Vous êtes sur le site public du Cert-IST
L'initiative "CME" : de l'ordre dans le nom des vers/virus/chevaux de Troie

Date :17 Juin 2005

Publication: Article

Aujourd'hui, il est parfois difficile de faire le lien entre les noms des vers/virus/chevaux de Troie ("malwares") dans les différentes descriptions des éditeurs d'anti-virus. Chaque éditeur a tendance à donner un nom assez personnel à ses nouvelles découvertes. Les noms ainsi donnés restent généralement proches les uns des autres, mais diffèrent parfois de manière assez forte.

Par exemple, le ver "Anzae" (CERT-IST/AV-2004.366) est également connu sous les noms "Inzae","Tasin" et "Pawur"; le ver "Golten" (CERT-IST/AV-2004.359) lui est connu aussi sous les noms "Aler", "Scard", et "Mofei-E".

Ce problème se complexifie avec les noms donnés aux variantes des vers. Ainsi, la variante "Ver.D" chez un éditeur peut être appelée "Ver.E" ou "Autre-Ver.E" par exemple chez un autre. Ces imprécisions tendent à décontenancer le grand public comme les professionnels du domaine (les responsables anti-virus des entreprises entre autres).

Pour essayer de remettre de l'ordre dans les appellations des "malwares", une initiative tente de voir le jour. Le but de cette initiative, lancée par le CERT/CC et le "US Department of Homeland Security", et soutenue par des éditeurs tels que Symantec, Mc Afee, TrendMicro et Microsoft, est de fournir un identifiant commun à toutes les appellations décrivant une même menace. Les noms donnés à cette menace par les éditeurs d'anti-virus resteront toujours à leur convenance.

Ce mécanisme se base sur le modèle CVE ("Common Vulnerabilities and Exposures") de Mitre : faire attribuer par un organisme "neutre" (le CERT/CC en l'occurrence) un identifiant CME ("Common Malware Enumeration") unique (ex : CME-1234567) pour toutes les descriptions qualifiant une même menace ("malware") .

Il est prévu que ce nouveau modèle voit le jour au premier trimestre 2005.

Dans le cas où ce modèle serait adopté par la majorité des acteurs du monde des protections antivirales, le Cert-IST incorporera ce nouvel identifiant dans ses avis de sécurité.

Pour plus d'information :