L’angoisse étreignait les chercheurs en sécurité partout dans le monde depuis quelques jours. Qu’allait-il advenir du programme CVE (Common Vulnerabilities and Exposures) ? Cette initiative internationale née il y a 25 ans a pour but d’identifier et de recenser les vulnérabilités informatiques sous une forme standardisée (CVE-2024-12345, par exemple). Cette nomenclature permet aux chercheurs, aux éditeurs de logiciels, aux entreprises et aux administrations de parler le même langage lorsqu’ils évoquent une faille de sécurité.
Un sauvetage de dernière minute
Le programme est financé par l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA), un organisme public. Mais depuis l’arrivée de la nouvelle administration Trump, plusieurs programmes fédéraux ont vu leur financement réduit ou réorienté.
Or, le contrat octroyé à MITRE Corporation (une organisation américaine à but non lucratif) pour gérer le programme CVE devait expirer aujourd’hui, mercredi 16 avril. Sans renouvellement de la part du CISA, le programme CVE risquait un gel de ses activités, compromettant la mise à jour de la base. Une catastrophe pour la sécurité informatique, à une époque où la problématique n’a jamais été aussi importante.
La CISA a heureusement annoncé, au dernier moment, l’extension du contrat de la MITRE, qui va donc pouvoir continuer à opérer CVE. « Le programme CVE est d’une valeur inestimable pour la communauté cyber et constitue une priorité pour la CISA. La nuit dernière, la CISA a activé la période optionnelle du contrat afin de garantir qu’aucune interruption ne survienne dans les services critiques liés au CVE », a déclaré l’agence.
Mais voilà : le contrat court seulement sur 11 mois. Que se passera-t-il ensuite ? Juste avant que la CISA confirme son engagement, MITRE a créé une sauvegarde de l’historique des vulnérabilités sur GitHub pour éviter que toutes ces informations soient perdues en cas de « shutdown » de la base de données CVE.
L’avenir de cette base essentielle pour l’infrastructure du web passera certainement par la fondation CVE, formellement établie ce mercredi pour « garantir la pérennité, la stabilité et l’indépendance à long terme » du programme. La fondation, en développement depuis un an, est le travail d’une coalition de membres actifs de longue date. Plus d’informations seront données ces prochains jours sur la gouvernance, la transition et les possibilités d’engagement de la communauté.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : PCMag
