Le programme de sécurité CVE, qui protège les utilisateurs d’Apple et d’autres entreprises, fait face à un retrait de financement. Ce changement pourrait compromettre la détection et la gestion des vulnérabilités informatiques. L’avenir de la cybersécurité est en jeu, mettant en péril la sécurité des données millions d’utilisateurs.
Le programme de sécurité CVE
Le programme CVE (Common Vulnerabilities and Exposures) sert à suivre les vulnérabilités tant dans le matériel que dans les logiciels. Il a récemment été annoncé que son financement fédéral a été supprimé avec effet immédiat, ce qui soulève de sérieuses inquiétudes parmi les géants technologiques qui s’appuient sur ce programme, comme Apple.
Le programme CVE offre un moyen facile et efficace pour toute personne ou organisation de signaler une vulnérabilité de sécurité qu’elle a découverte dans un produit technologique. Une fois signalée, chaque vulnérabilité se voit attribuer un identifiant unique qui commence par CVE- suivi de l’année et d’un numéro de série. Cela permet à d’autres de savoir que le problème a été signalé et de mener leurs propres investigations pour aider l’entreprise technologique concernée à évaluer la gravité du problème.
Lorsqu’une vulnérabilité nécessite l’intervention de plusieurs entreprises technologiques, le système CVE facilite la coordination de leurs efforts. Parmi les entreprises qui dépendent de ce système, on retrouve Apple, Google, et Microsoft.
Le gouvernement américain supprime le financement fédéral
Hier, la MITRE Corporation a annoncé que son financement fédéral avait été supprimé, avec effet immédiat. Cela signifie que la voie actuelle de contractualisation pour MITRE en matière de développement, d’exploitation et de modernisation du programme CVE, ainsi que de plusieurs autres programmes connexes comme le CWE (Common Weakness Enumeration), expirera.
Si une interruption de service devait se produire, nous prévoyons de multiples impacts sur le CVE, y compris la détérioration des bases de données sur les vulnérabilités nationales, des avis, des outils pour les fournisseurs, des opérations de réponse aux incidents, et toute sorte d’infrastructures critiques.
Le chercheur en sécurité Lukasz Olejnik a déclaré que cette décision entraînera un « chaos total » dans le domaine de la cybersécurité. Il a précisé que la réduction de ce qui revient à des coûts dérisoires par l’administration Trump pourrait effectivement (du moins temporairement) paralyser le système de cybersécurité mondial lié au CVE.
Les conséquences seront une rupture de la coordination entre les fournisseurs, les analystes et les systèmes de défense — personne ne saura avec certitude s’ils se réfèrent à la même vulnérabilité. Cela entraînera un chaos total et un affaiblissement soudain de la cybersécurité dans son ensemble.
Le financement du CWE est aussi supprimé
Comme l’a mentionné MITRE, cette coupure supprime également le financement du programme CWE. Ce programme, qui est lié à l’identification des voies de faiblesse courantes dans les logiciels et le matériel, pourrait avoir des implications en matière de sécurité.
Le CWE fournit des orientations qui aident les entreprises technologiques à éviter d’introduire des vulnérabilités de sécurité dans leurs produits dès le départ, permettant à chacun d’apprendre des erreurs des autres.
L’avis de 9to5Mac
Les programmes CVE et CWE sont tous deux très efficaces et extrêmement rentables. Leur financement étant supprimé, cela semble insensé, et nous serons tous mis en plus grand risque en conséquence.
Pour plus d’informations sur la sécurité des systèmes et les vulnérabilités, vous pouvez consulter le site CVE.org.
Nous utilisons des liens d’affiliation générant des revenus. Plus.
Qu’est-ce que le programme de sécurité CVE ?
Le programme CVE fournit un moyen facile et efficace pour toute personne ou organisation de signaler une vulnérabilité de sécurité qu’elle a trouvée dans un produit technologique.
Pourquoi le financement fédéral du programme CVE a-t-il été supprimé ?
Le financement fédéral du programme CVE a été supprimé par le gouvernement américain, ce qui affecte directement le fonctionnement et la modernisation de CVE et d’autres programmes connexes.
Quelles seront les conséquences de la suppression du financement du programme CVE ?
Les conséquences incluent un chaos total dans le domaine de la cybersécurité, une détérioration des bases de données nationales sur les vulnérabilités, et une perte de coordination entre les fournisseurs, les analystes et les systèmes de défense.
Le financement du programme CWE a-t-il également été supprimé ?
Oui, la suppression du financement affecte également le programme Common Weakness Enumeration (CWE), qui aide à identifier les faiblesses communes des logiciels et du matériel pouvant avoir des implications en matière de sécurité.
