Le vice-président de MITRE, Yosry Barsoum, a averti que le financement du gouvernement américain pour les programmes Common Vulnerabilities and Exposures (CVE) et Common Weakness Enumeration (CWE) expire aujourd’hui, ce qui pourrait entraîner des perturbations généralisées dans l’industrie mondiale de la cybersécurité.
CVE, le plus critique des deux, est maintenu par MITRE avec un financement de la Division nationale de la cybersécurité des États-Unis du Département américain de la Sécurité intérieure (DHS). CVE est crucial pour fournir précision, clarté et normes partagées lors de l’examen des vulnérabilités de sécurité.
Le programme est largement adopté dans divers outils de cybersécurité, y compris les systèmes de gestion des vulnérabilités, et il permet de suivre toutes les vulnérabilités nouvellement découvertes à l’aide des identifiants CVE (ID CVE) attribués par les Autorités de numérotation CVE (CNA) du monde entier, avec MITRE comme éditeur CVE et CNA principal.
CVE permet également d’éviter la confusion causée par l’utilisation de plusieurs noms pour une seule faille de sécurité, permet un catalogage coordonné des nouvelles vulnérabilités et permet aux équipes de sécurité de partager plus facilement des informations via des avis, des bases de données de vulnérabilités et d’autres ressources à l’aide d’un système de référence standard.
« Le mercredi 16 avril 2025, la voie contractuelle actuelle permettant à MITRE de développer, d’exploiter et de moderniser CVE et plusieurs autres programmes connexes, tels que CWE, expirera. Le gouvernement continue de déployer des efforts considérables pour poursuivre le rôle de MITRE à l’appui du programme », a averti Barsoum dans une lettre envoyée aux membres du conseil d’administration de CVE.
« Si une interruption de service devait se produire, nous prévoyons de multiples impacts sur CVE, notamment la détérioration des bases de données nationales sur les vulnérabilités et des avis, des fournisseurs d’outils, des opérations de réponse aux incidents et de toutes sortes d’infrastructures critiques. »
Depuis la publication de la lettre en ligne, de nombreux experts en sécurité et leaders de la communauté de la cybersécurité ont exprimé leur angoisse. Ils craignent que le programme se termine brusquement et que tout le monde sur le terrain n’ait aucune méthode standardisée pour suivre les nouveaux problèmes de sécurité si les serveurs sont arrêtés et que l’accès à l’API CVE des autorités de numérotation CVE est coupé.
Selon l’ancien chef de la CISA, Jean Easterly, le résultat immédiat serait probablement l’effondrement des outils et processus de sécurité les plus fiables et l’effondrement de tous les efforts de coordination mondiaux.
« Le système CVE ne fait peut-être pas la une des journaux, mais c’est l’un des piliers les plus importants de la cybersécurité moderne. Le perdre reviendrait à arracher le catalogue de cartes de chaque bibliothèque à la fois—laissant les défenseurs trier le chaos pendant que les attaquants en profitent pleinement », a averti Easterly sur LinkedIn.
« Les cybermenaces ne s’arrêtent pas aux frontières, pas plus que la défense. Les CVE sont le langage commun utilisé dans le monde entier pour partager les renseignements et coordonner les actions. Perdez ça, et tout le monde vole à l’aveugle. »
Casey Ellis, fondateur de la société de sécurité participative Bugcrowd, a ajouté: « CVE sous-tend une grande partie des efforts de gestion des vulnérabilités, de réponse aux incidents et de protection des infrastructures critiques. Une interruption soudaine des services a le potentiel très réel de se transformer rapidement en un problème de sécurité nationale.
Contactés par Breachtrace, les porte-parole du DHS, du National Institute of Standards and Technology (NIST) et du ministère de la Défense n’étaient pas immédiatement disponibles pour commenter.
Cependant, un porte-parole de CISA a déclaré à Breachtrace: « Bien que le contrat de CISA avec la Société MITRE expirera après le 16 avril, nous travaillons de toute urgence pour atténuer l’impact et maintenir les services CVE sur lesquels comptent les parties prenantes mondiales. »
Les problèmes de MITRE pour maintenir le financement du programme CVE surviennent alors que le NIST se démène également pour éliminer un important arriéré de CVE qui ont besoin d’être enrichis pour sa Base de données nationale sur les vulnérabilités (NVD).