Le programme CVE, crucial pour le suivi des vulnérabilités tant matérielles que logicielles, vient de subir un coup dur avec le retrait immédiat de son financement fédéral.
Parmi les géants de la tech s’appuyant sur le programme des Common Vulnerabilities and Exposures (CVE) pour identifier les failles de sécurité dans leurs produits, on retrouve Apple.
Le programme CVE
Le programme CVE facilite la déclaration des vulnérabilités de sécurité par toute personne ou organisation ayant identifié un problème dans un produit technologique. Une fois signalée, chaque vulnérabilité se voit attribuer un identifiant unique, sous la forme CVE- suivi de l’année et d’un numéro de série. Cela permet aux autres de savoir que le problème a été signalé et d’effectuer leurs propres investigations pour aider l’entreprise concernée à évaluer la gravité de la situation. En cas de vulnérabilités requérant une action conjointe de plusieurs entreprises technologiques, le système CVE facilite la coordination de leurs efforts.
Le retrait de financement fédéral
Hier, la MITRE Corporation a annoncé que son financement fédéral avait été retiré, avec effet immédiat. Le 16 avril 2025, le contrat actuel de MITRE pour le développement et l’exploitation des programmes CVE et CWE expirera. Un éventuel arrêt de service pourrait entraîner des impacts multiples sur le CVE, tels que la détérioration des bases de données nationales relatives aux vulnérabilités, des conseils, des outils, ainsi que des opérations de réponse aux incidents.
L’expert en sécurité Lukasz Olejnik a déclaré que ce retrait aboutirait à un « chaos total » dans le domaine de la cybersécurité. Il a ajouté : « En coupant ce qui représente des coûts dérisoires, l’administration Trump va efficacement, du moins temporairement, paralyser le système de cybersécurité mondial — CVE… Les conséquences seront une désorganisation entre les fournisseurs, les analystes, et les systèmes de défense — personne ne saura s’ils se réfèrent à la même vulnérabilité. Un véritable chaos, et un affaiblissement soudain de la cybersécurité. »
Financement du CWE également supprimé
Comme mentionné par MITRE, la coupe de financement concerne également le programme Commun Weakness Enumeration (CWE). Ce programme vise à identifier les chemins communs de faiblesse logicielle et matérielle pouvant avoir des implications en matière de sécurité, offrant des orientations aux entreprises technologiques pour les aider à ne pas introduire de failles dans leurs produits dès le départ.
Les programmes CVE et CWE sont reconnus pour leur efficacité et leur faible coût. Leur suppression de financement est considérée comme irresponsable, augmentant ainsi les risques pour la sécurité de tous.
