Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

La base de données de vulnérabilités CVE a failli perdre son financement américain

vulnérabilités au carré

La base de données de vulnérabilités CVE a failli perdre son financement américain

La base de données de vulnérabilités CVE, mondialement utilisée pour connaître et corriger des risques de cybersécurité, a bien cru voir son financement fédéral américain s'arrêter. Alors qu'il devait expirer aujourd'hui même, l'Agence de cybersécurité américaine CISA l'a renouvelé à la dernière minute. En parallèle, des responsables de CVE ont lancé une fondation pour assurer son indépendance à long terme.

Le 16 avril à 17h58

L'Agence de cybersécurité américaine CISA a finalement décidé de continuer à financer la base de données de vulnérabilités CVE en étendant son contrat avec la MITRE, l'organisation à but non lucratif qui gère le projet.

« Le programme CVE est inestimable pour la cybercommunauté et constitue une priorité de la CISA. Hier soir, la CISA a exécuté la période d'option du contrat afin de s'assurer qu'il n'y aura pas d'interruption des services CVE essentiels », a affirmé l'agence dans un communiqué envoyé à Forbes et notre BleepingComputer.

Le stress de la communauté cyber

Il était temps. La communauté de la cybersécurité avait commencé, mardi soir, à s'émouvoir sur les réseaux sociaux de la possible disparition de cette base de données. En effet, ce contrat arrivait à échéance ce mercredi 16 avril. Cette information a fuité mardi via une lettre adressée aux membres du bureau du CVE publiée sur Bluesky.

Yosry Barsoum, le vice-président du MITRE, l'organisation à but non-lucratif dont dépend le CVE, y annonçait un possible arrêt de financement et affirmait : « Si une interruption de service devait se produire, nous prévoyons de multiples conséquences pour CVE, notamment la détérioration des bases de données et des avis nationaux sur les vulnérabilités, des fournisseurs d'outils, des opérations de réponse aux incidents et de toutes sortes d'infrastructures critiques ».

Le spécialiste en cybersécurité Kevin Beaumont réagissait par exemple en affirmant que « le secteur de la cybersécurité dans son ensemble est également en difficulté – c'est l'éléphant dans la pièce – l'effondrement du soutien de la Maison-Blanche à la cybersécurité est évident et prononcé en raison des coupes budgétaires généralisées ».

En effet, CVE est vraiment devenu un outil indispensable dans ce secteur depuis sa création en 1999. Elle recense toutes les vulnérabilités de sécurité des systèmes informatiques en indiquant leurs sévérités. Cette base permet notamment d'unifier les noms des failles pour s'assurer que tout le monde s'entende et ne fasse pas de confusion. Toutes les personnes travaillant dans le secteur l'utilisent. On peut aussi s'appuyer sur CVE pour analyser la variation du nombre failles de sécurité, mais attention à le faire en prenant en compte leur exploitation et pas seulement leur nombre absolu.

Une fondation créée à la hâte

Alors que l'annonce de la reconduction du contrat n'avait pas encore été faite, des membres du bureau du CVE ont annoncé le lancement de la Fondation CVE. Celle-ci doit assurer « la viabilité, la stabilité et l'indépendance à long terme du programme CVE, pilier essentiel de l'infrastructure mondiale de cybersécurité depuis 25 ans ».

Elle est présentée comme une réponse à l'instabilité dans laquelle se trouve le CVE. En même temps, ce texte explique qu'elle est le fruit d'« une coalition de membres actifs et de longue date du conseil d'administration de CVE [qui] a passé la dernière année à élaborer une stratégie de transition de CVE vers une fondation à but non lucratif ».

Il est difficile pour l'instant de savoir quel sera l'avenir de la gouvernance du CVE entre cette fondation et la gestion historique par le MITRE.

Ce dernier a, certes, finalement pu reconduire le contrat avec la CISA, mais 442 employés du MITRE ont été licenciés récemment après l'arrêt de contrats par le DOGE équivalent à 28 millions de dollars de budget, selon Virginia Business. Difficile de promettre une stabilité au projet dans ce contexte.

Commentaires (34)

votre avatar
Du coup ils vont ajouter une vulnérabilité sur leur financement avec un numéro CVE dans leur base de donnée?
votre avatar
Brian Krebs a proposé : CVE-2025-DOGE (critical, local privilege escalation vulnerability that leads to malicious code execution and data exfiltration).

https://infosec.exchange/@briankrebs/114343970841863849
votre avatar
Oui il faut en rire, mais c'est pas tant une blague que ça :/
votre avatar
Encore un point à adresser pour la souveraineté technologique: on fait quoi si ce genre de resource disparaît où est restreint?
votre avatar
Malheureusement, difficile d'être souverain sur ce genre de chose, si chacun gère de son côté, on risque de faire les mêmes découvertes ou de rater des opportunités.
C'est l'avantage d'avoir une seule entité, ça regroupe les forces et l'info se propage plus facilement.
votre avatar
Il faudrait au minimum que ce genre de base de données soit répliquée dans plusieurs pays.
Peut-être enfin une utilité de la blockchain ?
votre avatar
Exactement, il faut un effort international sur le sujet!
votre avatar
Au delà du stockage, c'est l'alimentation qui m'inquiète
votre avatar
@Wosgien L'UE pourrait probablement imposer par la loi aux éditeurs de logiciels de signaler toutes les vulnérabilités aux autorités compétentes, tout comme le RGDP impose de signaler les incidents qui concernent les données personnelles.
votre avatar
Ok, mais qui va signaler aux éditeurs? Ce ne sont pas les éditeurs qui signalent les failles, ou alors des cellules dédiées sécu en interne. Et les éditeurs européens ne doivent pas être beaucoup à avoir de telles cellules.
votre avatar
@Wosgien Les failles qui sont découvertes par des chercheurs tiers continueront à être signalées aux éditeurs par lesdits chercheurs, mais les éditeurs auraient l'obligation de déclarer lesdites failles aux autorités compétentes si les chercheurs ne le font pas eux-mêmes.

Une obligation pour une personne qui découvre une faille de la signaler à l'éditeur du logiciel pourrait aussi être créée. Une telle obligation limiterait fortement les entreprises qui vendent des exploitations de failles.
votre avatar
C'est l'alimentation qui en fait un si bon outil d'ailleurs. Toute les entreprises qui font de la veille de vuln se basent sur cette BDD. La sortir du giron des USA me parait la première étape pour la pérennité du service.
votre avatar
@fred42 L'UE a déjà sa copie de la base CVE : European Union Vulnerability Database.
votre avatar
Peut-être que créer une ressource qui ne dépend pas que du financement américain serait un bon début :)
votre avatar
Est-il même normal que seuls les USA financent un tel organisme d'utilité mondiale ?
votre avatar
Au vu de la portée mondiale, il serait plus sensé qu'un tel organisme passe sous gouvernance et financement de l'ONU.

Mais bon, les USA avaient déjà fait des pieds et des mains pour garder le contrôle de l'ICANN, donc voilà.
votre avatar
Au lieu de faire de la décentralisation à fond et que chacun redéveloppe la roue dans son coin, il y a peut-être moyen d'avoir un intermédiaire qui soit plus résilient ?

Par exemple, l'UE, la Chine, et n'importe qui créent leur équivalent souverain de CVE, mais les différentes instances communiquent entre elles pour synchroniser leurs trouvailles et peuvent ainsi avoir une numérotation unifié.
Peut-être même en gardant CVE comme instance centrale pour donner une direction commune aux différentes entités.

Comme ça le jour où quelqu'un décide de se retirer du projet commun, ça ne mets pas le monde entier dans la galère.
votre avatar
Plus tu rajoute d'intermédiaire, plus tu augmente la latence et les risques d'interférences politiques.
votre avatar
Rajouter un petit délai, peut-être, mais pour les interférences politiques, l'avantage d'avoir plusieurs instances c'est que rien n'empêche d'en contacter une autre s'il y en a une qui bloque.
votre avatar
Mon coeur ne survivra pas à une année de news et rebondissements comme ça !
votre avatar
Le pire c'est qu'il y en a pour 4 ans !
votre avatar
C'est pas sûr que Trump puisse avoir ce comportement pendant 4 ans. Si fin 2026 les démocrates remportent le parlement, ses pouvoirs vont être grandement réduit.
votre avatar
Tu supposes qu'il respectera le résultat des élections et le fonctionnement des institutions. Aujourd'hui il signe des EO qui contreviennent directement à des lois votés par le Congrès, à la constitution de son pays, etc... et s'en tape car il ignore les décisions de justices qu'il y ensuite (et qui arrivent trop tard quand le mal est déjà fait).

Il a déjà tenté un coup d'état et n'a pas subit de conséquences, pourquoi est-ce qu'il respecterait les institutions ?? La vraie question, c'est pourquoi est-ce que le monde prétend qu'il quittera le pouvoir sans violence s'il perd la suivante (dans l'hypothèse peu probable où l'élection serait impartiale et pas truquée façon russe).
votre avatar
Aujourd'hui il peut faire tout ça car le congrès (et le sénat) qui est détenu par son camp le laisse faire au lieu de jouer son rôle. Si le congrès était détenu par les démocrates, un paquet des décrets que Trump signe ne seraient jamais appliqués ou annulé à très court terme. Les USA, comme toute démocratie, a des contre-pouvoir pour s'opposer au gouvernement. Le problème actuellement c'est que ces contre-pouvoir sont dirigés par les républicains qui préfèrent laisser faire Trump, quite à aller dans le mur dans 2 ans.
Si le congrès et le sénat passent côté démocrate, il n'aura pas d'autres choix que de reconnaître le résultat des élections de mi-mandat vu que le congrès a des moyens de contrôler le gouvernement mais pas l'inverse. Le président ne peut pas, par exemple, dissoudre l'assemblée contrairement à chez nous.
Et pour le fait de ne pas quitter le pouvoir s'il perd les prochaines élections, il ne faut pas non plus exagérer ce qu'il s'est passé lors de sa défaite. A aucun moment il n'a était proche de réussir un coup d'état. L'assaut du Capitole c'est 2 000 personnes environ, soit moins de 0.001% de la population. Ni la police, ni l'armée, ni aucune institution n'a suivi le mouvement. Tous les recours (plus d'une soixantaine selon Wikipedia) qu'il a fait pour invalider l'élection de Biden ont tous été rejetés.
S'il perds, il ne sera plus président donc même s'il refusait de quitter la Maison Blanche il se ferait expulser par l'armée à un moment. Et dés qu'il ne sera plus président, toutes les actions en justice contre lui qui ont été mise en pause vont être reprise, avec potentiellement des nouvelles.
Au bout d'un moment, faut arrêter de se faire peur avec un scénario où les USA se transforment en dictature calquée sur la Russie. Trump n'est pas Poutine et n'a pas le même pouvoir sur son pays ou son parti. Les républicains suivent Trump uniquement parce qu'il est populaire (ce qui risque de pas durer). Je te parie ce que tu veux que si l'opinion publique US rejette Trump, les républicains seront les premiers à le lâcher.
votre avatar
Je note ce que tu dis et on en reparle après les élections de mi-mandat, et qqpart fin 2028.
votre avatar
Je reste sur mon opinion du tout début: Trump veut déclencher un évènement qui lui permettra de consolider son pouvoir pour 'sécurité nationale'
votre avatar
Il y a bien l'OMS (WHO), instance de l'ONU pour les (vrais) virus. Pourquoi il n'y aurait pas une instance de l'ONU pour les virus informatiques ?

On est bien au 21eme siècle déjà...

:fumer:
votre avatar
Super exemple !
Trump a quitté l'OMS et cela joue fortement sur son budget.
votre avatar
Les US ont quitté l'OMS, oui ça je savais (ainsi que les accords de Paris...), par contre, pas compris le lien avec la création d'une agence mondiale qui dépendrait de l'ONU et les US ...

Il est où le lien ici entre les deux ?

:keskidit::keskidit:
votre avatar
À supposer qu'une telle agence existât avant l'arrivée de Trump et qu'elle soit financée entre autres par les USA, penses-tu que Trump aurait laissé son financement ?

Et le lien entre les deux c'est toi qui l'as établi par ta comparaison.
votre avatar
Manquerait plus qu'il se retire de l'ONU et cesse de financer l'institution et tu te rendrais compte pourquoi les USA sont la puissance mondiale moderne.
votre avatar
L'Union Européenne a sa propre base de données recensant les vulnérabilités logicielles : European Union Vulnerability Database (EUVD).
votre avatar
Dans la même veine, la NASA est la seule institution à traquer activement les débris spatiaux et alimentait en données toute la recherche mondiale sur les trajectoires de débris, risques de collisions, etc... ça se bouge enfin en Europe pour construire des infra pour être autonomes là dessus (radars, algo, etc...)
votre avatar
C'est peut être idiot mais le premier truc à faire c'est qand même la duplication de cette base de donnée si la licence le permet, chaque pays a son dépôt et il y a synchronisation entre les bases, genre comme des dossiers Dropbox...

La base de données de vulnérabilités CVE a failli perdre son financement américain

  • Le stress de la communauté cyber

  • Une fondation créée à la hâte

Fermer