MITRE met en pause un projet d’amélioration de CVE, le catalogue des failles

L'organisme MITRE, qui catalogue les vulnérabilités logicielles, a décidé de revoir ses méthodes de travail. Jugé trop lente par nombre d'experts, l'entité se prépare à déléguer la gestion des « CVE » à des partenaires qu'il supervisera. Le projet a été mis en pause pour une durée indéfinie peu après son annonce.

L'attribution des identifiants CVE doit s'accélérer. Jeudi 17 mars, MITRE, l'organisme à but non lucratif qui se charge de cataloguer les vulnérabilités logicielles, a annoncé préparer l'évolution de son système. « Le monde a beaucoup changé depuis que CVE a été lancé en 1999, et nous agissons rapidement pour satisfaire les besoins des chercheurs en sécurité qui nécessitent un accès facile aux identifiants des vulnérabilités. Pour cela, MITRE commencera un programme pilote pour des CVE-IDs en réponse rapide, le lundi 21 mars 2016 » a affirmé l'organisation sur la liste de discussion du conseil éditorial.

En fait, MITRE n'arriverait simplement plus à tenir le rythme des publications de failles. Une alerte sur le site dédié le signale d'ailleurs bien. L'organisme a été très critiqué ces derniers mois sur le sujet. Des chercheurs ne comprennent pas les lenteurs (voire l'impossibilité) pour obtenir un identifiant CVE quand ils signalent une faille. Ces critiques sont même remontées à la liste de discussion du conseil éditorial, qui regroupe de grands noms comme Cisco, Microsoft, Oracle ou Symantec.

Un nombre de signalements doublé en 2015

MITRE dit avoir reçu 20 000 rapports de vulnérabilités en 2015, contre 10 000 en 2014. Cette année 2016 serait d'ailleurs en bonne voie pour surpasser 2015, prévient l'organisme, cité par Threatpost. L'explication : une dépendance de plus en plus forte des industries sur le logiciel, qui multiplie donc les recherches et les découvertes de failles à cataloguer.

L'organisme affirme entendre les critiques sur son fonctionnement, et se préparerait à lancer un nouveau programme pilote pour gérer les identifiants CVE. Le but est de fournir rapidement des identifiants CVE, sans remplir toutes les informations habituelles. « L'immédiateté de ce cas d'usage signifie que l'obligation des références et description traditionnelles est, par moments, moins importante que la fourniture rapide d'un identifiant unique » écrit MITRE.

Pour agir plus vite, MITRE compte ainsi déléguer l'attribution de l'identifiant à des partenaires, choisis par ses soins. Plutôt que de recevoir toutes les demandes pour les traiter elle-même et leur assigner un identifiant, l'organisation serait simplement l'administrateur du programme. MITRE passerait donc d'un rôle de traitement à un rôle de supervision.

Dans un premier temps, MITRE serait le seul à contribuer à cette procédure accélérée. Le conseil éditorial, c'est-à-dire les principaux partenaires, devrait aider à identifier les premières autorités tierces à contribuer au programme pilote.

Un projet mis en pause peu après son annonce

« Nous travaillons avec un certain nombre de partenaires pour fédérer le processus d'affectation [des identifiants] pour mieux dimensionner les capacités des CVE et répondre aux besoins de la communauté » affirme Chris Levendis, chef de projet standards et technologies au MITRE, cité par Threatpost. « Nous le faisons de manière à ce que le programme ait le même niveau d'intégrité que le CVE a toujours eu, et sur lequel il a construit sa réputation » explique encore l'organisation.

Ce changement annoncé s'accompagne d'une nouvelle nomenclature pour différencier les identifiants fournis rapidement de ceux édités de manière classique. Les identifiants attribués en « réponse rapide » seront notés dans le format « CVE-CCCIII-YYYY-NNNN…N ». Concrètement, le « CCC » doit identifier le pays de l''autorité et le « III » l'autorité elle-même. Il s'agit donc pour le moment d'une expérimentation, qui ne doit pas interférer avec le traitement classique des requêtes CVE, maintenu en parallèle.

Malgré l'avancée du projet, celui-ci a reçu un coup d'arrêt direct le lendemain de son annonce, vendredi 18 mars. Comme l'a repéré The Register, MITRE a ainsi annoncé l'arrêt des travaux. « Suite à vos retours, nous n'allons pas faire d'annonce publique [comme prévu pour ce lundi] du programme pilote, que nous mettons indéfiniment en pause » écrit Joe Sain, responsable communication du CVE sur la liste du conseil éditorial. Une réunion doit être tenue cette semaine, pour discuter d'une évolution du modèle actuel du CVE, avant toute nouvelle annonce.

Des alternatives existent déjà, entre autres pour les failles qui passent entre les mailles du CVE. C'est le cas de Distributed Weakness Filing, un système open source qui reprend la nomenclature des identifiants CVE, en permettant un traitement plus rapide des requêtes, par un réseau d'autorités diverses... Une idée proche de ce que veut accomplir MITRE avec sa réponse rapide, sans la lourdeur de plus de 15 ans d'exercice.