Le programme CVE menacé d’une fin anticipée après l’échec du renouvellement du contrat avec le DHS

 (csoonline.com)
2 points par GN⁺ 2025-04-17 | 1 commentaires | Partager sur WhatsApp
  • Le programme CVE du MITRE est un élément clé de la cybersécurité et joue un rôle important dans l’identification et la gestion des vulnérabilités de sécurité
  • La CISA a prolongé le contrat avec le MITRE afin d’éviter l’interruption du programme CVE
  • Cette prolongation de contrat devrait durer 11 mois et bénéficie du soutien de la communauté mondiale de la cybersécurité
  • La fin du contrat pourrait avoir un impact majeur sur l’écosystème de la cybersécurité et pourrait nécessiter des solutions alternatives
  • Le secteur privé, avec des acteurs comme VulnCheck, cherche à combler un éventuel vide laissé par le programme CVE

Risque de fin du contrat entre le DHS et le MITRE

  • Le programme CVE du MITRE est une base de données importante de cybersécurité maintenue depuis 25 ans
  • Comme le DHS n’avait pas renouvelé le contrat, le programme risquait d’être interrompu
  • La CISA a empêché cette interruption en prolongeant le contrat

Importance du programme CVE

  • Le programme CVE constitue la base de l’écosystème mondial de la cybersécurité et il est essentiel pour identifier et gérer les vulnérabilités de sécurité
  • Le NIST et la CISA fournissent des informations complémentaires, mais le MITRE reste la source principale des fiches CVE
  • Une interruption du programme pourrait avoir un impact important sur la gestion de la sécurité à l’échelle mondiale

Contexte de la fin du contrat

  • Les raisons de la décision du DHS de mettre fin au contrat ne sont pas claires
  • Les coupes budgétaires du gouvernement sont supposées être la cause principale
  • Le coût d’exploitation du programme CVE est relativement faible

Perspectives

  • Le MITRE ne prévoit plus d’ajouter de nouveaux enregistrements CVE à partir du 16 avril
  • Les enregistrements existants continueront d’être disponibles sur GitHub
  • Le secteur privé pourrait proposer des solutions alternatives

Actualités liées

  • Selon des experts, le financement du MITRE reste incertain
  • Le nouveau malware ResolverRAT cible des organisations de santé et pharmaceutiques dans le monde entier
  • Dernières actualités sur les correctifs liés aux vulnérabilités de Windows et des applications SAP

À lire aussi

1 commentaires

 
GN⁺ 2025-04-17
Avis Hacker News
  • Des discussions sont en cours au sujet de la CVE Foundation
  • Le contrat avec MITRE a été prolongé
  • Des membres du CVE Board cherchent à lancer une nouvelle CVE Foundation afin de garantir la stabilité à long terme et l’indépendance du programme CVE
  • Il semble que la séparation entre services au sein du DHS ait empêché de bien mesurer les aspects négatifs de cette situation
  • Il semble qu’un service financier de haut niveau, n’ayant pas pris la mesure de l’importance du programme CVE, ait pris une mauvaise décision
  • De nombreux fondateurs de Y Combinator et lecteurs de Hacker News ont contribué à rendre ce problème possible, et s’interrogent désormais sur ses conséquences
  • Cela amène à se demander quelles autres choses importantes pour la société ont pu discrètement disparaître ces dernières semaines
  • La mise en œuvre actuelle de CVE présentait des problèmes majeurs. En particulier, des script kiddies et des outils d’IA remplissaient la base de données de spam, tandis que les projets qui prennent la sécurité au sérieux avaient très peu d’impact sur les scores
  • Les personnes chargées de la gestion des CVE dans l’open source savent déjà que les coupes dans le financement du NVD durent depuis plus d’un an
  • Le NIST maintient la National Vulnerability Database (NVD), un élément central de l’infrastructure nationale de cybersécurité
  • L’augmentation du nombre de logiciels entraîne une hausse des vulnérabilités, et l’évolution du soutien entre organismes complique leur traitement
  • Comme solution de long terme, la création d’un consortium réunissant l’industrie, le gouvernement et d’autres organisations parties prenantes est à l’étude
  • Le Yocto Project a adressé une lettre ouverte au CVE Project et aux CNA, exprimant son inquiétude quant au fait que les événements récents ont eu un impact négatif sur l’identification et la résolution des vulnérabilités du projet
  • Il y a cinq ans, le directeur du CERT de Carnegie Mellon avait déjà signalé le backlog des CVE et le manque de ressources, et de nombreuses vulnérabilités signalées ne reçoivent toujours pas de numéro CVE
  • Le dernier contrat portant sur la participation de MITRE aux programmes CVE et CWE a été conclu pour 29,1 M USD, du 17 avril 2024 au 16 avril 2025, avec une possibilité d’extension jusqu’à 57,8 M USD
  • La prolongation du contrat du 16 avril 2025 au 16 avril 2026 n’a pas encore été décidée, et aucune approche publique concernant un contrat de remplacement n’existe non plus