La base de données CVE à but non lucratif devrait être mise hors ligne aujourd’hui même, car le ministère américain de la sécurité nationale interrompt son financement. Tant qu’une alternative n’est pas trouvée, le secteur de la cybersécurité perd ainsi l’une de ses principales perspectives.
La base de données CVE (Common Vulnerabilities and Exposures) est la base de données utilisée par de nombreux services de cybersécurité pour identifier les vulnérabilités découvertes. En ce sens, elle est un élément important du réseau mondial de cybersécurité. Mais ce service s’arrêtera ce mercredi.
Le contrat que la société à but non lucratif MITRE Corporation avait conclu avec l’agence américaine de cybersécurité et d’infrastructure (CISA), expire aujourd’hui et ne sera pas renouvelé. Voilà ce qu’a révélé MITRE et qui a été confirmé par le gouvernement américain. L’administration Trump s’est engagée depuis plusieurs semaines dans une politique de réduction drastique des coûts. Cela signifie que la base de données est à court d’argent et mise hors ligne.
A la recherche d’alternatives
La fermeture s’avère particulièrement brutale et pourrait causer des problèmes de cybersécurité à l’échelle internationale. La base de données, qui existe depuis 1999, est une norme de collecte, d’identification et d’enregistrement des vulnérabilités. Avant l’existence de CVE, presque toutes les firmes de sécurité se débrouillaient elles-mêmes, et il existait différentes normes et formats. En attribuant à chaque vulnérabilité un numéro CVE unique et une classification dans la base de données, les professionnels pouvaient communiquer plus facilement, et tout le monde savait clairement de quoi il était question.
La base de données était contrôlée par le gouvernement américain, même s’il s’agissait d’un projet international. Des centaines de chercheurs et d’entreprises de sécurité du monde entier contribuaient à alimenter et à actualiser la base de données. Il faudra donc patienter jusqu’à ce qu’une alternative soit trouvée et à quoi elle ressemblera. Il est possible que plusieurs firmes de sécurité collaborent pour créer une nouvelle base de données.
Les données CVE historiques resteront disponibles sur GitHub, mais ne seront donc pas actualisées dans les semaines à venir. Comme des dizaines de milliers de numéros CVE sont publiés chaque année, la gestion des vulnérabilités pourrait prochainement se compliquer pour les entreprises et les organisations.