SecurityWeek rapporte que la MITRE Corporation a publié une version révisée de la liste « CWE Most Important Hardware Weaknesses (MIHW) », alignée sur l’évolution du paysage de la sécurité matérielle.

Initialement publiée en 2021, la liste MIHW recense des erreurs fréquentes menant à des vulnérabilités matérielles critiques, afin de sensibiliser et d’éliminer ces défauts dès la conception. La version 2025 compte 11 entrées, introduit de nouvelles classes, catégories et faiblesses de base, tout en conservant 5 entrées de 2021. Elle met particulièrement l’accent sur la réutilisation de ressources, les bogues de mode debug et l’injection de fautes.

En tête figure CWE-226: Sensitive Information in Resource Not Removed Before Reuse, qui concerne la libération de ressources non nettoyées avant réutilisation, exposant potentiellement des données à des parties moins fiables. La description souligne que cela s’applique au matériel lorsque l’appareil ou le système change d’état (alimentation, veille, debug) ou de contexte d’exécution (utilisateurs/niveaux de privilège). En seconde position, CWE-1189: Improper Isolation of Shared Resources on System-on-a-Chip (SoC), qui occupait la première place en 2021.

Parmi les entrées conservées figurent :

  • CWE-1191: On-Chip Debug and Test Interface With Improper Access Control
  • CWE-1256: Improper Restriction of Software Interfaces to Hardware Features
  • CWE-1260: Improper Handling of Overlap Between Protected Memory Ranges
  • CWE-1300: Improper Protection of Physical Side Channels

La mise à jour inclut six nouvelles CWE, dont deux ajoutées au corpus CWE après 2021. En plus des 11 faiblesses principales, MITRE signale cinq autres faiblesses « hautement importantes » susceptibles d’entraîner de graves défauts, dont quatre déjà présentes dans l’itération précédente. MITRE souligne que ces entrées persistent car elles sont à la fois théoriquement significatives et fréquemment observées, et que leur maintien s’explique par une sélection hybride experts + données.

Selon Liz James (NCC Group), les faiblesses matérielles « se propagent vers le haut » : une fois intégrées au silicium, elles contraignent les atténuations au niveau logiciel/firmware/système. D’où l’importance de la transparence des fournisseurs, d’un écosystème d’évaluations indépendant et de meilleurs incitatifs à la sécurité proactive dès la conception. 🔐

Type d’article: article de presse spécialisé présentant une mise à jour de liste et ses points saillants.

🔗 Source originale : https://www.securityweek.com/mitre-updates-list-of-most-common-hardware-weaknesses/