15.11.2021 - Le NCSC a attribué pour la première fois à une vulnérabilité examinée un numéro d'identification CVE, en tant que service spécialisé autorisé à ce faire. Cette vulnérabilité baptisée «Blacksmith» lui avait été signalée par l'EPFZ. Découverte par des chercheurs de l'EPFZ, de Qualcomm et de l'Université libre d'Amsterdam, elle a été rendue publique.
Le NCSC attribue pour la première fois un numéro d'identification CVE valable à l'échelle internationale
Afin d'éviter autant que possible que les vulnérabilités puissent être exploitées dans les systèmes informatiques, il est très important de les éliminer rapidement et, donc, d'en informer les exploitants et les fabricants dans le monde entier. Actif dans la cybersécurité, le Massachusetts Institute of Technology Research Establishment (MITRE), organisation d'utilité publique, a créé une base de données internationale qui centralise les renseignements sur les menaces potentielles et les mises à jour de sécurité correspondantes. Chaque vulnérabilité signalée, appelée «CVE» (pour «Common Vulnerability and Exposure»), se voit attribuer un numéro d'identification unique. Reconnu par le MITRE en septembre 2021, le NCSC est habilité à attribuer des numéros CVE. En tant que service spécialisé autorisé à ce faire, il est chargé de différentes tâches liées aux vulnérabilités découvertes (examen, coordination et publication).
L'EPFZ découvre et signale une vulnérabilité
Au premier trimestre de 2021, des chercheurs de l'EPFZ, de Qualcomm et de l'Université libre d'Amsterdam ont signalé au NCSC une vulnérabilité découverte dans une puce mémoire. Baptisée par eux du nom de «Blacksmith», cette vulnérabilité touche tous les appareils qui intègrent une certaine puce RAM. Celle-ci est produite par le fabricant Samsung, SK Hynix et Micron et est utilisée par différentes entreprises technologiques. Comme elle est en usage dans le monde entier, la vulnérabilité qu'elle présente est considérée comme critique. Le risque d'utilisation abusive est néanmoins très faible, car l'effort à fournir pour exploiter la vulnérabilité est considérable.
Pour en savoir plus sur la vulnérabilité «Blacksmith», voir le document de recherche de l'EPFZ.
Le NCSC examine et coordonne
En tant que service spécialisé reconnu par le MITRE, le NCSC assure le lien entre celui-ci et les découvreurs de vulnérabilités, les fabricants et les exploitants. À ce titre, il examine les vulnérabilités, leur attribue un numéro CVE et coordonne leur publication. Blacksmith est la première vulnérabilité à laquelle le NCSC a attribué un numéro CVE et pour laquelle il a assuré la coordination à toutes les étapes jusqu'à la publication. Il l'a rendu publique avec l'EPFZ sous le numéro «CVE-2021-42114» le 15 novembre 2021.
Dernière modification 15.11.2021
