La sécurité mondiale en question : le financement crucial du programme CVE, responsable de l’identification des vulnérabilités, a été prolongé in extremis. Malgré cela, des inquiétudes persistent quant à la pérennité de ce système, essentiel pour la coordination des cybermenaces à l’échelle internationale.
Le Département de la Sécurité intérieure des États-Unis a prolongé le financement du programme des Communes Vulnérabilités et Expositions (CVE), qui était prévu pour expirer mercredi. Les experts soulignent que ce programme est essentiel pour les efforts de cybersécurité à l’échelle mondiale.
Les codes CVE fournissent un système standardisé permettant aux entreprises technologiques, chercheurs et hackers d’identifier et de traiter les vulnérabilités. Par exemple, les pages de test de sécurité d’Apple, Microsoft, Mozilla et d’autres utilisent ce système pour labelliser les problèmes. Bien que des entités dans le monde entier s’appuient sur les codes CVE pour s’assurer qu’elles discutent des mêmes vulnérabilités, cela dépend d’un programme financé par le gouvernement et opéré par la MITRE Corporation.
DERNIÈRE MINUTE. D’une source fiable. Le support de MITRE pour le programme CVE doit expirer demain. La lettre ci-jointe a été envoyée aux membres du conseil d’administration de CVE.
[image ou intégration]
– Tib3rius (@tib3rius.bsky.social) 15 avril 2025 à 13h23
Yosry Barsoum, vice-président et directeur du Centre pour la Sécurisation de la Patrie, a envoyé une note aux membres du conseil d’administration de CVE les informant que le financement était prévu pour expirer le 16 avril. Les raisons pour lesquelles le DHS a presque laissé expirer le financement de CVE demeurent floues, mais l’incident s’est produit dans le cadre de la campagne agressive de réduction des coûts de l’administration Trump.
Les experts ont rapidement tiré la sonnette d’alarme, soulignant l’importance du CVE. Jen Easterly, ancienne directrice de l’Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA), a qualifié le CVE de système de classification en cybersécurité comparable à la Classification décimale de Dewey. Elle a expliqué que son interruption ralentirait les efforts de coordination de la cybersécurité mondiale, car différentes organisations pourraient perdre du temps à retracer les étapes des autres. Une telle situation pourrait affaiblir les réponses aux nouvelles menaces et donner un avantage aux attaquants.
Mercredi, un groupe de membres du conseil d’administration de CVE a créé la Fondation CVE, une organisation à but non lucratif distincte, axée uniquement sur le maintien de la base de données CVE au cas où le financement de MITRE expirerait. Cette initiative fait suite à plus d’un an de planification et la fondation est censée publier plus d’informations sur ses efforts dans les prochains jours. Des groupes de cybersécurité européens ont également récemment établi la Base de Données des Vulnérabilités de l’Union Européenne, qui inclut les codes CVE et un nouveau système d’identifiants portant le label EUVD.
Bien que le financement du DHS ait été rétabli, l’extension ne dure que 11 mois, et la probabilité d’un renouvellement en mars 2026 demeure incertaine. Ce financement impacte également le programme d’Énumération des Faiblesses Courantes (CWE).