Apple, comme d'autres entreprises technologiques, s'appuie sur le programme Common Vulnerability Exposure (CVE) pour identifier et suivre les vulnérabilités de sécurité de ses logiciels. Alors que le gouvernement fédéral a brusquement interrompu aujourd’hui le financement de la CVE, cette ressource essentielle en matière de cybersécurité est désormais confrontée à un avenir incertain.
En réponse à la crise, une coalition dirigée par des membres de longue date du conseil d'administration du CVE a annoncé aujourd'hui la création de la Fondation CVE, une organisation à but non lucratif dédiée à assurer le fonctionnement continu des systèmes d'identification des vulnérabilités.
« L'importance de CVE en tant que pierre angulaire de l'écosystème mondial de la cybersécurité ne peut être sous-estimée », a déclaré Kent Landfield, responsable de la fondation nouvellement créée. « Les CVE du monde entier s'appuient sur les identifiants et les données CVE dans leur travail quotidien, depuis les outils et conseils de sécurité jusqu'aux renseignements et réponses aux menaces. Sans les CVE, les défenseurs seraient extrêmement désavantagés dans leurs efforts de lutte contre les cybermenaces mondiales.
Le programme CVE fournit un système standardisé pour identifier et classer les vulnérabilités de sécurité dans tous les logiciels et matériels, y compris macOS, iOS, iPadOS d'Apple et d'autres produits. Lorsque les chercheurs en sécurité découvrent une vulnérabilité, un identifiant CVE unique leur est attribué afin que des entreprises comme Apple puissent coordonner les correctifs et les mises à jour.
MITRE est engagé par le département américain de la Sécurité intérieure pour gérer le projet. L'entreprise a confirmé que le financement gouvernemental avait expiré le 16 avril. Selon Reuters, l'expiration du programme pourrait être liée aux licenciements à grande échelle en cours au sein du gouvernement fédéral, provoqués en partie par le Département de l'efficacité gouvernementale (DOGE). L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), qui a été touchée par ces licenciements, a déclaré qu'elle « travaillait de toute urgence à atténuer l'impact », car le déficit de financement soudain pourrait perturber la gestion mondiale de la vulnérabilité.
Les experts en sécurité ont averti que sans CVE, les efforts de cybersécurité seraient confrontés à un « chaos complet », car un langage commun pour communiquer les vulnérabilités disparaîtrait effectivement. Un chercheur a comparé cela à « la suppression soudaine de tous les dictionnaires ».
La Fondation CVE nouvellement créée vise à transformer le projet en un modèle dédié à but non lucratif qui ne dépend pas d'un seul financement gouvernemental. Les organisateurs de la fondation ont révélé qu'ils se préparaient à cette possibilité depuis un an.
"Pour la communauté internationale de la cybersécurité, cette décision représente une opportunité d'établir des mécanismes de gouvernance qui reflètent la nature mondiale du paysage actuel des menaces", a déclaré la fondation dans son communiqué.
Les réductions de financement affectent également le programme connexe Common Weakness Enumeration (CWE), qui aide des entreprises comme Apple à découvrir les problèmes de sécurité potentiels avant qu'ils ne deviennent des vulnérabilités.
La Fondation CVE devrait annoncer plus de détails sur sa structure et ses plans de financement dans les prochains jours. Apple et d’autres grandes entreprises technologiques joueront probablement un rôle important en le soutenant en tant que composant essentiel de l’infrastructure de cybersécurité.