CVE DATABASE IN CRISIS!

BREAKING: CVE Funding Crisis Averted!

Une erreur ?
La base de données de vulnérabilités CVE a failli perdre son financement américain
vulnérabilités au carré

La base de données de vulnérabilités CVE, mondialement utilisée pour connaître et corriger des risques de cybersécurité, a bien cru voir son financement fédéral américain s'arrêter. Alors qu'il devait expirer aujourd'hui même, l'Agence de cybersécurité américaine CISA l'a renouvelé à la dernière minute. En parallèle, des responsables de CVE ont lancé une fondation pour assurer son indépendance à long terme.
Martin Clavey
Le 16 avril à 17h58 - 4 min
Sécurité Sécurité

L'Agence de cybersécurité américaine CISA a finalement décidé de continuer à financer la base de données de vulnérabilités CVE en étendant son contrat avec la MITRE, l'organisation à but non lucratif qui gère le projet.
« Le programme CVE est inestimable pour la cybercommunauté et constitue une priorité de la CISA. Hier soir, la CISA a exécuté la période d'option du contrat afin de s'assurer qu'il n'y aura pas d'interruption des services CVE essentiels », a affirmé l'agence dans un communiqué envoyé à Forbes et notre BleepingComputer.

Le stress de la communauté cyber
Il était temps. La communauté de la cybersécurité avait commencé, mardi soir, à s'émouvoir sur les réseaux sociaux de la possible disparition de cette base de données. En effet, ce contrat arrivait à échéance ce mercredi 16 avril. Cette information a fuité mardi via une lettre adressée aux membres du bureau du CVE publiée sur Bluesky.
Yosry Barsoum, le vice-président du MITRE, l'organisation à but non-lucratif dont dépend le CVE, y annonçait un possible arrêt de financement et affirmait : « Si une interruption de service devait se produire, nous prévoyons de multiples conséquences pour CVE, notamment la détérioration des bases de données et des avis nationaux sur les vulnérabilités, des fournisseurs d'outils, des opérations de réponse aux incidents et de toutes sortes d'infrastructures critiques ».

Le spécialiste en cybersécurité Kevin Beaumont réagissait par exemple en affirmant que « le secteur de la cybersécurité dans son ensemble est également en difficulté – c'est l'éléphant dans la pièce – l'effondrement du soutien de la Maison-Blanche à la cybersécurité est évident et prononcé en raison des coupes budgétaires généralisées ».
En effet, CVE est vraiment devenu un outil indispensable dans ce secteur depuis sa création en 1999. Elle recense toutes les vulnérabilités de sécurité des systèmes informatiques en indiquant leurs sévérités. Cette base permet notamment d'unifier les noms des failles pour s'assurer que tout le monde s'entende et ne fasse pas de confusion. Toutes les personnes travaillant dans le secteur l'utilisent. On peut aussi s'appuyer sur CVE pour analyser la variation du nombre failles de sécurité, mais attention à le faire en prenant en compte leur exploitation et pas seulement leur nombre absolu.

Le nombre de failles de sécurité a augmenté de 30 % en 6 mois : beaucoup de bruit pour rien ?
Alors que l'annonce de la reconduction du contrat n'avait pas encore été faite, des membres du bureau du CVE ont annoncé le lancement de la Fondation CVE. Celle-ci doit assurer « la viabilité, la stabilité et l'indépendance à long terme du programme CVE, pilier essentiel de l'infrastructure mondiale de cybersécurité depuis 25 ans ».
Elle est présentée comme une réponse à l'instabilité dans laquelle se trouve le CVE. En même temps, ce texte explique qu'elle est le fruit d'« une coalition de membres actifs et de longue date du conseil d'administration de CVE [qui] a passé la dernière année à élaborer une stratégie de transition de CVE vers une fondation à but non lucratif ».

Il est difficile pour l'instant de savoir quel sera l'avenir de la gouvernance du CVE entre cette fondation et la gestion historique par le MITRE.
Ce dernier a, certes, finalement pu reconduire le contrat avec la CISA, mais 442 employés du MITRE ont été licenciés récemment après l'arrêt de contrats par le DOGE équivalent à 28 millions de dollars de budget, selon Virginia Business. Difficile de promettre une stabilité au projet dans ce contexte.

---

26 Commentaires (26)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vous
l'ange le virus
Abonné Hier à 18h39
Message 1
Aller au commentaire enfant
Signaler Bloquer cet utilisateur
Du coup ils vont ajouter une vulnérabilité sur leur financement avec un numéro CVE dans leur base de donnée?
bilbonsacquet
Abonné Modifié le 17/04/2025 à 09h43
Message 1.1
Historique
Aller au commentaire enfant
Signaler Bloquer cet utilisateur
Brian Krebs a proposé : CVE-2025-DOGE (critical, local privilege escalation vulnerability that leads to malicious code execution and data exfiltration).
https://infosec.exchange/@briankrebs/114343970841863849
Aqua
Abonné Aujourd'hui à 09h56
Message 1.1.1
Signaler Bloquer cet utilisateur
Oui il faut en rire, mais c'est pas tant une blague que ça :/
ragoutoutou
Abonné Hier à 18h59
Message 2
Aller au commentaire enfant
Signaler Bloquer cet utilisateur
Encore un point à adresser pour la souveraineté technologique: on fait quoi si ce genre de resource disparaît où est restreint?
Arcy
Abonné Hier à 19h10
Message 2.1
Aller au commentaire enfant
Signaler Bloquer cet utilisateur
Malheureusement, difficile d'être souverain sur ce genre de chose, si chacun gère de son côté, on risque de faire les mêmes découvertes ou de rater des opportunités. C'est l'avantage d'avoir une seule entité, ça regroupe les forces et l'info se propage plus facilement.
fred42
Abonné Hier à 19h14
Message 2.1.1
Aller au commentaire enfant
Signaler Bloquer cet utilisateur
Il faudrait au minimum que ce genre de base de données soit répliquée dans plusieurs pays. Peut-être enfin une utilité de la blockchain ?
ragoutoutou
Abonné Hier à 19h55
Message 2.1.1.1
Signaler Bloquer cet utilisateur
Exactement, il faut un effort international sur le sujet!
Wosgien
Abonné Hier à 21h06
Message 2.1.1.2
Aller au commentaire enfant
Signaler Bloquer cet utilisateur
Au delà du stockage, c'est l'alimentation qui m'inquiète
Changaco
Abonné Aujourd'hui à 09h50
Message 2.1.1.2.1
Signaler Bloquer cet utilisateur
@WosgienL'UE pourrait probablement imposer par la loi aux éditeurs de logiciels de signaler toutes les vulnérabilités aux autorités compétentes, tout comme le RGDP impose de signaler les incidents qui concernent les données personnelles.
Changaco
Abonné Aujourd'hui à 09h46
Message 2.1.1.3
Signaler Bloquer cet utilisateur
@fred42L'UE a déjà sa copie de la base CVE :European Union Vulnerability Database.
maddanny
Hier à 20h54
Message 2.1.2
Aller au commentaire enfant
Signaler Bloquer cet utilisateur
Peut-être que créer une ressource qui ne dépend pas que du financement américain serait un bon début :)
Dude76
Abonné Aujourd'hui à 08h55
Message 2.1.2.1
Signaler Bloquer cet utilisateur
Est-il même normal que seuls les USA financent un tel organisme d'utilité mondiale ?
SebGF
Abonné Aujourd'hui à 09h24
Message 2.1.2.1.1
Signaler Bloquer cet utilisateur
Au vu de la portée mondiale, il serait plus sensé qu'un tel organisme passe sous gouvernance et financement de l'ONU. Mais bon, les USA avaient déjà fait des pieds et des mains pour garder le contrôle de l'ICANN, donc voilà.
kikoo26
Aujourd'hui à 10h07
Message 2.1.3
Aller au commentaire enfant
Signaler Bloquer cet utilisateur
Au lieu de faire de la décentralisation à fond et que chacun redéveloppe la roue dans son coin, il y a peut-être moyen d'avoir un intermédiaire qui soit plus résilient ? Par exemple, l'UE, la Chine, et n'importe qui créent leur équivalent souverain de CVE, mais les différentes instances communiquent entre elles pour synchroniser leurs trouvailles et peuvent ainsi avoir une numérotation unifié. Peut-être même en gardant CVE comme instance centrale pour donner une direction commune aux différentes entités. Comme ça le jour où quelqu'un décide de se retirer du projet commun, ça ne mets pas le monde entier dans la galère.
Arcy
Abonné Modifié le 17/04/2025 à 10h48
Message 2.1.3.1
Historique
Aller au commentaire enfant
Signaler Bloquer cet utilisateur
Plus tu rajoute d'intermédiaire, plus tu augmente la latence et les risques d'interférences politiques.
kikoo26
Aujourd'hui à 11h10
Message 2.1.3.1.1
Signaler Bloquer cet utilisateur
Rajouter un petit délai, peut-être, mais pour les interférences politiques, l'avantage d'avoir plusieurs instances c'est que rien n'empêche d'en contacter une autre s'il y en a une qui bloque.
Neliger
Abonné Hier à 19h02
Message 3
Aller au commentaire enfant
Signaler Bloquer cet utilisateur
Mon coeur ne survivra pas à une année de news et rebondissements comme ça !
iMaman
Abonné Hier à 21h27
Message 3.1
Aller au commentaire enfant
Signaler Bloquer cet utilisateur
Le pire c'est qu'il y en a pour 4 ans !
fate1
Abonné Aujourd'hui à 08h12
Message 3.1.1
Aller au commentaire enfant
Signaler Bloquer cet utilisateur
C'est pas sûr que Trump puisse avoir ce comportement pendant 4 ans. Si fin 2026 les démocrates remportent le parlement, ses pouvoirs vont être grandement réduit.
Aqua
Abonné Aujourd'hui à 10h00
Message 3.1.1.1
Signaler Bloquer cet utilisateur
Tu supposes qu'il respectera le résultat des élections et le fonctionnement des institutions. Aujourd'hui il signe des EO qui contreviennent directement à des lois votés par le Congrès, à la constitution de son pays, etc... et s'en tape car il ignore les décisions de justices qu'il y ensuite (et qui arrivent trop tard quand le mal est déjà fait). Il a déjà tenté un coup d'état et n'a pas subit de conséquences, pourquoi est-ce qu'il respecterait les institutions ?? La vraie question, c'est pourquoi est-ce que le monde prétend qu'il quittera le pouvoir sans violence s'il perd la suivante (dans l'hypothèse peu probable où l'élection serait impartiale et pas truquée façon russe).
fate1
Abonné Aujourd'hui à 14h02
Message 3.1.1.1.1
Signaler Bloquer cet utilisateur
Aujourd'hui il peut faire tout ça car le congrès (et le sénat) qui est détenu par son camp le laisse faire au lieu de jouer son rôle. Si le congrès était détenu par les démocrates, un paquet des décrets que Trump signe ne seraient jamais appliqués ou annulé à très court terme. Les USA, comme toute démocratie, a des contre-pouvoir pour s'opposer au gouvernement. Le problème actuellement c'est que ces contre-pouvoir sont dirigés par les républicains qui préfèrent laisser faire Trump, quite à aller dans le mur dans 2 ans. Si le congrès et le sénat passent côté démocrate, il n'aura pas d'autres choix que de reconnaître le résultat des élections de mi-mandat vu que le congrès a des moyens de contrôler le gouvernement mais pas l'inverse. Le président ne peut pas, par exemple, dissoudre l'assemblée contrairement à chez nous. Et pour le fait de ne pas quitter le pouvoir s'il perd les prochaines élections, il ne faut pas non plus exagérer ce qu'il s'est passé lors de sa défaite. A aucun moment il n'a était proche de réussir un coup d'état. L'assaut du Capitole c'est 2 000 personnes environ, soit moins de 0.001% de la population. Ni la police, ni l'armée, ni aucune institution n'a suivi le mouvement. Tous les recours (plus d'une soixantaine selon Wikipedia) qu'il a fait pour invalider l'élection de Biden ont tous été rejetés. S'il perds, il ne sera plus président donc même s'il refusait de quitter la Maison Blanche il se ferait expulser par l'armée à un moment. Et dés qu'il ne sera plus président, toutes les actions en justice contre lui qui ont été mise en pause vont être reprise, avec potentiellement des nouvelles. Au bout d'un moment, faut arrêter de se faire peur avec un scénario où les USA se transforment en dictature calquée sur la Russie. Trump n'est pas Poutine et n'a pas le même pouvoir sur son pays ou son parti. Les républicains suivent Trump uniquement parce qu'il est populaire (ce qui risque de pas durer). Je te parie ce que tu veux que si l'opinion publique US rejette Trump, les républicains seront les premiers à le lâcher.
Aqua
Abonné Aujourd'hui à 14h11
Message 3.1.1.1.1.1
Signaler Bloquer cet utilisateur
Je note ce que tu dis et on en reparle après les élections de mi-mandat, et qqpart fin 2028.
Erwan123
Abonné Aujourd'hui à 09h29
Message 4
Aller au commentaire enfant
Signaler Bloquer cet utilisateur
Il y a bien l'OMS (WHO), instance de l'ONU pour les (vrais) virus. Pourquoi il n'y aurait pas une instance de l'ONU pour les virus informatiques ? On est bien au 21eme siècle déjà...
fred42
Abonné Aujourd'hui à 09h35
Message 4.1
Signaler Bloquer cet utilisateur
Super exemple ! Trump aquitté l'OMS et cela joue fortement sur son budget.
Changaco
Abonné Aujourd'hui à 09h41
Message 5
Signaler Bloquer cet utilisateur
L'Union Européenne a sa propre base de données recensant les vulnérabilités logicielles :European Union Vulnerability Database (EUVD).
Aqua
Abonné Aujourd'hui à 10h02
Message 6
Signaler Bloquer cet utilisateur
Dans la même veine, la NASA est la seule institution à traquer activement les débris spatiaux et alimentait en données toute la recherche mondiale sur les trajectoires de débris, risques de collisions, etc... ça se bouge enfin en Europe pour construire des infra pour être autonomes là dessus (radars, algo, etc...)