Le financement du programme Common Vulnerabilities and Exposures (CVE), essentiel pour identifier et suivre les vulnérabilités de cybersécurité, arrive à expiration le 16 avril. Ce système, utilisé par des géants comme Microsoft et Google, pourrait voir son avenir compromis.
Une Menace pour la Cybersécurité Mondiale
Le programme CVE, un pilier dans l’identification des failles de sécurité, est sur le point de perdre son soutien financier fédéral. Utilisé par des entreprises majeures telles que Microsoft, Google, Apple, Intel, et AMD, il permet aux ingénieurs de déterminer la gravité des exploits et de prioriser les correctifs.
La Fin d’une Ère
MITRE, l’organisation financée par le gouvernement derrière le programme, a confirmé que son contrat pour ‘développer, opérer, et moderniser’ le CVE expire le 16 avril. Depuis son lancement en 1999, le programme CVE a servi de base de données où les organisations participantes peuvent attribuer des identifiants aux vulnérabilités connues.
Des Conséquences Désastreuses
Selon Lukasz Olejnik, chercheur en sécurité et vie privée, l’absence de soutien au CVE pourrait ‘paralyser’ les systèmes de cybersécurité à l’échelle mondiale. Il prédit une rupture de la coordination entre les vendeurs, les analystes, et les systèmes de défense, conduisant à un chaos total et à un affaiblissement soudain de la cybersécurité.
Un Engagement en Question
Yosry Barsoum, vice-président de MITRE, a réaffirmé l’engagement de l’organisation envers le CVE comme ressource globale, malgré les défis financiers. Cependant, ce changement affectera également le programme Common Weakness Enumeration, qui catalogue les faiblesses matérielles et logicielles.
Une Nouvelle Inquiétante
La nouvelle a été révélée dans une lettre divulguée aux membres du conseil du CVE, postée sur X et Bluesky. MITRE, financé par le Département de la Sécurité Intérieure des États-Unis et l’Agence de Sécurité des Infrastructures, joue un rôle clé dans l’évolution du programme CVE en tant qu’entité indépendante.
