Une faille de sécurité informatique est une faiblesse qui peut être exploitée par un pirate. Ces faiblesses peuvent être trouvées dans le logiciel, le matériel ou le micrologiciel d’un système informatique. Common Vulnerabilities and Exposures (CVE) est un dictionnaire des vulnérabilités de sécurité informatique. Il est géré par la MITRE Corporation et est utilisé par les agences gouvernementales, les entreprises et les chercheurs pour partager des informations sur les vulnérabilités de sécurité. Dans cet article de blog, nous discuterons du processus de publication d’une vulnérabilité CVE.
Confirmez que votre vulnérabilité est nouvelle
Vous avez identifié une nouvelle vulnérabilité informatique dans un produit logiciel. La première étape consiste à s’assurer que cette vulnérabilité est nouvelle en effectuant des recherches. Si votre recherche dans l’un des référentiels suivants indique qu’un identifiant CVE a déjà été attribué à votre vulnérabilité, elle n’est pas nouvelle et n’a pas besoin d’être publiée.
CVE
La première base de données à rechercher est le catalogue CVE de Mitre. Le catalogue CVE est une liste de vulnérabilités de sécurité informatique auxquelles un identifiant CVE a été attribué.
La base de données nationale sur les vulnérabilités (NVD)
Un autre endroit où chercher est la base de données nationale sur les vulnérabilités (NVD). Le NVD est un référentiel de vulnérabilités de sécurité informatique géré par le gouvernement américain.
GitHub, ExploitDB et PacketStorm
Parmi les autres bases de données qui valent la peine d’être recherchées figurent GitHub, ExploitDB et PacketStorm. Ce sont des référentiels d’exploits de sécurité informatique.
Cela ne fait pas de mal de faire également une recherche rapide sur Google. Sachez simplement que certains résultats peuvent ne pas être exacts. La raison en est que Google indexe les identifiants CVE et les inclut parfois dans les résultats de recherche même si la vulnérabilité n’a pas encore été attribuée à un identifiant CVE.
Contactez le fournisseur du produit concerné
Lorsque vos recherches vous permettent de confirmer que la vulnérabilité que vous avez identifiée est nouvelle, l’étape suivante consiste à contacter le fournisseur du produit concerné. Le fournisseur est la société qui fabrique le logiciel, le matériel ou le micrologiciel dans lequel vous avez trouvé la vulnérabilité.
A partir de là, plusieurs scénarios peuvent se dérouler :
Si le vendeur est coopératif
Vous avez contacté le propriétaire du produit pour l’avertir de la nouvelle vulnérabilité de sécurité informatique. Ils sont coopératifs et veulent travailler avec vous pour résoudre le problème. Le fournisseur attribuera un identifiant CVE et ajoutera l’entrée à son avis de sécurité.
Si le vendeur n’est pas coopératif
Vous avez contacté le propriétaire du produit, mais il ne souhaite pas travailler avec vous. Ils peuvent être peu coopératifs pour un certain nombre de raisons. Dans ce cas, vous pouvez toujours soumettre une demande au dictionnaire CVE pour qu’un identifiant CVE soit attribué.
Si le fournisseur ne répond pas
Vous avez contacté le propriétaire du produit, mais vous n’obtenez pas de réponse. Ceci est connu comme étant « non réactif ». Dans ce cas, vous pouvez également soumettre une demande au dictionnaire CVE pour qu’un identifiant CVE lui soit attribué.
Si le fournisseur offre une prime de bogue
Si le fournisseur décide d’offrir une prime de bogue, il émettra une demande d’informations (RFI) pour solliciter des rapports sur les vulnérabilités de sécurité informatique. La demande d’informations inclura une liste de critères qui doivent être remplis pour que la soumission soit éligible à la prime de bogue.
Si le fournisseur ignore la vulnérabilité
Si un e-mail envoyé à l’adresse e-mail principale du fournisseur ne reçoit aucune réponse, le fournisseur peut ignorer la vulnérabilité de sécurité informatique. Dans ce cas, vous pouvez également soumettre une demande au dictionnaire CVE pour qu’un identifiant CVE lui soit attribué.
Publiez votre vulnérabilité dans le catalogue CVE
Le processus de publication peut être décomposé en les étapes suivantes :
Recueillir des informations sur la vulnérabilité
Les informations dont vous aurez besoin pour rassembler incluent les éléments suivants :
- Type d’attaque
- Impact
- Composant concerné
- Vecteur d’attaque
- Comment le fournisseur a reconnu la vulnérabilité
- Quelques références publiques
MITRE propose même ses propres modèles de description :
- [VULNTYPE] dans[COMPONENT] dans [VENDOR][PRODUCT] [VERSION] permet[ATTACKER] à[IMPACT] passant par[VECTOR] .
- [COMPONENT] dans [VENDOR] [PRODUCT] [VERSION] [ROOT CAUSE], ce qui permet [ATTACKER] à [IMPACT] passant par [VECTOR].
Créer une demande CVE
Une demande CVE est simplement une demande d’attribution d’un identifiant CVE. La demande doit inclure toutes les informations mentionnées ci-dessus.
Soumettre la demande CVE
Après avoir envoyé votre demande CVE, elle sera examinée et, si elle est approuvée, votre vulnérabilité se verra attribuer un identifiant CVE et sera publiée. Dans tous les cas, assurez-vous toujours que votre vulnérabilité nouvellement découverte suit un processus de divulgation responsable convenu avec le fournisseur.
Emballer
Trouver une nouvelle vulnérabilité et la publier dans le catalogue CVE peut être une expérience gratifiante. Pour certains chercheurs en vulnérabilité, cela pourrait signifier un formidable élan de carrière. Dans tous les cas, le respect d’une démarche éthique stricte incluant l’accord du vendeur est indispensable à toutes les étapes de ce processus éditorial. Le respect de la divulgation responsable permet également de s’assurer que le fournisseur publie un correctif avant que la vulnérabilité ne soit publiée, tenant ainsi les attaquants à distance.
Dans le même esprit, améliorer la sécurité de votre application en identifiant et corrigeant vos vulnérabilités avant qu’un attaquant ne puisse les exploiter n’a que du sens.
Si vous avez besoin d’aide pour tester vos systèmes afin de corriger leurs vulnérabilités, contactez-nous .
