Le programme commun des vulnérabilités et des expositions communs de Mitre (CVE) se terminera le 16 avril après que le DHS n’a pas renouvelé son contrat de financement pour des raisons non spécifiées. Les experts disent que la fin du programme, qui a servi de nœud pour la plupart des programmes de défense de la cybersécurité, est une tragédie.
Dans un développement étonnant qui démolit une pierre angulaire de la défense de la cybersécurité, l’organisation à but non lucratif de R&D Mitre a déclaré que son contrat avec le Département de la sécurité intérieure (DHS) pour maintenir les vulnérabilités et les expositions courantes (CVE), qui organise des vulnérabilités informatiques, expirera à minuit le 16 avril.
Yosry Barsoum, vice-président et directeur du Center for Securing the Homeland à Mitre, a écrit dans une missive au conseil d’administration du CVE: «Le mercredi 16 avril 2025, financement pour l’élaboration, exploiter et moderniser les programmes communs des vulnérabilités et des expositions (CVE®), tels que le programme de réinstallation de la faiblesse (CWE ™) du gouvernement Dans le programme, et Mitter reste attaché à CVE en tant que ressource mondiale. »
Programme de fin de CVE considéré comme «tragique»
Sasha Romanosky, chercheuse en politique senior chez Rand Corporation, a qualifié la fin du programme CVE en tant que «tragique», un sentiment résolu par de nombreux experts de la cybersécurité et du CVE a contacté des commentaires.
« La dénomination et l’attribution de CVE aux packages et versions logiciels sont le fondement sur lequel l’écosystème de vulnérabilité logicielle est basé », a déclaré Romanosky. « Sans cela, nous ne pouvons pas suivre les vulnérabilités nouvellement découvertes. Nous ne pouvons pas marquer leur gravité ou prédire leur exploitation. Et nous ne serions certainement pas en mesure de prendre les meilleures décisions concernant les corriger. »
Il a ajouté: «J’espère que toute interruption est brève et que si le contrat ne parvient pas à être renouvelé, d’autres parties prenantes de l’écosystème peuvent reprendre là où MITER s’était arrêté. Le cadre fédéré et l’ouverture du système rendent cela possible, mais ce sera une route rocheuse si les opérations ont besoin de passer à une autre entité.»
Programme CVE de Mitre
Le programme CVE de Mitre est un pilier fondamental de l’écosystème mondial de la cybersécurité et est la norme de facto pour identifier les vulnérabilités et guider les programmes de gestion de la vulnérabilité des défenseurs. Il fournit des données fondamentales aux produits des fournisseurs à travers la gestion de la vulnérabilité, l’intelligence cyber-menace, les informations de sécurité, la gestion des événements et la détection et la réponse des points finaux.
Bien que le National Institute of Standards and Technology (NIST) enrichit les enregistrements de Mitre CVE avec des informations supplémentaires dans sa base de données nationale de vulnérabilité (NVD), et CISA a aidé à enrichir les enregistrements de CVE de Mitre avec son programme «Vulnrichment» en raison des défilés de financement dans le programme NVD, Mitre est l’origine des enregistrements CVE et des services à la source primaire pour l’identification des Flaws de la sécurité.
«Premièrement, le modèle fédéré et les autorités de numérotation CVE (CNA) ne peuvent plus attribuer des identifiants et envoyer des informations à Mitre pour une publication rapide. Deuxièmement, tout cela est le fondement de la base de données nationale de vulnérabilité (NVD), qui est déjà au-delà de la difficulté, avec un rétrodig de plus de 30 000 vulnérabilités et les annonces récentes de plus de 80 000 personnes» (signifiant ne seront pas entièrement analysées par leurs normes actuelles). «
Martin a ajouté: «Troisièmement, chaque entreprise qui maintient« sa propre base de données de vulnérabilité »qui est essentiellement du rouge à lèvres sur le CVE Pig devra trouver d’autres sources d’intelligence. Quatrième Intelligence de la vulnérabilité.
Pourquoi le contrat se termine-t-il?
On ne sait pas ce qui a conduit à la décision de DHS de mettre fin au contrat après 25 ans de financement du programme très apprécié. L’administration Trump, principalement par le biais de l’initiative du ministère de l’efficacité du gouvernement d’Elon Musk, a réduit les dépenses publiques à tous les niveaux, en particulier à la Cybersecurity and Infrastructure Security Agency (CISA), par laquelle DHS finance le programme Mitre CVE.
Bien que la CISA ait déjà effectué deux réductions de financement, les rapports de presse suggèrent que près de 40% du personnel de l’agence, soit environ 1 300 employés, devraient toujours être liés. Cependant, les sources affirment que par rapport aux coupes budgétaires effectuées ailleurs dans le gouvernement fédéral, les frais de gestion du programme CVE sont mineurs et «ne casseront pas la banque».
Que se passe-t-il ensuite?
Des sources proches du programme CVE indiquent qu’à partir de minuit le 15 avril, Mitre n’ajoutera plus d’enregistrements à sa base de données CVE. Cependant, des enregistrements historiques de CVE seront disponibles sur GitHub.
La vraie question est de savoir si une alternative du secteur privé au programme de Mitre émerge.
Garrity a posté sur LinkedIn: «Compte tenu de l’incertitude actuelle entourant quels services chez Mitre ou dans le programme CVE peuvent être affectés, VulnCheck a réservé de manière proactive 1 000 CVE pour 2025», ajoutant que VulnCheck «continuera de fournir des affectations CVE à la communauté dans les jours et les semaines à l’avance».
