 |
|||||
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|||||
|
|||||
|
|||||
|
|
|
|||
|
|
|
|
||
|
|
|
|||
|
|||||
Un article paru dans notre bulletin de sécurité du mois de décembre 2004 ("L'initiative "CME" : de l'ordre dans le nom des vers/virus/chevaux de Troie") annonçait un modèle d'identification unique pour les Malwares, comparable à ce que la norme "CVE" est aux vulnérabilités.
Ce modèle est maintenant opérationnel, aussi nous avons jugé intéressant de revenir sur cette initiative.
Présentation générale
Cette initiative a été lancée par le CERT/CC et le "US Department of Homeland Security", et soutenue par des éditeurs tels que Symantec, Mc Afee, TrendMicro et Microsoft. Elle est hébergée par l'association Mitre.
Le but de cette initiative est :
- de réduire la confusion relative à l'identification des menaces pendant les traitements des incidents créés par les malwares,
- d'améliorer la communication entre les différents éditeurs d'anti-virus,
- d'améliorer la communication et le partage d'informations entre les éditeurs d'anti-virus et les autres acteurs traitant d'informations relatives à la sécurité des systèmes d'information.
Une référence CME correspond à une menace virale ("malware threat").
Elle concerne donc tous les composants mis en œuvre dans une telle menace : fichiers exécutables, e-mails de propagation, cheval de Troie téléchargé, …
D'autre part l'énumération CME ne s'intéresse qu'aux codes malveillants pouvant endommager des systèmes ou des réseaux tels que les virus, vers et chevaux de Troie. Les "spyware" et "adware" n'auront donc pas de référence CME.
(Cf. l'article paru dans notre bulletin de sécurité du mois de septembre 2005 "Rootkit, Ver, Virus et Cheval de Troie : quelques définitions ")
Structure d'une référence CME
Le format de ces références est de la forme CME-N où N est un entier compris entre 1 et 999. Les règles fixées sont les suivantes :
- pas de zéro d'entête (ex. CME-28 ne doit pas s'écrire CME-028),
- ces nombres sont générés de façon aléatoire afin que personne ne puisse anticiper l'attribution d'une référence CME,
- lorsque 3 chiffres ne suffiront plus (plus de 999 références) des nombres avec plus de chiffres seront attribués (jusqu'à 7 chiffres possibles).
Exemple pour le ver "Zotob.A" – CME-243 : http://cme.mitre.org/data/list.html - 243
Fonctionnement
Deux groupes participent à l'attribution et la gestion des références CME :
- Un bureau éditorial ("CME Edirorial Board") contrôle l'ensemble des opérations.
- Un ensemble d'organisations ("CME Sample Redistribution Group") est autorisé par ce bureau à demander l'attribution de nouvelle référence.
La demande de référence est adressée à un serveur, via une interface web (opérationnelle depuis le mois d'avril 2005). Elle est composée :
- d'un exemple de la menace accompagné de toutes les données qui lui sont relatives,
- d'une analyse de la menace expliquant pourquoi cette menace est différente de celles ayant déjà une référence CME.
Si la requête concerne une nouvelle menace et qu'aucune requête n'a été traitée dans les deux heures précédentes alors une nouvelle référence est attribuée et tous les membres du "CME Sample Redistribution Group" sont informés.
Si une requête a été traitée dans les deux heures précédentes alors les membres du "CME Sample Redistribution Group" sont informés des dernières requêtes faites et un processus est lancé pour décider s'il s'agit de menaces différentes ou non. Ce processus est appelé "déconfliction".
Mise en oeuvre au Cert-IST
Le Cert-IST intègre les références CME concernant les "Malwares" dans les informations contenues dans sa base de connaissance tels que les Avis, Virus-coord, Dangers, Alertes, … (un exemple est donné dans l'avis de sécurité concernant le ver Zotob).
Pour plus d'information :
- Présentation des processus CME : http://cme.mitre.org/cme/process.html
- F.A.Q. sur CME : http://cme.mitre.org/about/faqs.html
- Avis Cert-IST sur "Zotob" : http://www.cert-ist.com/fra/ressources/Avis/Avis_SitePublic/cert-ist_av-2005_301/