2 points par GN⁺ 2025-04-24 | 1 commentaires | Partager sur WhatsApp
  • La menace d’une interruption de la base de données CVE montre que l’architecture fédérale américaine de cybersécurité peut vaciller sous le seul effet de décisions budgétaires, de personnel et d’organisation
  • Si CVE, point de référence commun des vulnérabilités de sécurité depuis 25 ans, vacille, les défenseurs passeront du temps à vérifier qu’ils parlent bien de la même faille, et les attaquants pourront exploiter cette confusion
  • La CISA devait supprimer plus d’un tiers de ses effectifs, et le contrat CVE de MITRE a été prolongé à la dernière minute, mais il expirera de nouveau en mars 2026
  • Le limogeage du chef de la NSA et de l’US Cyber Command, le démantèlement de fait du CSRB, l’arrêt de l’enquête sur Salt Typhoon, le basculement vers une préparation centrée sur les États et collectivités locales, ainsi que la réduction des subventions fédérales affaiblissent les capacités de défense fédérales
  • L’accès de DOGE à des systèmes fédéraux sensibles vient encore aggraver la situation, et cet affaiblissement sécuritaire auto-infligé par les États-Unis pourrait aussi affecter l’écosystème technologique hors des États-Unis

Crise autour d’une interruption de CVE et confusion dans la gestion des vulnérabilités

  • La base Common Vulnerabilities and Exposures, ou CVE, est la liste de référence qui recense de fait presque toutes les vulnérabilités de sécurité depuis 25 ans
  • Jen Easterly, ancienne directrice de la CISA, décrit CVE comme un catalogue mondial qui permet aux équipes sécurité, aux éditeurs de logiciels, aux chercheurs et aux gouvernements d’organiser et de discuter des vulnérabilités dans un cadre de référence commun
  • Sans CVE, chaque organisation utiliserait une liste différente, ou réagirait sans liste du tout; le temps passé à vérifier qu’on parle bien du même problème augmenterait, et les attaquants pourraient exploiter cette confusion
  • La CISA, qui supervise CVE, devait supprimer plus d’un tiers de ses effectifs, et les employés ont été informés qu’ils devaient choisir avant minuit lundi entre continuer à travailler ou démissionner
  • Le contrat CVE de MITRE a été prolongé juste avant son échéance, mais il devrait expirer à nouveau en mars 2026

Réduction de la CISA et des structures cyber fédérales

  • Les suppressions de postes à la CISA et l’incertitude contractuelle sont directement liées à la question de la continuité de CVE
  • Par le passé, prolonger le contrat CVE aurait presque relevé de l’évidence, mais une nouvelle prolongation reste désormais incertaine
  • Si une base commune comme CVE vacille, il devient plus difficile de coordonner la réponse aux vulnérabilités dans l’ensemble de la sécurité technologique

Éviction de hauts responsables de la cybersécurité et démantèlement d’organes consultatifs

  • Le général Timothy D. Haugh, à la tête de la NSA et de l’US Cyber Command, a été limogé début avril
    • Il était considéré comme une figure importante de la défense des infrastructures cyber nationales, notamment dans la réponse aux ingérences russes après l’élection de 2016
    • Parmi les raisons évoquées figure le fait que Laura Loomer, complotiste d’extrême droite proche de Trump, ne l’appréciait pas
  • Le Cyber Safety Review Board, ou CSRB, était un organisme créé sous l’administration Biden pour enquêter sur les grands incidents cyber
    • Tous ses membres ont été écartés, ce qui l’a de fait démantelé
    • Les enquêtes sur des cyberattaques majeures, comme le piratage chinois dit « Salt Typhoon », ont été interrompues
  • L’attaque Salt Typhoon visait aussi Trump et le vice-président JD Vance, mais l’administration est critiquée pour ne pas accorder d’importance à cette affaire

Préparation centrée sur les États et collectivités locales, avec un soutien fédéral en recul

  • Le décret de Trump Achieving Efficiency Through State and Local Preparedness affirme que les capacités de préparation sont détenues et gérées le plus efficacement au niveau des États, des collectivités locales et des individus, le gouvernement fédéral venant en soutien
  • Ce décret inclut les cyberattaques, les incendies de forêt, les ouragans et même la météorologie spatiale parmi les domaines relevant de décisions et d’investissements locaux
  • Comme les cyberattaques ne s’arrêtent pas aux frontières d’un État, les critiques jugent irréaliste un dispositif où chacun des 50 États répondrait séparément à des équipes de piratage soutenues par des États-nations
  • Trump a aussi réduit dès le début de son mandat les financements d’un programme fédéral de subventions dédié à la cybersécurité
  • Il pourrait être difficile pour les gouvernements des États de recruter suffisamment d’experts en sécurité de très haut niveau

Accès de DOGE à des systèmes sensibles et risques sur les données

  • Le Department of Government Efficiency d’Elon Musk, ou DOGE, a obtenu l’accès à des systèmes fédéraux sensibles
  • Parmi les systèmes concernés figurent le système de paiements du Treasury Department et le Social Security System
  • Des inquiétudes émergent sur le fait que ces données aient été copiées quelque part et soient désormais accessibles à des personnes qui n’ont ni le droit de les consulter ni celui de les utiliser
  • Les critiques soulignent qu’au-delà de la défense cyber externe, même des données pouvant servir de base à des attaques de sécurité de grande ampleur contre des citoyens ont été exposées
  • Dans ce contexte, même le vol des informations de Social Security de 1,6 million de personnes chez un assureur paraît de moindre ampleur en comparaison

Des effets qui pourraient se propager au-delà des États-Unis

  • Les États-Unis jouent depuis longtemps un rôle moteur dans la sécurité technologique, si bien que l’affaiblissement de la cyberdéfense fédérale ne se limite pas à un problème intérieur
  • Les États-Unis subiront sans doute le plus gros choc, mais le monde entier pourrait en ressentir les répercussions

1 commentaires

 
GN⁺ 2025-04-24
Commentaires sur Hacker News
  • En quoi est-ce censé aider les citoyens américains, exactement ?

    • Couper Mitre et CVE va à l’encontre des intérêts américains, aussi bien dans le public que dans le privé.
      Sur le plan des coûts, le débat est possible. On peut par exemple se demander si la base de données CVE valait 50 millions de dollars par an, surtout au vu du retard accumulé.
      On peut aussi supposer que des services de remplacement privés ou semi-privés apparaîtront, et que plusieurs d’entre eux se feront concurrence et s’amélioreront. Comme les libertariens, on pourrait soutenir que tous les services qui ne relèvent pas d’un monopole de la coercition devraient être confiés au privé.
      Mais ce n’est pas un bon argument. 50 millions de dollars, ça paraît beaucoup, et il y a peut-être de la marge pour réduire. Cela dit, plutôt que de simplement mettre fin au programme, j’aimerais voir une analyse de son fonctionnement réel.
      Le second argument est pire. Le NIST et la NOAA sont des exemples d’organismes au rapport coût-bénéfice élevé, et un NIST à but lucratif ou une NOAA à but lucratif semblent assez peu pertinents. Il vaut quand même la peine de comparer, de manière générale, les avantages et inconvénients des services financés par des fonds publics et de leurs versions privées. Même un mauvais argument vaut mieux que rien, mais l’administration actuelle ne fournit même pas ce genre d’argument.
    • Ça n’aide pas. C’est un effet secondaire du manque de capital humain de la droite populiste.
      Il existe beaucoup de théories du complot selon lesquelles cela servira à réprimer des droits, et cela pourrait finir par arriver. Mais ce serait plutôt une réaction a posteriori aux conséquences d’actions maladroites.
      La croyance commune dans l’administration Trump actuelle, c’est que ce genre de programmes de cybersécurité est un gaspillage d’argent, et que le secteur privé va apparaître comme par magie pour nous sauver.
      Désormais, tout le monde va subir le coût élevé d’un faible capital humain.
    • N’est-ce pas supposer que les dirigeants actuels s’intéressent réellement au fait d’aider les citoyens américains ?
    • Je pense que c’était une tentative d’envoyer un signal explicite à la Russie : nous ne sommes plus une menace directe. Une vaine tentative d’éviter une guerre sur deux fronts dans la guerre mondiale à venir.
      Malheureusement, Poutine continuera très probablement son invasion jusqu’au Fulda Gap en Allemagne. Si nous faisons toujours partie de l’OTAN, nous n’aurons pas d’autre choix que de déclarer la guerre.
    • Ils semblent penser qu’ils économisent le budget de l’État. Plutôt que quelque chose de sinistre, on dirait surtout qu’ils ne jugent qu’à partir des chiffres d’un tableur gouvernemental.
      L’administration Trump voit que de l’argent est dépensé dans des projets qui profitent aussi à des personnes hors des États-Unis, indépendamment de leur valeur interne, et en déduit que l’argent américain est dépensé pour d’autres pays.
      Ils ne sont ni assez intelligents ni assez informés, et n’ont pas vraiment l’intention d’apprendre ou d’écouter des gens plus intelligents. Quand ils voient une ligne budgétaire qu’ils ne comprennent pas, ils considèrent qu’on peut la supprimer.
      Ils semblent partir du principe que si c’est vraiment important, quelqu’un en fera une entreprise.
  • Les discussions Signal ne sont qu’un détail par rapport au fait d’ouvrir le gouvernement aux fuites de données et à l’influence étrangère.
    https://www.newsweek.com/doge-whistleblower-stalked-threaten...

    • Les membres conservateurs de ma famille ne regardent que Fox News, OAN, et Twitchy, un site de mèmes conservateurs qui donne l’impression que Fox News a essayé de devenir encore plus stupide.
      Ils ne voient pas ces choses. Il n’y a pas de vraie couverture. Ma mère ne connaissait même pas l’étendue des droits de douane, ni l’arnaque crypto de DJT. Je lui ai aussi expliqué Signal plusieurs fois, mais elle ne comprend vraiment pas les choses complexes.
      Ma mère dit qu’elle « sait que Trump est quelqu’un de grossier », mais, pour la citer, elle veut « l’Amérique pour les Américains », remettre la Chine à sa place et protéger la frontière.
      J’ai dit à mon père : « Pourquoi penses-tu que les États-Unis sont si puissants et influents ? Parce qu’ils investissent dans le monde et accueillent des étudiants aux États-Unis. Nous ne sommes pas le centre du monde sans raison. » Il a simplement répondu : « Nous sommes le centre du monde. »
      Notre pays est rempli de gens incapables de pensée abstraite et accros aux mensonges.
  • Le budget n’est pas le fond du problème, c’est une diversion. Démanteler le dispositif de cybersécurité civil est une façon d’exposer le public aux opérations d’influence et à d’autres dommages, ce qui permettra ensuite d’exiger davantage de solutions de type « homme fort » [0,1].
    Ce n’est qu’après avoir détruit la « cyberdéfense » qu’on peut invoquer une crise et déclarer : « la cybersécurité est morte, vive la nouvelle cybersécurité ».
    Et ce ne sera certainement pas une sécurité faite pour vous.
    [0] https://cybershow.uk/blog/posts/computer-security-is-a-polit...
    [1] https://cybershow.uk/blog/posts/usw/

  • L’article est un peu léger. Le fait que le budget de CVE ait failli être presque coupé est certes tragique, mais il ne parle pas de l’exfiltration de données au NLRB ni du fait que tout le monde a été verrouillé hors de ses comptes, et il n’aborde que brièvement les coupes dans les subventions fédérales à la cybersécurité et dans le budget de la CISA.
    Il y a bien plus de munitions pour montrer à quel point l’administration Trump et l’équipe DOGE de Musk sont réellement incompétentes.

    • https://www.npr.org/2025/04/15/nx-s1-5355896/doge-nlrb-elon-...
      L’article détaille assez bien les indices montrant que des employés de DOGE ont délibérément tenté de dissimuler leurs activités dans le compte Azure du NLRB. C’est sûrement excellent pour la transparence gouvernementale.
      Selon la divulgation de Berulis, quelques minutes après l’accès de DOGE aux systèmes du NLRB, quelqu’un utilisant une adresse IP russe a commencé à tenter de se connecter. Les tentatives se sont produites « quasiment en temps réel ».
      Les tentatives de connexion ont été bloquées, mais elles étaient particulièrement inquiétantes. La personne qui essayait de se connecter aurait utilisé l’un des comptes DOGE nouvellement créés et connaissait le bon nom d’utilisateur ainsi que le bon mot de passe.
    • Ils sont en fait plutôt compétents pour atteindre leur véritable objectif. L’objectif n’est pas de rendre l’Amérique grande, mais de la réduire en morceaux afin que les ultra-riches puissent tout racheter à vil prix, y compris les terres.
    • Il ne faut pas non plus oublier le ciblage de Chris Krebs, qui a protégé la sécurité électorale.
    • Ce n’était pas un article, mais une tribune d’opinion.
  • Il nous faudra peut-être une base de données comme CVE qui ne dépende pas du gouvernement américain. C’est une faiblesse du monde IT lui-même.

    • Le gouvernement américain a plutôt bien assumé ce genre de rôle. Il est globalement digne de confiance, a les moyens de consacrer un peu d’argent à protéger un produit d’exportation international très rentable, et peut demander des comptes aux propriétaires de plateformes lorsqu’ils cachent des problèmes à des fins marketing ou les rendent délibérément flous.
      En connaissant l’histoire de CVE sur les dix dernières années, qui pourrait-on sérieusement proposer ? On va sous-traiter ça à Cisco ou Oracle ?
    • Côté CVE, ils travaillent à diversifier leurs sources de financement.
      https://www.thecvefoundation.org/
  • Idée un peu folle : et si on répartissait CVE entre plusieurs pays pour qu’aucune organisation unique n’ait le pouvoir de le supprimer ?
    Même si les États-Unis ne coopèrent pas, ce n’est pas une base de données publique ? Qu’est-ce qui empêcherait l’ONU, l’UE, le Royaume-Uni, l’Australie, etc., d’en faire une copie et de créer un CVE commun ?

  • Trump sera surpris une deuxième fois par le fait que « tout est informatique ».

  • C’est du sabotage : qui en est responsable ?

  • « Le Washington Monument syndrome, aussi appelé Mount Rushmore syndrome ou firemen first principle, désigne la tendance des agences gouvernementales américaines, lorsqu’elles font face à des coupes budgétaires, à réduire les services publics les plus visibles ou les plus appréciés. »
    https://en.wikipedia.org/wiki/Washington_Monument_syndrome

    • Je ne suis pas sûr que cela s’applique ici. En dehors des gens du type HN, à quel point le grand public s’intéresse-t-il à la cybersécurité, ou la comprend-il ?