Vous administrez les sites web d’une petite société ou d’une institution ?
Vous êtes sysadmin/webadmin ou responsable technique pour une petite structure, et vous cherchez un moyen simple d’être averti en cas de vulnérabilité sur vos serveurs ou logiciels ?
Bonne nouvelle : il existe une solution libre, open source Vulnerability Lookup.
🔍 C’est quoi Vulnerability Lookup ?
Vulnerability Lookup est un service développé par le CIRCL (Computer Incident Response Center Luxembourg).
C’est une plateforme libre et ouverte qui permet de chercher, consulter et comprendre des failles de sécurité informatiques connues (par exemple celles qui touchent des logiciels ou des systèmes).
Il agrège des données de multiples sources (comme le CERT FR, NVD, GitHub Security Advisories, etc.) pour offrir une plateforme centralisée de veille sur les vulnérabilités.
En plus de la recherche et de la veille, le projet encourage et facilite la disclosure responsable — c’est-à-dire le processus éthique par lequel un chercheur ou une entreprise signale une vulnérabilité de manière coordonnée et sécurisée, pour que celle-ci soit corrigée avant d’être rendue publique.
➡️ C’est comme un moteur de recherche pour les failles informatiques.
➡️ Il aide les entreprises, chercheurs et citoyens à savoir si un logiciel est vulnérable et quels risques cela représente.
➡️ Le tout est collaboratif et transparent, basé sur des données publiques comme les bases GCVE et CVE (Common Vulnerabilities and Exposures).
Et le meilleur : c’est open source 🧡
➡️ Code source : github.com/vulnerability-lookup/vulnerability-lookup
➡️ Instance publique hébergée et mise à disposition par circl.lu : cve.circl.lu
Vous pouvez donc :
- Utiliser directement l’instance publique du CIRCL https://cve.circl.lu/, en vous inscrivant, ou
- Déployer votre propre instance locale si vous préférez garder vos données internes chez vous.
Aucune licence à payer, aucune solution propriétaire à acheter.
📬 Recevoir des notifications email sur les vulnérabilités
L’une des fonctionnalités les plus utiles : les notifications automatiques par email.
Cela vous permet d’être alerté dès qu’une nouvelle vulnérabilité touche un produit ou un composant que vous surveillez.
Voici comment faire :
- Allez sur l’instance publique : https://cve.circl.lu/
- Créez un compte (c’est gratuit).
- Ajoutez les produits à surveiller — par exemple :
nginx, apache, wordpress, openssh, microsoft exchange, etc.
- Activez les notifications par email :
Suivez le guide officiel : https://www.vulnerability-lookup.org/user-manual/email-notification/
- Vous recevrez désormais un mail à chaque nouvelle CVE correspondant à vos critères.
🧠 Une touche d’innovation : l’analyse VLAI et les “Sightings”
La plateforme innove aussi avec une approche d’évaluation intelligente appelée VLAI (Vulnerability Lookup Artificial Intelligence) — un système d’analyse assistée par IA qui aide à évaluer la gravité et le contexte d’une vulnérabilité.
Très pratique pour estimer la criticité d’une faille qui n’a pas encore reçu de score CVSS officiel, ou pour disposer d’un premier avis avant qu’une évaluation humaine ne soit publiée.
👉 En savoir plus : https://www.vulnerability-lookup.org/user-manual/ai/
Autre fonctionnalité intéressante : les Sightings.
Ils permettent de mesurer la popularité ou la visibilité d’une vulnérabilité en s’appuyant sur les articles, partages sur les réseaux sociaux et autres mentions publiques indexées par la plateforme.
En un coup d’œil, vous pouvez donc vous faire une idée de l’impact réel d’une faille et de l’attention qu’elle suscite dans la communauté.
💡 Pourquoi c’est intéressant ?
- Vous restez informé sans devoir scruter manuellement les flux CVE.
- Vous évitez de dépendre d’outils commerciaux souvent hors budget pour les petites structures.
- Vous pouvez intégrer les alertes dans vos process internes (via API, scripts, etc.).
- Vous bénéficiez d’un regard contextuel enrichi grâce à l’IA et aux Sightings.
- Et surtout : c’est fait pour la communauté 👐
Astuce bonus : si vous utilisez déjà un système de tickets ou un outil de monitoring, vous pouvez interconnecter les notifications via l’API pour un suivi automatique de vos vulnérabilités.
🛠️ Projet open source, docs et contributions
👉 https://www.vulnerability-lookup.org/
👉 https://github.com/vulnerability-lookup/vulnerability-lookup