Les choses vont bientôt se compliquer pour le Common Vulnerabilities and Exposures (CVE). Ce système est utilisé par de grandes entreprises de la tech comme Apple, Google ou Intel pour suivre et identifier les failles de cybersécurité. Il est financé par le gouvernement fédéral américain, qui va bientôt fermer les vannes. MITRE, l’organisation à l'origine de ce programme, a confirmé à The Verge que son contrat pour développer le CVE prendrait fin aujourd'hui.
Le CVE a pour but d’aider les ingénieurs à déterminer la gravité d’une faille et à établir les priorités afin de corriger le tir. Le programme dispose d’un moteur de recherche, et Apple ajoute régulièrement ses retours en lien avec ses différents systèmes. Les références sont données dans les notes de mises à jour d’Apple (par exemple ici), dans lesquels elle indique les multiples failles corrigées. Elles prennent souvent la forme d’une suite de chiffres et de l’année en cours, comme « CVE-2025-24202 ».
Une telle nouvelle effraye logiquement les spécialistes du domaine. Le chercheur en sécurité Lukasz Olejnik anticipe « un chaos total et un affaiblissement soudain de la cybersécurité dans tous les domaines ». Il estime que ce changement va amener une rupture de la coordination entre les entreprises, les analystes et les systèmes de défense, étant donné que personne ne pourra être sûr de faire référence à la même vulnérabilité. En face, MITRE nuance en affirmant que « le gouvernement continue à faire des efforts considérables » pour la soutenir et explique rester engagé pour le CVE. Cependant, elle note que le projet Common Weakness Enumeration (qui recense des faiblesses de manière plus globale) sera également touché.
La structure va peut-être devoir se réinventer. Un communiqué signé par la « CVE Foundation » a été publié dans la journée. Cette nouvelle organisation qui se dit gérée par « un groupe de membres actifs de longue date du conseil d'administration du CVE » promet de faire passer le projet sur une fondation à but non lucratif. Les membres expliquent s’être préparés à un arrêt des financements depuis des années, et que cette nouvelle structure se concentrera uniquement sur la mission du CVE. Son communiqué ayant été publié sur un site basique dont le nom de domaine a été enregistré dans la nuit, on attendra d’en savoir plus avant de s’enthousiasmer. La CVE Foundation promet des détails supplémentaires dans les jours qui viennent.
Mise à jour le 16 avril à 15:30 : Finalement, le gouvernement américain a décidé à la dernière minute de prolonger son financement. L’information a été confirmée à Forbes par l'Agence de cybersécurité et de sécurité des infrastructures américaines (CISA). « Le programme CVE est inestimable pour la cybercommunauté et constitue une priorité de la CISA », a déclaré un porte-parole, ajoutant qu'il n'y aura pas d'interruption des services CVE essentiels.
