Le programme de sécurité CVE, essentiel pour identifier les vulnérabilités des produits technologiques, subit une menace immédiate suite à la suppression de son financement fédéral par le gouvernement américain. Des géants comme Apple, Google et Microsoft dépendent de ce système pour sécuriser leurs produits.
Le programme de sécurité CVE
Le programme CVE (Common Vulnerabilities and Exposures) offre un moyen facile et efficace pour toute personne ou organisation de signaler une vulnérabilité de sécurité découverte dans un produit technologique. Chaque vulnérabilité signalée se voit attribuer un identifiant unique, composé de « CVE-« , suivi de l’année et d’un numéro de série. Cela permet à d’autres de voir que le problème a été signalé et d’effectuer leurs propres investigations pour aider l’entreprise technologique concernée à évaluer la gravité du problème.
Lorsque plusieurs entreprises technologiques doivent agir en raison d’une vulnérabilité, le système CVE les aide à coordonner leurs efforts. Des entreprises telles que Apple, Google et Microsoft comptent parmi les nombreux acteurs qui s’appuient sur ce système. Bien que le programme soit sous l’égide du Département de la sécurité intérieure des États-Unis, son travail est sous-traité à une entreprise privée, The MITRE Corporation.
Retrait du financement fédéral par le gouvernement américain
The MITRE Corporation a annoncé que son financement fédéral a été supprimé avec effet immédiat. Le 16 avril 2025, le chemin de contractualisation actuel pour que MITRE développe, opère et modernise le programme CVE et plusieurs autres programmes connexes, tels que le CWE (Common Weakness Enumeration), expirera. Si une interruption de service devait se produire, on s’attendrait à de multiples impacts sur le CVE, notamment la détérioration des bases de données nationales sur les vulnérabilités et les avis, les vendeurs d’outils, les opérations de réponse aux incidents, ainsi qu’à tous les niveaux d’infrastructure critique.
Le chercheur en sécurité Lukasz Olejnik a exprimé que cela entraînera un « chaos total » dans le domaine de la cybersécurité. Avec la réduction d’un financement qui représente des coûts minimes, l’administration Trump parviendrait à paralyser temporairement le système mondial de cybersécurité, ce qui entraînerait un effondrement de la coordination entre les fournisseurs, les analystes et les systèmes de défense. Personne ne pourrait être certain qu’il se réfère à la même vulnérabilité, générant ainsi un chaos total et un affaiblissement soudain de la cybersécurité dans son ensemble.
Suppression du financement pour le CWE
Comme l’a mentionné MITRE, la réduction de financement touche également le programme Common Weakness Enumeration (CWE). Ce programme connexe permet d’identifier les voies de faiblesse courantes dans les logiciels et le matériel, qui pourraient avoir des implications sur la sécurité. Il fournit des directives qui aident les entreprises technologiques à garantir qu’elles n’introduisent pas de défauts de sécurité dans leurs produits, permettant ainsi à tout le monde d’apprendre des erreurs des autres.
Point de vue
Les programmes CVE et CWE sont très efficaces et extrêmement rentables. La suppression de leur financement est insensée, et cela nous exposera tous à des risques accrus en conséquence.
Mon avis :
La décision du gouvernement américain de retirer le financement fédéral du programme CVE menace gravement la coordination en cybersécurité, déjà essentielle pour identifier et gérer les vulnérabilités. Bien que la réduction des coûts puisse paraître avantageuse à court terme, elle risque de provoquer des lacunes dans la protection des systèmes critiques, mettant ainsi en péril la sécurité nationale et internationale.
Les questions fréquentes :
Qu’est-ce que le programme de sécurité CVE ?
Le programme CVE (Common Vulnerabilities and Exposures) permet à toute personne ou organisation de signaler une vulnérabilité de sécurité trouvée dans un produit technologique. Chaque vulnérabilité reportée se voit attribuer un identifiant unique, ce qui permet de suivre les problèmes de sécurité et d’aider les entreprises technologiques à évaluer leur gravité.
Pourquoi le financement fédéral du programme CVE a-t-il été supprimé ?
Le financement fédéral du programme CVE a été supprimé par le gouvernement américain, ce qui a un impact direct sur le développement et la gestion du programme. Cette décision pourrait entraîner un affaiblissement des bases de données de vulnérabilités nationales et une détérioration de la coordination entre les entreprises, les analystes et les systèmes de défense.
Quelle est la réaction des experts à cette décision ?
Des chercheurs en sécurité, comme Lukasz Olejnik, ont exprimé que la suppression du financement entraînera un « chaos total » dans le domaine de la cybersécurité, rendant difficile la coordination entre différents acteurs et augmentant les risques pour tous.
Le programme CWE a-t-il également perdu son financement ?
Oui, le financement du programme CWE (Common Weakness Enumeration), qui identifie les faiblesses courantes des logiciels et du matériel avec des implications de sécurité, a également été supprimé. Cela met en danger la capacité des entreprises technologiques à apprendre des erreurs des autres et à éviter d’introduire des failles de sécurité dans leurs produits.
