Common Vulnerabilities and Exposures

Common Vulnerabilities and Exposures (« Vulnérabilités et expositions communes ») ou CVE est un dictionnaire des informations publiques relatives aux vulnérabilités de sécurité informatique.

Historique

Le dictionnaire fondé en septembre 1999 est maintenu par l'organisme MITRE^[1]. Il est soutenu par le département de la Sécurité intérieure des États-Unis.

Alors que le contrat le finançant s’arrêtait le 16 avril 2025^[2], une mobilisation du secteur informatique permet de le prolonger onze mois^[3].

Une fois le contrat avec le gouvernement des États-Unis expiré, le site devrait être fermé et aucune nouvelle faille de sécurité ne devrait être publiée, mais les archives resteront disponibles sur GitHub^[4]. Une fondation à été créé en avril 2025 pour tenté de suppléer à l'arrêt des contrats gouvernementaux^[5].

Identifiants CVE

Les identifiants CVE sont des références de la forme CVE-AAAA-NNNN (AAAA est l'année de publication et NNNN un numéro d'identifiant). Par exemple, la faille FREAK a pour identifiant CVE-2015-0204.

Depuis 2014, le numéro d'identifiant d'une CVE est composé de 4 chiffres minimum et peut être augmenté sans limites si la quantité de vulnérabilités sur une année le nécessite (NNNN...N)^[6].

Le contenu du dictionnaire CVE peut être téléchargé^[7]. Cette liste contient une description succincte de la vulnérabilité concernée, ainsi qu'un ensemble de liens que les utilisateurs peuvent consulter pour plus d'informations.

Compatibilité CVE

Il existe de nombreux produits de sécurité qui traitent de vulnérabilités et qui utilisent donc les identifiants CVE :

les services d'information sur les vulnérabilités,
les systèmes de détection d'intrusion,
les systèmes de prévention d'intrusion,
les scanneurs de vulnérabilités,
les outils de gestion de parc informatique,
etc.

Afin que ces produits utilisent avec rigueur les identifiants CVE, le MITRE a mis en place une procédure de compatibilité CVE qui impose notamment :

un affichage des identifiants CVE (« CVE Output »),
une fonctionnalité de recherche parmi les identifiants CVE (« CVE Searchable »),
une procédure de mise à jour de la base de données (« Mapping »),
une aide sur les concepts relatifs à CVE (« Documentation »).

Notes et références

↑ (en) « CVE - History », cve.mitre.org,‎ 25 mars 2020 (lire en ligne)
↑ Cynthia Brumfield, « Faute de financement, le programme CVE de MITRE s'arrête », sur Le Monde informatique, 16 avril 2025
↑ (en) Cynthia Brunfield, « CVE program averts swift end after CISA executes 11-month contract extension », CSO Online, IDG Communications,‎ 16 avril 2025 (lire en ligne, consulté le 16 avril 2025)
↑ « Cybersécurité : Le programme américain de suivi des vulnérabilités risque de prendre fin », sur Usine Digitale, 16 avril 2025
↑ https://next.ink/181206/la-base-de-donnees-de-vulnerabilites-cve-a-failli-perdre-son-financement-americain/
↑ (en) « CVE - CVE ID Syntax Change (Archived) », sur cve.mitre.org (consulté le 6 janvier 2023)
↑ (en) « CVE - Download CVE », sur cve.mitre.org (consulté le 7 mai 2017)

Voir aussi

Articles connexes

Liens externes

(en) Site officiel

Portail de la sécurité informatique

[1] (en) « CVE - History », cve.mitre.org,‎ 25 mars 2020 (lire en ligne)

[2] Cynthia Brumfield, « Faute de financement, le programme CVE de MITRE s'arrête », sur Le Monde informatique, 16 avril 2025

[3] (en) Cynthia Brunfield, « CVE program averts swift end after CISA executes 11-month contract extension », CSO Online, IDG Communications,‎ 16 avril 2025 (lire en ligne, consulté le 16 avril 2025)

[4] « Cybersécurité : Le programme américain de suivi des vulnérabilités risque de prendre fin », sur Usine Digitale, 16 avril 2025

[5] ttps://next.ink/181206/la-base-de-donnees-de-vulnerabilites-cve-a-failli-perdre-son-financement-americain/

[6] (en) « CVE - CVE ID Syntax Change (Archived) », sur cve.mitre.org (consulté le 6 janvier 2023)

[7] (en) « CVE - Download CVE », sur cve.mitre.org (consulté le 7 mai 2017)

[1]

[2]

[3]

[4]

[5]

[6]

[7]