ou prenez rendez-vous.

Une fois le formulaire envoyé:

  • Nous vous contactons pour connaître vos objectifs
  • Nous travaillons ensemble pour définir la portée du projet.
  • Vous obtenez une soumission tout incluse, sans engagement.

Aucun engagement. Réponse sous 24h.
Scroll to Top

PRENEZ RENDEZ-VOUS AVEC UN EXPERT

Entrez Votre Courriel Corporatif