Cybersécurité : le standard mondial CVE est en péril immédiat, ce qu’il faut savoir

Edit du jeudi 17 avril 2025, 9h28 : afin de « garantir la continuité des services CVE critiques », l’agence américaine pour la cybersécurité et les infrastructures (CISA) a activé la période d’option du contrat. MITRE a donc pu éviter l’interruption des services, créant parallèlement la CVE Foundation, fondation à but non lucratif qui se concentrera sur la poursuite à long terme du programme CVE.   

Un pilier de la cybersécurité mondiale pourrait vaciller. Ce mercredi 16 avril 2025, le contrat qui permet à MITRE de maintenir le programme CVE (pour Common Vulnerabilities and Exposures) doit expirer. Faute de nouvel accord, cela pourrait provoquer une discontinuité majeure dans un système utilisé quotidiennement par les éditeurs de logiciels, les chercheurs en sécurité et les gouvernements du monde entier. L’organisation MITRE tire la sonnette d’alarme.

MITRE, un acteur de la cybersécurité discret mais central

MITRE est une organisation à but non lucratif qui travaille en partenariat avec le gouvernement américain, en particulier sur des sujets liés à la sécurité nationale, la défense, l’aéronautique, la santé et la cybersécurité. Elle est notamment connue dans ce dernier domaine pour être l’opérateur historique du programme CVE, qui répertorie et standardise les failles de sécurité identifiées dans les logiciels, matériels et systèmes informatiques.

Depuis 1999, MITRE administre la base CVE, toujours avec le soutien financier du gouvernement étatsunien, par l’intermédiaire de contrats publics. Grâce à ces travaux, chaque vulnérabilité peut être référencée sous une forme commune (par exemple : CVE-2023-5432), ce qui permet aux entreprises, aux éditeurs, aux chercheurs mais aussi aux administrations de parler un langage commun lorsqu’ils traitent des failles de sécurité. Le programme alimente de nombreuses bases de données critiques, comme le NVD (pour National Vulnerability Database), utilisé à l’échelle mondiale.

Par extension, l’organisation MITRE est aussi impliquée dans d’autres projets liés à la sécurité informatique, comme CWE (pour Common Weakness Enumeration) ou ATT&CK, un framework d’analyse des tactiques des cyberattaquants, des outils devenus des standards de fait dans le secteur.

Une discontinuité de service pour le programme CVE dès le 16 avril 2025 ?

Dans un courrier daté du 15 avril 2025, MITRE alerte officiellement les membres du board du programme CVE sur une possible interruption imminente du soutien financier. L’organisation explique que « le mercredi 16 avril 2025, la voie contractuelle actuelle permettant à MITRE de développer, faire fonctionner et moderniser le programme CVE, et ceux liés comme le CWE, expirera ».

BREAKING.

From a reliable source. MITRE support for the CVE program is due to expire tomorrow. The attached letter was sent out to CVE Board Members.

[image or embed]

— Tib3rius (@tib3rius.bsky.social) 15 avril 2025 à 19:23

À ce jour, aucun contrat de transition n’a été confirmé, même si le courrier rédigé par Yosry Barsoum, VP et directeur chez MITRE, assure que « le gouvernement continue ses efforts considérables » dans son soutien au programme. Pourtant, d’après Virginia Business, il supprimait plus tôt ce mois-ci – par l’intermédiaire du DOGE d’Elon Musk – 28 millions de dollars de contrats, entraînant le potentiel départ de 442 membres du staff de MITRE.

Quelles potentielles conséquences ?

Le risque de « break in service » est donc bien réel. MITRE explique qu’en cas de rupture de service, plusieurs impacts sont à prévoir : « La dégradation des bases de données nationales de vulnérabilité, des avis de sécurité, des fournisseurs d’outils, des opérations de réponse aux incidents, et de toutes les infrastructures critiques ». Autrement dit, l’ensemble de l’écosystème de cybersécurité – les éditeurs, équipes de réponse (CERTs), agences gouvernementales, RSSI – pourrait subir des conséquences concrètes en matière de détection, de prévention ou de coordination. De nombreux outils d’analyse, des scanners de vulnérabilité et des systèmes de détection automatique dépendent des identifiants CVE pour fonctionner correctement.

Sans CVE, comment faire pour juste savoir qu’on parle du même problème ?, s’interroge Greg Anderson, CEO de DefectDojo, sur SC World.

Si MITRE assure « rester engagé à faire du CVE une ressource mondiale », elle reconnaît que la décision finale échappe désormais à son contrôle, celle-ci dépendant directement des autorités gouvernementales. Le risque est d’autant plus significatif que le CVE est devenu un standard, utilisé dans d’innombrables services et protocoles de cybersécurité. Il est aussi révélateur d’un paradoxe : alors que la cybersécurité n’a jamais été aussi importante pour les États et les entreprises, l’un des socles techniques de cette protection repose sur un financement incertain, renouvelé par tranches contractuelles, auquel un gouvernement trop pressé de faire des économies sur des sujets qu’il maîtrise mal peut mettre fin du jour au lendemain.