Common Vulnerabilities and Exposures (CVE)

đŸ› ïž Open Vulnerability Assessment Language (OVAL)

L’Open Vulnerability Assessment Language (OVAL) est un standard international ouvert de sĂ©curitĂ© informatique, soutenu notamment par le dĂ©partement amĂ©ricain de la sĂ©curitĂ© intĂ©rieure (DHS). Il permet d’évaluer automatiquement l’état d’un systĂšme sans exploitation directe, grĂące Ă  une langue de description et des rĂ©fĂ©rentiels partagĂ©s. Plus de 7000 dĂ©finitions OVAL sont disponibles publiquement.

🔁 Processus d’analyse OVAL

Le processus OVAL suit trois Ă©tapes :

  1. Identification de la configuration systĂšme Ă  tester.

  2. Évaluation de l’état courant du systĂšme.

  3. Rapport sur les rĂ©sultats (vulnĂ©rable, non conforme, patché ).

đŸ§© Types de dĂ©finitions OVAL

Type
Description

Vulnerability

Vulnérabilités systÚme

Compliance

Conformité aux politiques de sécurité

Inventory

Présence de logiciels spécifiques

Patch

Application de correctifs

Les définitions OVAL sont au format XML et utilisent un identifiant structuré (ex : oval:org.mitre.oval:obj:1116).

đŸ› ïž OVAL est utilisĂ© par Nessus, OpenVAS et des programmes comme SCAP (Security Content Automation Protocol) pour automatiser la conformitĂ©.

🔎 Common Vulnerabilities and Exposures (CVE)

Le systĂšme CVE (Common Vulnerabilities and Exposures) est un rĂ©fĂ©rentiel public sponsorisĂ© par le DHS, qui rĂ©pertorie les vulnĂ©rabilitĂ©s de sĂ©curitĂ© Ă  l’aide d’un identifiant unique (ex : CVE-2021-34527).

Chaque CVE contient une description, des références techniques, et un niveau de criticité.

📜 Conditions d’obtention d’un ID CVE

Un problùme peut recevoir un ID CVE s’il :

  • Est corrigible indĂ©pendamment,

  • Affecte un seul codebase,

  • Est reconnu par le fournisseur du logiciel.

🧭 Étapes de la soumission d’un CVE

  1. Identifier le besoin d’un CVE (vĂ©rifier que l’exploit rĂ©pond Ă  la dĂ©finition d’une vulnĂ©rabilitĂ©).

  2. Contacter le fournisseur du logiciel.

  3. VĂ©rifier s’il existe un CNA (CVE Numbering Authority) affiliĂ©.

  4. Utiliser le formulaire web CVE si nécessaire.

  5. RĂ©ception d’un accusĂ© de rĂ©ception.

  6. Validation et attribution d’un ID CVE.

  7. Divulgation publique (aprĂšs accord du fournisseur).

  8. Annonce officielle (publication publique).

  9. Fournir des détails complémentaires pour le site CVE/NVD.

đŸ€ Responsible Disclosure

La divulgation responsable vise Ă  signaler une vulnĂ©rabilitĂ© en privĂ© au fournisseur avant publication, afin d’éviter l’exploitation criminelle (0-day). Ce processus contribue Ă  une sĂ©curitĂ© collective plus robuste.

đŸ§Ș Exemples

CVE-2020-5902

  • VulnĂ©rabilitĂ© critique de type RCE dans l’interface BIG-IP TMUI.

  • Permet une prise de contrĂŽle complĂšte du systĂšme sans authentification.

CVE-2021-34527 (PrintNightmare)

  • VulnĂ©rabilitĂ© RCE dans le service Windows Print Spooler.

  • Permet Ă  un attaquant authentifiĂ© de contrĂŽler un domaine entier.

🧠 En rĂ©sumĂ©

ÉlĂ©ment
Description

OVAL

Langage XML pour dĂ©crire l’état des systĂšmes et dĂ©tecter des vulnĂ©rabilitĂ©s

CVE

Identifiant unique pour une vulnérabilité documentée et publiquement reconnue

Disclosure

Processus responsable de signalement pour limiter les risques de 0-day

PrécédentCommon Vulnerability Scoring System (CVSS)SuivantVulnerability Scanning Overview

Mis Ă  jour