La CISA évite l’arrêt prématuré du programme CVE grâce à une prolongation de 11 mois
(csoonline.com)- Le programme CVE de MITRE a failli être interrompu à minuit le 16 avril 2025 en raison de l’expiration d’un contrat de financement avec le DHS, mais la CISA a activé une période d’option du contrat pour éviter toute interruption
- Selon des sources, la prolongation est de 11 mois, et la CISA considère CVE comme un service essentiel pour la communauté cyber et une priorité de l’agence
- Un financement additionnel pour l’exploitation des programmes CVE et CWE a été confirmé dans la matinée du 16 avril, ce qui a permis d’éviter l’interruption de service prévue
- CVE est le standard de fait pour l’identification et la gestion des vulnérabilités, et constitue une donnée de base dont dépendent la NVD, le vulnrichment de la CISA, les produits des éditeurs de sécurité, les CERT et les bases de données d’entreprise sur les vulnérabilités
- La cause exacte de l’expiration du contrat n’est pas claire, et si l’arrêt avait eu lieu, l’ajout de nouveaux enregistrements CVE aurait cessé tandis que les enregistrements existants auraient été fournis via GitHub
Interruption évitée grâce à la prolongation d’urgence de la CISA
- Le Common Vulnerabilities and Exposures de MITRE, c’est-à-dire le programme CVE, devait voir son contrat avec le DHS expirer à minuit le 16 avril 2025
- La CISA a activé une période d’option du contrat, ce qui empêche toute interruption de service du programme CVE de MITRE
- La CISA a indiqué que CVE est extrêmement important pour la communauté cyber et constitue une priorité de l’agence
- Elle affirme avoir activé cette période d’option afin d’éviter toute rupture dans les services CVE essentiels
- Selon des sources, la prolongation du contrat durera 11 mois
- Yosry Barsoum de MITRE a déclaré que l’action du gouvernement avait permis d’éviter l’interruption du programme CVE ainsi que du Common Weakness Enumeration, c’est-à-dire le programme CWE
- Au matin du 16 avril 2025, la CISA a confirmé un financement additionnel permettant de maintenir l’exploitation des programmes
- MITRE maintient sa volonté de conserver CVE et CWE comme ressources mondiales
L’expiration initialement prévue du contrat et ses conséquences
- Au 15 avril 2025, MITRE avait informé le conseil du CVE que l’expiration du contrat avec le DHS mettrait fin au financement de la maintenance de la base de données CVE
- L’expiration concernait les travaux par lesquels MITRE développe, exploite et modernise le programme CVE, ainsi que le programme CWE associé
- Sasha Romanosky, de la Rand Corporation, estime que la nomenclature CVE et l’attribution par paquet logiciel et version constituent la base de l’écosystème des vulnérabilités logicielles
- Sans CVE, il deviendrait plus difficile de suivre les vulnérabilités nouvellement découvertes
- La notation de sévérité, la prévision des exploits et les décisions de correctif pourraient également être perturbées
- Ben Edwards, de Bitsight, estime que CVE est une ressource précieuse qui doit absolument être financée, et que le non-renouvellement du contrat est une erreur
- Grâce au cadre fédéré et à l’ouverture de CVE, d’autres parties prenantes pourraient reprendre l’exploitation
- Toutefois, un changement d’opérateur pourrait rendre la transition difficile
Le rôle de CVE dans l’écosystème des vulnérabilités
- Le programme CVE de MITRE est un pilier fondamental de l’écosystème mondial de la cybersécurité, ainsi que le standard de fait pour l’identification des vulnérabilités et l’orientation des programmes de gestion des vulnérabilités des défenseurs
- Les données CVE fournissent des données de base aux produits des éditeurs dans les domaines de la gestion des vulnérabilités, de la cyber threat intelligence, des informations de sécurité, du SIEM et de l’EDR
- Le NIST enrichit les enregistrements CVE de MITRE avec des informations supplémentaires via la National Vulnerability Database, c’est-à-dire la NVD
- La CISA a également enrichi les enregistrements CVE de MITRE via le programme vulnrichment, en réponse au manque de financement du programme NVD
- MITRE est l’auteur initial des enregistrements CVE et joue un rôle de source majeure pour l’identification des failles de sécurité
Les effets en chaîne qui étaient redoutés en cas d’interruption
- Brian Martin, CSO du projet Security Errata et ancien membre du conseil du CVE, estime que la disparition du financement de MITRE provoquerait des effets en chaîne immédiats sur la gestion mondiale des vulnérabilités
- Le modèle fédéré et les CVE Numbering Authorities, c’est-à-dire les CNA, ne pourraient plus attribuer d’identifiants et transmettre les informations à MITRE pour une publication rapide
- La NVD repose sur CVE et fait déjà face à un backlog de plus de 30 000 vulnérabilités ainsi qu’à plus de 80 000 entrées marquées « deferred »
- « deferred » désigne des éléments qui, à ce stade, ne feront pas l’objet d’une analyse complète
- Les entreprises qui exploitent leurs propres bases de données de vulnérabilités devraient elles aussi chercher d’autres sources de renseignement
- Les bases de données nationales sur les vulnérabilités, y compris en Chine et en Russie, les centaines à milliers de CERT nationaux et régionaux dans le monde, ainsi que les programmes de gestion des vulnérabilités en entreprise dépendant de CVE/NVD, pourraient être affectés
Les causes de la fin du contrat et la situation budgétaire fédérale
- La raison pour laquelle le DHS a voulu mettre fin au contrat du programme CVE, financé depuis 25 ans, n’est pas claire
- L’administration Trump a procédé à des réductions générales des dépenses publiques, notamment autour de l’initiative Department of Government Efficiency d’Elon Musk
- Le DHS finançait le programme CVE de MITRE via la CISA, et la CISA a déjà subi deux réductions budgétaires
- Selon les informations publiées, près de 40 % des effectifs de la CISA, soit environ 1 300 personnes, restent visés par des suppressions de postes
- Selon une source, comparé aux coupes budgétaires réalisées ailleurs dans l’administration fédérale, le coût de fonctionnement du programme CVE est faible et n’est pas de nature à « faire dérailler les finances »
Alternatives privées et réponse temporaire
- Sans prolongation du contrat, à partir de minuit le 16 avril 2025, MITRE prévoyait de ne plus ajouter de nouveaux enregistrements à la base de données CVE
- Les enregistrements CVE existants devaient être fournis via GitHub
- Patrick Garrity, de VulnCheck, estime qu’après les difficultés rencontrées l’an dernier par la NIST NVD, l’écosystème des vulnérabilités s’est fragilisé, et qu’un impact sur le programme CVE pourrait nuire aux défenseurs comme à la communauté de la sécurité
- Dans un contexte d’incertitude sur les services de MITRE ou du programme CVE susceptibles d’être affectés, VulnCheck a réservé par anticipation 1 000 CVE pour 2025
- La CISA a indiqué que CVE sert à permettre aux pouvoirs publics et à l’industrie de divulguer, classer et partager les vulnérabilités technologiques, y compris des informations sur des vulnérabilités pouvant mettre en danger des infrastructures critiques nationales
1 commentaires
Avis sur Hacker News
Des fils de discussion connexes sont en cours : CVE Foundation - https://news.ycombinator.com/item?id=43704430, Replacing CVE - https://news.ycombinator.com/item?id=43708409
Le contrat a été prolongé avec MITRE : https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
Ce sera probablement une prolongation indéfinie. DOGE est peut-être un ramassis d’idiots, mais au sein du DOD dans son ensemble, il y a aussi des gens qui ne sont pas idiots
Je ne sais pas si vous l’avez remarqué, mais ils fonctionnent selon une logique de budget base zéro. Ils coupent tout, puis rétablissent seulement ce qui est vraiment important. Ils coupent d’abord et posent les questions ensuite
Le fait que MITRE soit un contractant du DoD est aussi important. Confier le programme CVE à une entreprise financée par l’armée américaine peut susciter des inquiétudes de conflit d’intérêts dans un écosystème qui dépend de la neutralité et de la confiance mondiale
Ces derniers temps, j’essaie d’ajouter [fixed] à la fin du titre original pour signaler le changement d’état aux lecteurs. Je ne sais pas si c’est la meilleure solution, ni même si la situation est réellement résolue, mais cela me semble mieux que de ne rien faire. Modifier l’article et le titre d’un fil existant pourrait donner l’impression d’un trop gros coup dans le dos
Le contrat expirait aujourd’hui, mais il comportait une période d’option jusqu’en mars 2026, et il suffisait que le DHS exerce cette option
Correction : la date de fin du contrat est bien aujourd’hui 16 avril, donc si l’option n’avait pas été exercée, l’exécution aurait cessé à minuit aujourd’hui. Les contrats publics vont souvent jusqu’à la dernière minute comme ça, et il arrive fréquemment que l’exercice des options prenne du retard. Mais pourquoi cette affaire-ci a-t-elle pris une telle ampleur ? La CISA a-t-elle laissé entendre à MITRE qu’elle n’exercerait pas l’option ?
J’aurais préféré que cela n’arrive pas. Je me demande quelle organisation en silos au sein du DHS les a empêchés de voir que les inconvénients étaient suffisamment importants
Je ne pense pas qu’un expert du domaine aurait soutenu avec force : « on peut le supprimer, ce n’est pas nécessaire ». Si on leur avait demandé, ils auraient sans doute répondu fermement : « s’il vous plaît, n’y touchez pas, on en a besoin »
Cela dit, il est possible que de hauts responsables financiers aient mené leur « propre enquête » et aient mal compris comment les autres utilisent CVE et qui le finance
https://anchore.com/blog/national-vulnerability-database-opaque-changes-and-unanswered-questions/
https://www.cyberreport.io/news/cve-backlog-update-the-nvd-struggles-as-attackers-change-tactics?article=98084
https://www.ibm.com/think/insights/cve-backlog-update-nvd-struggles-attackers-change-tactics
Et bien d’autres encore. Cela a été un désastre complet pendant des mois, et à ce stade ils envisagent peut-être de changer radicalement d’approche
Tout cela relève d’un comportement criminel du régime actuel
Une coalition de membres du conseil CVE a lancé la nouvelle CVE Foundation « afin de garantir la viabilité à long terme, la stabilité et l’indépendance du programme Common Vulnerabilities and Exposures (CVE) »
https://www.thecvefoundation.org
https://mastodon.social/@serghei/114346660986059236
Les fournisseurs de produits ont intérêt à manipuler le processus d’émission des CVE pour l’aligner sur leur propre calendrier de correction, et les sociétés de sécurité ont intérêt à obtenir un accès prioritaire à la base de données CVE pour gagner un avantage concurrentiel
Il n’est pas impossible pour une organisation financée par des fonds commerciaux d’éviter ce type de capture, mais ce n’est pas facile non plus. La relation entre la Mozilla Foundation et Google vient immédiatement à l’esprit
Édit : downvotez autant que vous voulez. La formulation était peut-être trop brutale et a pu brouiller le propos. C’est intéressant de voir à quel point des non-spécialistes de la sécurité se laissent facilement convaincre par des noms, des citations et des figures d’autorité
La confiance ne se construit pas du jour au lendemain, et en réalité elle n’est jamais totale. Un professionnel de la sécurité de l’information ne se laisserait pas facilement piéger par ce genre de contournement de la chaîne d’approvisionnement à l’avenir incertain. J’espère que nous n’aurons bientôt pas à tester cette idée, mais il faut un certain niveau de fiabilité et d’automatisation à long terme. Ce qu’il faut, c’est un système technique largement accepté, pas une « fondation »
La vraie ironie, c’est que beaucoup de fondateurs de Y Combinator et de lecteurs de HN faisaient justement partie de ceux qui ont rendu ce genre de chose possible, et se demandent maintenant pourquoi le serpent se mord la queue
Eux, ou du moins certains d’entre eux, peuvent y voir une occasion de prendre le contrôle de cette fonction et d’en tirer de l’argent. C’est un flux de revenus récurrent, un modèle d’abonnement précieux, et les clients ont réellement besoin de ce service. Et s’ils n’en ont pas besoin, il suffit de créer une nouvelle loi qui les oblige à s’abonner au nom de la sécurité IT
Un monde où la NOAA aura été démantelée, et où il faudra payer pour recevoir des alertes sur des ouragans géants renforcés par le changement climatique. Changement climatique qui a été produit par la même cupidité imprudente et dérégulée. Les milliardaires ne devraient pas exister, mais les millionnaires non plus
Il n’y avait pas déjà de gros problèmes avec l’implémentation de CVE actuelle ? En particulier le fait que les script kiddies et les outils d’IA remplissent la base de données de spam, tandis que les projets qui prennent la sécurité au sérieux ont très peu voix au chapitre sur les « scores » qui leur sont attribués
Les scores sont pour la plupart inutiles, donc je ne serais pas gêné s’ils disparaissaient, et en pratique je ne les regarde même pas. Mais je ne comprends pas très bien pourquoi les gens se mettent autant en colère contre des scores médiocres
Si un score CVSS élevé génère beaucoup de travail, c’est que le processus de gestion des vulnérabilités est cassé, à mon avis. Ou alors vous faites de la conformité, pas de la sécurité. Si vous détestez la conformité, les scores CVSS ne sont pas la cause profonde de votre douleur
Une liste centrale qui rassemble des identifiants stables pour des choses dont vous pouvez ou non vous soucier a une très grande valeur
Cela dit, le problème des scores n’est pas une bonne raison pour brûler tout le système CVE
Passer de « ceci a des défauts » à « alors tuons-le » est une erreur logique. Un registre de sécurité imparfait est clairement préférable à l’absence totale de registre de sécurité
Si vous avez déjà fait de la gestion des CVE dans des logiciels open source, vous savez probablement déjà que la réduction du financement de la NVD dure depuis plus d’un an
Avril 2024 : https://nvd.nist.gov/general/news/nvd-program-transition-announcement
Le NIST maintient la National Vulnerability Database (NVD). C’est un élément essentiel de l’infrastructure nationale de cybersécurité. Avec l’augmentation du volume de logiciels et donc des vulnérabilités, ainsi que l’évolution du soutien entre organismes, l’arriéré de vulnérabilités augmente. Des solutions de long terme sont aussi à l’étude, comme la constitution d’un consortium réunissant l’industrie, le gouvernement et d’autres organisations parties prenantes capables de coopérer à des travaux de recherche pour améliorer la NVD.
Septembre 2024, Yocto Project, « An open letter to the CVE Project and CNAs » : https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
« La sécurité et le traitement des vulnérabilités dans les logiciels deviennent de plus en plus importants. Des événements récents ont nui à la capacité de nombreux projets à identifier les problèmes et à faire en sorte qu’ils soient corrigés à temps. C’est très préoccupant. Jusqu’à récemment, nous nous appuyions souvent non pas sur les données du projet CVE, mais sur les données de la NVD qui enrichissaient ces informations. »
Il y a cinq ans, en 2019, j’ai aidé à préparer une présentation du directeur du CERT de Carnegie Mellon ; à l’époque déjà, elle traitait de l’arriéré des CVE et du manque de ressources. Une grande partie des vulnérabilités signalées ne recevaient même pas de numéro CVE. Depuis, la file d’attente s’est allongée et les financements ont diminué, mais la vidéo faisait moins de 100 vues par an en moyenne : https://www.youtube.com/watch?v=WmC65VrnBPI
Le financement semble avoir été coupé aujourd’hui, et les deux citations semblent dire que le travail se poursuit et qu’il est important
Est-ce que cela veut dire qu’une forme de menace pèse sur la NVD depuis plus d’un an ? Je veux juste vérifier que je comprends bien
Il dit que le volume des vulnérabilités logicielles augmente, ce qui rend difficile pour les projets CVE et NVD de suivre le rythme
J’aimerais qu’on arrête de répandre en permanence un spin politique dans ce fil
Je me demande combien d’autres choses dont la plupart des gens ignorent même l’existence, mais qui sont importantes pour la société, ont discrètement disparu ces dernières semaines
Nous avons appris celle-ci parce que nous savons qu’elle est importante. Quelles sont celles que nous ignorons ?
Même en essayant de l’interpréter de la façon la plus charitable possible, je n’arrive vraiment pas à imaginer de raison non malveillante qui justifie cela
Les dirigeants actuels ne semblent pas comprendre les choses qui ne sont pas clinquantes. Je me demande quand ils feront régresser la sécurité alimentaire. RFK connaît sans doute quelques vitamines qui empêchent la salmonelle
C’est l’une des choses que le gouvernement fait pour le bien public
Ou bien elles veulent vendre leur propre score de priorité des risques alternatif. Toutes les entreprises utilisent volontiers les données de la NVD et des CVE, mais elles ne veulent pas payer une subvention qui aiderait leurs concurrents. C’est particulièrement vrai dans un secteur aussi concurrentiel que la cybersécurité
La MITRE Corporation fait beaucoup d’autres choses et semble avoir un chiffre d’affaires annuel de 2,2 milliards de dollars
Des entreprises valorisées en milliers de milliards de dollars bénéficient de ce système et y contribuent aussi ; ne pourraient-elles pas consacrer quelque chose comme 0,01 % de leur chiffre d’affaires à cette petite partie d’une infrastructure critique ?
Steelmanning est un néologisme qui ne sert à rien, sauf comme signal au sein d’un groupe. Il existait déjà un terme tout à fait satisfaisant pour le même concept, plus subtil et riche d’histoire : la « charitability »
La grande différence est que la charitability consiste à respecter l’autre. Le steelmanning revient plutôt à utiliser sa propre intelligence pour rendre l’argument de l’autre meilleur qu’il ne l’a formulé lui-même
Comme la charitability repose sur une idée de respect mutuel, on peut se demander pourquoi traiter charitablement quelqu’un lorsqu’il est évident qu’il ne me respecte pas du tout. Le steelmanning tente de séparer la personne de son argument et, ironiquement, il est à la fois arrogant et naïf
Cause racine : incident de couche 8
https://www.computerhope.com/jargon/l/layer8.htm