Les choses vont bientĂŽt se compliquer pour le Common Vulnerabilities and Exposures (CVE). Ce systĂšme est utilisĂ© par de grandes entreprises de la tech comme Apple, Google ou Intel pour suivre et identifier les failles de cybersĂ©curitĂ©. Il est financĂ© par le gouvernement fĂ©dĂ©ral amĂ©ricain, qui va bientĂŽt fermer les vannes. MITRE, lâorganisation Ă l'origine de ce programme, a confirmĂ© Ă The Verge que son contrat pour dĂ©velopper le CVE prendrait fin aujourd'hui.
Le CVE a pour but dâaider les ingĂ©nieurs Ă dĂ©terminer la gravitĂ© dâune faille et Ă Ă©tablir les prioritĂ©s afin de corriger le tir. Le programme dispose dâun moteur de recherche, et Apple ajoute rĂ©guliĂšrement ses retours en lien avec ses diffĂ©rents systĂšmes. Les rĂ©fĂ©rences sont donnĂ©es dans les notes de mises Ă jour dâApple (par exemple ici), dans lesquels elle indique les multiples failles corrigĂ©es. Elles prennent souvent la forme dâune suite de chiffres et de lâannĂ©e en cours, comme « CVE-2025-24202 ».
Une telle nouvelle effraye logiquement les spĂ©cialistes du domaine. Le chercheur en sĂ©curitĂ© Lukasz Olejnik anticipe « un chaos total et un affaiblissement soudain de la cybersĂ©curitĂ© dans tous les domaines ». Il estime que ce changement va amener une rupture de la coordination entre les entreprises, les analystes et les systĂšmes de dĂ©fense, Ă©tant donnĂ© que personne ne pourra ĂȘtre sĂ»r de faire rĂ©fĂ©rence Ă la mĂȘme vulnĂ©rabilitĂ©. En face, MITRE nuance en affirmant que « le gouvernement continue Ă faire des efforts considĂ©rables » pour la soutenir et explique rester engagĂ© pour le CVE. Cependant, elle note que le projet Common Weakness Enumeration (qui recense des faiblesses de maniĂšre plus globale) sera Ă©galement touchĂ©.
La structure va peut-ĂȘtre devoir se rĂ©inventer. Un communiquĂ© signĂ© par la « CVE Foundation » a Ă©tĂ© publiĂ© dans la journĂ©e. Cette nouvelle organisation qui se dit gĂ©rĂ©e par « un groupe de membres actifs de longue date du conseil d'administration du CVE » promet de faire passer le projet sur une fondation Ă but non lucratif. Les membres expliquent sâĂȘtre prĂ©parĂ©s Ă un arrĂȘt des financements depuis des annĂ©es, et que cette nouvelle structure se concentrera uniquement sur la mission du CVE. Son communiquĂ© ayant Ă©tĂ© publiĂ© sur un site basique dont le nom de domaine a Ă©tĂ© enregistrĂ© dans la nuit, on attendra dâen savoir plus avant de sâenthousiasmer. La CVE Foundation promet des dĂ©tails supplĂ©mentaires dans les jours qui viennent.
Mise Ă jour le 16 avril Ă 15:30 : Finalement, le gouvernement amĂ©ricain a dĂ©cidĂ© Ă la derniĂšre minute de prolonger son financement. Lâinformation a Ă©tĂ© confirmĂ©e Ă Forbes par l'Agence de cybersĂ©curitĂ© et de sĂ©curitĂ© des infrastructures amĂ©ricaines (CISA). « Le programme CVE est inestimable pour la cybercommunautĂ© et constitue une prioritĂ© de la CISA », a dĂ©clarĂ© un porte-parole, ajoutant qu'il n'y aura pas d'interruption des services CVE essentiels.
