Les secousses sur CVE et NVD poussent le secteur à chercher d’autres repères. Une analyse détaille comment Pékin structure ses propres catalogues, avec des zones grises sur les délais.
Deux bases gouvernementales chinoises de vulnérabilités, CNNVD et CNVD, sortent de l’ombre au moment où les infrastructures occidentales CVE et NVD subissent des perturbations et une incertitude de financement. CNNVD dépend d’un département du ministère chinois de la Sécurité d’État, CNVD est gérée par le CNCERT. Ces catalogues fonctionnent en parallèle, avec leurs identifiants et des alimentations distinctes. La plupart des fiches dupliquent des données CVE, mais sans synchronisation fiable, avec fautes de frappe et incohérences rendant l’appariement automatisé difficile. Environ 1 400 entrées auraient été publiées avant l’identification publique CVE, avec un écart moyen d’environ trois mois.
Deux catalogues, deux tutelles, une logique de souveraineté
Dans un marché habitué à s’orienter avec les repères CVE et NVD, la fragilité des infrastructures occidentales a créé un réflexe immédiat, chercher des sources alternatives, vérifier, recouper, anticiper. C’est dans ce contexte que l’analyse de Bitsight s’arrête sur deux bases chinoises qui reviennent régulièrement dans les conversations, CNNVD (China National Vulnerability Database of Information Security) et CNVD (China National Vulnerability Database). Les deux sont gouvernementales, mais elles ne racontent pas la même histoire institutionnelle.
CNNVD est supervisée par un département relevant du ministère chinois de la Sécurité d’État. CNVD, elle, est opérée par le CNCERT, l’équipe nationale chinoise de réponse aux urgences informatiques. Cette différence de tutelle n’est pas un détail administratif, elle éclaire une organisation en parallèle, deux canaux, deux rythmes, et des objectifs potentiellement distincts. Les deux catalogues utilisent leurs propres identifiants. Ils disposent aussi de champs pour référencer des identifiants CVE, ce qui, sur le papier, devrait faciliter la passerelle avec l’écosystème international. Sauf que, selon Bitsight, cette passerelle reste instable.
Le constat central est double. D’un côté, l’essentiel des entrées chinoises reprend des informations déjà présentes dans CVE. De l’autre, cette reprise ne s’accompagne pas d’une synchronisation robuste. Des fiches existent sans correspondance claire, d’autres affichent des références mais ne sont pas alignées, et la mise en cohérence n’a rien d’automatique. Pour les industriels, c’est un point crucial, car la plupart des outils commerciaux de gestion des vulnérabilités reposent encore sur l’agrégation CVE et NVD comme socle. Quand ce socle vacille, l’idée de basculer vers une alternative paraît séduisante, mais la réalité des données impose un retour à la prudence.
News & Réseaux Sociaux ZATAZ
Qualité des données et délais, là où naît la tension
Bitsight décrit des ensembles de données marqués par des fautes de frappe et des incohérences de format. Ce type d’irrégularités est plus qu’un irritant technique, il complique la correspondance automatisée entre catalogues, fragilise les chaînes de traitement, et peut générer des angles morts dans les inventaires. L’indication la plus parlante est celle d’un traitement probablement manuel, ou à tout le moins d’une normalisation incomplète. Dans un environnement où la vitesse de corrélation compte autant que l’exactitude, chaque friction devient un risque opérationnel.
Mais la tension monte vraiment sur la question des délais de publication. Dans la grande majorité des cas observés, les informations apparaissent dans CNNVD et CNVD le même jour que dans CVE, ou plus tard. Cela, en soi, ne surprend pas, si ces bases dupliquent largement le catalogue international. Là où l’analyse inquiète, c’est sur un sous-ensemble d’environ 1 400 enregistrements publiés en Chine avant que les CVE correspondantes ne soient identifiées publiquement. L’écart moyen mentionné est d’environ trois mois. Autrement dit, des descriptions de failles auraient circulé dans ces catalogues avant leur visibilité ouverte au niveau international.
Bitsight relie ce signal aux préoccupations persistantes sur l’utilisation, par la Chine, d’informations de vulnérabilités obtenues via des partenaires étrangers. L’analyse cite des cas liés à Siemens, Kubernetes, SAP et des plugins WordPress, avec un élément troublant, les descriptions chinoises correspondraient « essentiellement » à celles qui n’apparaîtront que plus tard dans le catalogue international. Dans un univers où une vulnérabilité non encore publique peut valoir avantage, ce décalage de calendrier suffit à nourrir les soupçons, sans pour autant constituer, à lui seul, une preuve d’un mécanisme unique. Pour les équipes cyber, le message est surtout méthodologique, ne pas confondre abondance de données et fiabilité, et traiter chaque source comme un indicateur, pas comme une vérité.