OPINION. « La base de données mondiale des vulnérabilités informatiques en sursis »
Charles Cuvelliez, David Vanderoost et Jean-Jacques Quisquater

Photo d'illustration
DR
Charles Cuvelliez, David Vanderoost et Jean-Jacques Quisquater

Photo d'illustration
DR
La base de données en question, CVE (Common Vulnerabilities and Exposures), reprend, identifie et définit la gravité des vulnérabilités logicielles découvertes par leurs concepteurs ou indépendamment d'eux, par des chercheurs ou des sociétés de sécurité. Un numéro d'identification et une description de la gravité du problème leur sont attribués, ce qui leur confère une visibilité scientifique. Toute la communauté cyber converge vers cette base de données pour corriger au plus vite la vulnérabilité, pour traquer si elle est exploitée ou vérifier si le logiciel qui a ce problème de sécurité figure dans son réseau informatique ou pas. Pour le concepteur de logiciel, à moins de n'avoir jamais fait d'erreur de codage, y figurer est une preuve de professionnalisme, de transparence et d'assurance qualité. Ne rien dire, c'est mettre en danger sciemment vos clients.
C'est tout un écosystème qui vit de CVE et qui propose des outils qui l'utilisent. On songe à la NVD (National Vulnerability Database), gérée par le NIST, un organisme américain de référence. Elle attribue aux vulnérabilités leurs scores de sévérité, un critère essentiel pour savoir à quelle vitesse corriger la faille (car tout corriger en permanence, au fil de l'eau est impossible dans une entreprise, sans test, sans devoir parfois arrêter les systèmes, avec le risque de faire marche arrière si le correctif apporte d'autres problèmes dans le contexte particulier de celui qui l'utilise). Il y a aussi la CWE (Common Weakness Enumeration), qui classe les vulnérabilités par type d'erreur de codage à l'origine du problème.
MITRE n'est qu'un maillon de la chaine : il s'appuie sur les CNA (CVE Numbering Authorities). Ce sont eux qui attribuent un identifiant aux vulnérabilités, que le monde entier utilisera pour être sûr de parler de la même chose. Les CNA jouent le rôle de chambre d'enregistrement pour les chercheurs et entreprises de cybersécurité quand ils détectent des failles : c'est un guichet unique qui donne de la visibilité à leur travail, un incitant à continuer pour le bien commun. Chaque publication CVE est ensuite reprise, diffusée, connue : toute entreprise un peu attentive aura tôt fait d'agir pour appliquer les consignes du vendeur qui aura calqué la « publicité » sur la vulnérabilité de son produit avec la publication d'un correctif.
La base de données CVE illustre la vertu de la transparence en sécurité. Connaître rapidement l'existence d'une faille et son niveau de gravité — même si cette information arrive aux oreilles des hackers en même temps - déclenche une course contre la montre à l'avantage des utilisateurs s'ils agissent. Les hackers auront besoin de temps (et d'argent) pour développer un outil capable d'utiliser la vulnérabilité. Car savoir qu'une faille existe ne suffit pas : encore faut-il savoir comment l'exploiter. Fin 2024, CVE contenait 40 009 entrées contre 28 818 fin 2023. C'est dire comme elle est nécessaire. Fin 2024, 768 de ces vulnérabilités étaient exploitées par des hackers. Cette base de données alimentera les scanners qui ausculteront vos réseaux à la recherche de versions de logiciels pas mises à jour. Cela a mis fin à l'exploitation de vieilles vulnérabilités que les entreprises ne corrigeaient pas.
Le CISA, l'agence de cybersécurité américaine, qui finance MITRE a pourtant laissé filer le contrat jusqu'à échéance sans signe de vouloir le renouveler le 16 avril dernier. Une petite panique s'est installée dans le monde, sans lui déplaire pour finalement exercer une option de prolongation du contrat pour 11 mois, une disposition qui laisse planer le doute et qu'on imagine activée pour trouver un plan de sortie.... Mais pour qui ? Normalement, c'est pour le client, le CISA, afin de trouver une alternative. Mais ici, c'est bien le fournisseur, MITRE, qui doit trouver un autre client ! Qu'a cherché le CISA ? Mystère ! Faire pression sur le gouvernement américain avant que celui-ci ne diminue ses budgets ? Re-mystère. Tout ceci rappelle un autre financement, celui d'Internet, qui aux premiers temps était américain, via la National Science Foundation, qui y a mis fin mais dans une retraite ordonnée sans une telle mise en scène dont la cybersécurité n'a pas besoin !
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Il faut espérer que les diverses initiatives pour prendre le relais de la base de données CVE ou de MITRE comme la CVE Foundation qui vient d'être créée dans la foulée ou la base de données de vulnérabilités proposée par l'ENISA vont surgir. Mais la CVE est aussi un point de rencontre unique de toute la communauté cyber. Sa fin signifierait une fragmentation de l'information, moins de coordination et moins de priorisation du traitement des vulnérabilités et des menaces en général. La CVE , c'est une cybercoalition mondiale. Cela doit continuer.
_______
(*) Charles Cuvelliez, Ecole Polytechnique de Bruxelles, Université de Bruxelles (ULB), Chief Information Security Officer, Belfius Banque ; David Vanderoost, CEO, Approach-Cyber et Jean-Jacques Quisquater, Ecole Polytechnique de Louvain, Université de Louvain (UCL)
Charles Cuvelliez, David Vanderoost et Jean-Jacques Quisquater