Connexion
Abonnez-vous

MITRE met en pause un projet d’amélioration de CVE, le catalogue des failles

Rien ne sert de courir...

MITRE met en pause un projet d'amélioration de CVE, le catalogue des failles

Le 21 mars 2016 à 14h55

L'organisme MITRE, qui catalogue les vulnérabilités logicielles, a décidé de revoir ses méthodes de travail. Jugé trop lente par nombre d'experts, l'entité se prépare à déléguer la gestion des « CVE » à des partenaires qu'il supervisera. Le projet a été mis en pause pour une durée indéfinie peu après son annonce.

L'attribution des identifiants CVE doit s'accélérer. Jeudi 17 mars, MITRE, l'organisme à but non lucratif qui se charge de cataloguer les vulnérabilités logicielles, a annoncé préparer l'évolution de son système. « Le monde a beaucoup changé depuis que CVE a été lancé en 1999, et nous agissons rapidement pour satisfaire les besoins des chercheurs en sécurité qui nécessitent un accès facile aux identifiants des vulnérabilités. Pour cela, MITRE commencera un programme pilote pour des CVE-IDs en réponse rapide, le lundi 21 mars 2016 » a affirmé l'organisation sur la liste de discussion du conseil éditorial.

En fait, MITRE n'arriverait simplement plus à tenir le rythme des publications de failles. Une alerte sur le site dédié le signale d'ailleurs bien. L'organisme a été très critiqué ces derniers mois sur le sujet. Des chercheurs ne comprennent pas les lenteurs (voire l'impossibilité) pour obtenir un identifiant CVE quand ils signalent une faille. Ces critiques sont même remontées à la liste de discussion du conseil éditorial, qui regroupe de grands noms comme Cisco, Microsoft, Oracle ou Symantec.

Un nombre de signalements doublé en 2015

MITRE dit avoir reçu 20 000 rapports de vulnérabilités en 2015, contre 10 000 en 2014. Cette année 2016 serait d'ailleurs en bonne voie pour surpasser 2015, prévient l'organisme, cité par Threatpost. L'explication : une dépendance de plus en plus forte des industries sur le logiciel, qui multiplie donc les recherches et les découvertes de failles à cataloguer.

L'organisme affirme entendre les critiques sur son fonctionnement, et se préparerait à lancer un nouveau programme pilote pour gérer les identifiants CVE. Le but est de fournir rapidement des identifiants CVE, sans remplir toutes les informations habituelles. « L'immédiateté de ce cas d'usage signifie que l'obligation des références et description traditionnelles est, par moments, moins importante que la fourniture rapide d'un identifiant unique » écrit MITRE.

Pour agir plus vite, MITRE compte ainsi déléguer l'attribution de l'identifiant à des partenaires, choisis par ses soins. Plutôt que de recevoir toutes les demandes pour les traiter elle-même et leur assigner un identifiant, l'organisation serait simplement l'administrateur du programme. MITRE passerait donc d'un rôle de traitement à un rôle de supervision.

Dans un premier temps, MITRE serait le seul à contribuer à cette procédure accélérée. Le conseil éditorial, c'est-à-dire les principaux partenaires, devrait aider à identifier les premières autorités tierces à contribuer au programme pilote.

Un projet mis en pause peu après son annonce

« Nous travaillons avec un certain nombre de partenaires pour fédérer le processus d'affectation [des identifiants] pour mieux dimensionner les capacités des CVE et répondre aux besoins de la communauté » affirme Chris Levendis, chef de projet standards et technologies au MITRE, cité par Threatpost. « Nous le faisons de manière à ce que le programme ait le même niveau d'intégrité que le CVE a toujours eu, et sur lequel il a construit sa réputation » explique encore l'organisation.

Ce changement annoncé s'accompagne d'une nouvelle nomenclature pour différencier les identifiants fournis rapidement de ceux édités de manière classique. Les identifiants attribués en « réponse rapide » seront notés dans le format « CVE-CCCIII-YYYY-NNNN…N ». Concrètement, le « CCC » doit identifier le pays de l''autorité et le « III » l'autorité elle-même. Il s'agit donc pour le moment d'une expérimentation, qui ne doit pas interférer avec le traitement classique des requêtes CVE, maintenu en parallèle.

Malgré l'avancée du projet, celui-ci a reçu un coup d'arrêt direct le lendemain de son annonce, vendredi 18 mars. Comme l'a repéré The Register, MITRE a ainsi annoncé l'arrêt des travaux. « Suite à vos retours, nous n'allons pas faire d'annonce publique [comme prévu pour ce lundi] du programme pilote, que nous mettons indéfiniment en pause » écrit Joe Sain, responsable communication du CVE sur la liste du conseil éditorial. Une réunion doit être tenue cette semaine, pour discuter d'une évolution du modèle actuel du CVE, avant toute nouvelle annonce.

Des alternatives existent déjà, entre autres pour les failles qui passent entre les mailles du CVE. C'est le cas de Distributed Weakness Filing, un système open source qui reprend la nomenclature des identifiants CVE, en permettant un traitement plus rapide des requêtes, par un réseau d'autorités diverses... Une idée proche de ce que veut accomplir MITRE avec sa réponse rapide, sans la lourdeur de plus de 15 ans d'exercice.

Commentaires (8)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Pas la peine de trouver des solutions plus rapide, Flash disparaissant bientôt, il devrait y avoir une forte accalmie <img data-src=" />





Je ne pensais pas que ca bouchonnait autant tout de même…

votre avatar

Bah il restera encore les patchs du JRE <img data-src=" />

votre avatar

Yay! Merci MITRE de lancer un “projet pilote” comme si&nbsp; l’ensemble des industriels et acteurs allaient ré-écrire tout le soft conçu pour manger du CVE-YYYY-NNNN&nbsp; pour digérer un format expérimental et sans garantie de suivi…



On rigolera suffisamment quand le premier CVE à 5 N sortira…

votre avatar

well, well, well… <img data-src=" />

&nbsp;https://www.cvedetails.com/top-50-products.php

votre avatar

Les produits Adobe sont quand même bien placé en 2015 et 2016 <img data-src=" />

Heureusement que Firefox est là pour conserver la première place <img data-src=" />

votre avatar







CryoGen a écrit :



Les produits Adobe sont quand même bien placé en 2015 et 2016 <img data-src=" />

Heureusement que Firefox est là pour conserver la première place <img data-src=" />







Apparemment non, le premier, c’est Microsoft (5327 CVE) <img data-src=" />



Tableau en bas…


votre avatar







Lebarbu82 a écrit :



Apparemment non, le premier, c’est Microsoft (5327 CVE) <img data-src=" />



Tableau en bas…





En éditeur c’est Microsoft qui gagne, mais il a aussi bien plus de produits.

En produit, c’est ceux de Adobe qui gagnent avec plus de faille que les produits Microsoft, mais sans détrôner Firefox :p


votre avatar

<img data-src=" />

MITRE met en pause un projet d’amélioration de CVE, le catalogue des failles

  • Un nombre de signalements doublé en 2015

  • Un projet mis en pause peu après son annonce

Fermer