CVE program averts swift end after CISA executes 11-month contract extension
www.csoonline.com
After DHS did not renew its funding contract for reasons unspecified, MITRE’s 25-year-old Common Vulnerabilities and Exposures (CVE) program was slated for an abrupt shutdown on April 16, which would have left security flaw tracking in limbo. CISA stepped in to provide a bridge.

Traduction par DeepL.

#Le programme CVE prend fin rapidement après que le DHS n’a pas renouvelé son contrat, laissant le suivi des failles de sécurité dans l’incertitude.

Le programme CVE (Common Vulnerabilities and Exposures) de MITRE, vieux de 25 ans, prendra fin le 16 avril après que le DHS n’a pas renouvelé son contrat de financement pour des raisons non précisées. Les experts estiment que la fin de ce programme, qui était au cœur de la plupart des programmes de défense en matière de cybersécurité, est une véritable tragédie.

Dans un développement stupéfiant qui démolit une pierre angulaire de la défense de la cybersécurité, l’organisation de R&D à but non lucratif MITRE a déclaré que son contrat avec le ministère de la sécurité intérieure (DHS) pour maintenir la base de données CVE (Common Vulnerabilities and Exposures), qui organise les vulnérabilités informatiques, expirera à minuit le 16 avril.

Yosry Barsoum, vice-président et directeur du Center for Securing the Homeland de MITRE, a écrit dans une missive adressée au conseil d’administration de CVE : « Le mercredi 16 avril 2025, le financement accordé à MITRE pour développer, exploiter et moderniser le programme CVE® (Common Vulnerabilities and Exposures) et les programmes connexes, tels que le programme CWE™ (Common Weakness Enumeration), arrivera à son terme. Le gouvernement continue de déployer des efforts considérables pour soutenir le rôle de MITRE dans le programme, et MITRE reste attaché à CVE en tant que ressource mondiale. »

La fin du programme CVE est considérée comme « tragique »

Sasha Romanosky, chercheur principal en politique à la Rand Corporation, a qualifié la fin du programme CVE de « tragique », un sentiment partagé par de nombreux experts en cybersécurité et en CVE contactés pour un commentaire.

« La dénomination et l’affectation des CVE aux progiciels et aux versions sont les fondements de l’écosystème des vulnérabilités logicielles », a déclaré M. Romanosky. « Sans cela, nous ne pouvons pas suivre les vulnérabilités nouvellement découvertes. Nous ne pouvons pas évaluer leur gravité ni prévoir leur exploitation. Et nous ne serions certainement pas en mesure de prendre les meilleures décisions concernant les correctifs à apporter.

Ben Edwards, chercheur principal chez Bitsight, a déclaré à CSO : « Ma réaction est empreinte de tristesse et de déception. Il s’agit d’une ressource précieuse qui devrait absolument être financée, et ne pas renouveler le contrat est une erreur. »

Il a ajouté : « J’espère que toute interruption sera brève et que si le contrat n’est pas renouvelé, d’autres parties prenantes de l’écosystème pourront reprendre le travail là où MITRE l’a laissé. Le cadre fédéré et l’ouverture du système rendent cela possible, mais la route sera semée d’embûches si les opérations doivent être transférées à une autre entité. »

Le programme CVE de MITRE est fondamental pour la cybersécurité

Le programme CVE de MITRE est un pilier fondamental de l’écosystème mondial de la cybersécurité et constitue la norme de facto pour l’identification des vulnérabilités et l’orientation des programmes de gestion des vulnérabilités des défenseurs. Il fournit des données fondamentales aux produits des fournisseurs dans les domaines de la gestion des vulnérabilités, du renseignement sur les cybermenaces, de l’information sur la sécurité, de la gestion des événements et de la détection et de la réponse aux points d’extrémité.

Bien que le National Institute of Standards and Technology (NIST) enrichisse les enregistrements CVE du MITRE avec des informations supplémentaires par le biais de sa base de données nationale sur les vulnérabilités (NVD), et que la CISA ait contribué à enrichir les enregistrements CVE du MITRE avec son programme « vulnrichment » en raison du manque de financement du programme NVD, le MITRE est à l’origine des enregistrements CVE et sert de source principale pour l’identification des failles de sécurité.

« Si le financement de MITRE disparaît, cela aura un effet immédiat en cascade qui affectera la gestion des vulnérabilités à l’échelle mondiale », a écrit sur LinkedIn Brian Martin, historien des vulnérabilités, directeur scientifique du projet Security Errata et ancien membre du conseil d’administration de CVE.

« Tout d’abord, le modèle fédéré et les autorités de numérotation CVE (CNA) ne peuvent plus attribuer d’identifiants et envoyer des informations à MITRE pour une publication rapide. Deuxièmement, tout cela constitue le fondement de la base de données nationale sur les vulnérabilités (NVD), qui est déjà en proie à des difficultés, avec un arriéré de plus de 30 000 vulnérabilités et l’annonce récente de plus de 80 000 « différées » (ce qui signifie qu’elles ne seront pas entièrement analysées selon les normes en vigueur) ».

M. Martin a ajouté : « Troisièmement, toutes les entreprises qui gèrent leur propre base de données sur les vulnérabilités, qui est essentiellement du rouge à lèvres sur le cochon CVE, devront trouver d’autres sources de renseignements. Quatrièmement, les bases de données nationales sur les vulnérabilités, comme celles de la Chine et de la Russie, entre autres, se tariront en grande partie (la Russie plus que la Chine). Quatrièmement [sic], des centaines, voire des milliers, de CERT nationaux/régionaux dans le monde ne disposeront plus de cette source de renseignements gratuits sur les vulnérabilités. Cinquièmement, toutes les entreprises du monde qui s’appuyaient sur CVE/NVD pour obtenir des informations sur les vulnérabilités vont voir leur programme de gestion des vulnérabilités souffrir rapidement et brutalement ».

Pourquoi le contrat prend-il fin ?

Les raisons qui ont poussé le DHS à mettre fin au contrat après 25 ans de financement de ce programme très réputé ne sont pas claires. L’administration Trump, principalement par le biais de l’initiative du Département de l’efficacité gouvernementale d’Elon Musk, a réduit les dépenses gouvernementales dans tous les domaines, en particulier à l’Agence de cybersécurité et de sécurité des infrastructures (CISA), par le biais de laquelle le DHS finance le programme CVE de MITRE.

Bien que la CISA ait déjà subi deux réductions de financement, des rapports de presse suggèrent que près de 40 % du personnel de l’agence, soit environ 1 300 employés, doivent encore être licenciés. Toutefois, des sources affirment que, comparées aux coupes budgétaires effectuées ailleurs au sein du gouvernement fédéral, les dépenses liées à la gestion du programme CVE sont mineures et « ne feront pas sauter la banque ».

Que se passe-t-il ensuite ?

Selon des sources proches du programme CVE, à partir du 16 avril à minuit, MITRE n’ajoutera plus d’enregistrements à sa base de données CVE. Toutefois, les enregistrements CVE historiques seront disponibles sur GitHub.

La vraie question est de savoir si une alternative du secteur privé au programme de MITRE émergera.

« Il est difficile de spéculer sur les services qui pourraient être affectés en lisant la note de MITRE », a déclaré à CSO Patrick Garrity, chercheur en sécurité à la société de renseignement sur les menaces Vulncheck. « L’écosystème actuel des vulnérabilités est fragile après l’échec du NIST NVD l’année dernière, et tout impact sur le programme CVE pourrait avoir des conséquences néfastes pour les défenseurs et la communauté de la sécurité. VulnCheck s’engage à aider à combler les lacunes qui pourraient survenir ».

Garrity a posté sur LinkedIn, « Étant donné l’incertitude actuelle concernant les services de MITRE ou au sein du programme CVE qui pourraient être affectés, VulnCheck a réservé de manière proactive 1 000 CVE pour 2025, » ajoutant que Vulncheck « continuera à fournir des affectations CVE à la communauté dans les jours et les semaines à venir. »

Un porte-parole de la CISA a déclaré au CSO : « La CISA est le principal sponsor du programme CVE (Common Vulnerabilities and Exposure), qui est utilisé par le gouvernement et l’industrie pour divulguer, cataloguer et partager des informations sur les vulnérabilités technologiques qui peuvent mettre en danger les infrastructures critiques de la nation. Bien que le contrat de la CISA avec la MITRE Corporation prenne fin après le 16 avril, nous nous efforçons d’en atténuer l’impact et de maintenir les services CVE sur lesquels les parties prenantes du monde entier comptent ».