Au cours du week-end, les experts en sécurité ont commencé à paniquer. MITRE a annoncé que le gouvernement américain n’avait pas renouvelé le financement de la base de données Common Vulnerabilities and Exposures (CVE).
Yosry Barsoum, vice-président de MITRE, a averti que le contrat gouvernemental permettant à MITRE « de développer, d’exploiter et de moderniser CVE » expirerait le 16 avril. Cela signifierait, « de multiples impacts pour CVE, y compris la détérioration des bases de données et des avis de vulnérabilité, des fournisseurs d’outils, des opérations de réponse aux incidents et de toutes sortes d’infrastructures critiques ».
Toute la sécurité informatique dépend de CVE. Elle définit la norme pour suivre ce qui est (ou n’est pas) une faille de sécurité importante. Heureusement, alors qu’il ne restait plus beaucoup de temps, MITRE, l’organisation à but non lucratif qui supervise la base de données CVE, a annoncé qu’elle obtiendrait un financement pour 11 mois supplémentaires.
274 000 failles de sécurité divulguées depuis 1999
Le programme CVE a répertorié plus de 274 000 failles de sécurité divulguées publiquement depuis sa création en 1999. Il est utilisé par les gouvernements, l’industrie et les communautés de logiciels libres – en bref, tout le monde – pour suivre et coordonner les réponses aux failles logicielles. Par exemple, Microsoft, avec son Patch Tuesday, et les développeurs du noyau Linux utilisent tous deux les CVE pour suivre les problèmes de sécurité.
Tout le monde s’appuie sur les CVE car, bien qu’ils soient loin d’être parfaits, ils constituent la norme pour le suivi des problèmes de sécurité. Comme l’explique Jen Easterly, ancienne directrice de la Cybersecurity and Infrastructure Security Agency (CISA), sur LinkedIn :
Pensez au système CVE comme au système Dewey pour la cybersécurité. Il s’agit d’un catalogue mondial qui aide tout le monde – équipes de sécurité, fournisseurs de logiciels, chercheurs, gouvernements – à organiser les vulnérabilités et à en parler en utilisant le même système de référence. Sans lui, tout le monde utilise un catalogue différent ou n’utilise pas de catalogue du tout, personne ne sait s’il parle du même problème. Les défenseurs perdent un temps précieux à trouver ce qui ne va pas et pire encore, les pirates profitent de la confusion.
« La perte des services CVE sera catastrophique »
De plus, comme Ariadne Conill, cofondatrice de la société de sécurité technologique Edera, me l’a dit lors d’une interview, « bien qu’il existe des bases de données tierces, le monde s’est standardisé sur les identifiants CVE pour servir de pointeurs aux données sur les vulnérabilités. La perte des services CVE sera catastrophique ».
À l’avenir, poursuit M. Conill, « les bases de données sur les vulnérabilités devraient adopter les données liées pour référencer la même vulnérabilité dans des bases de données externes plutôt que de dépendre des identificateurs CVE. L’enrichissement des données sur les vulnérabilités peut se faire à l’aide de technologies de données liées telles que JSON-LD, qui a déjà été exploitée par SPDX 3 et OpenVEX. En conséquence, la base de données nationale sur les vulnérabilités ne sera plus nécessaire et les développeurs ne seront plus tributaires de décisions de ce type ».
Jusqu’à ce que cela se produise, cependant, CVE reste essentiel pour la sécurité de toutes les technologies.
Le DOGE entre en scène
Comment le CVE est-il passé si près de la fermeture ? Il s’agit de contrats fédéraux et de la confusion qui règne actuellement sur les finances du gouvernement américain. MITRE gère le programme CVE depuis 25 ans, sous l’égide du ministère américain de la sécurité intérieure (DHS) et de la CISA. L’organisateur joue le rôle d’éditeur du CVE et d’autorité de numérotation primaire du CVE (CNA), supervisant l’attribution d’identifiants CVE uniques qui servent de norme de référence mondiale pour les vulnérabilités.
MITRE gère également des programmes connexes tels que le Common Weakness Enumeration (CWE), qui classe les faiblesses des logiciels et du matériel.
Nous ne savons pas pourquoi le contrat n’a été renouvelé qu’au dernier moment. Nous savons cependant que, sous l’égide de la DOGE, les employés de la CISA avaient jusqu’à lundi minuit pour choisir entre rester en poste ou démissionner. Ceux qui restaient risquaient d’être licenciés, l’agence devant faire face à une réduction d’un tiers de ses effectifs…
« Sans CVE, les défenseurs sont fortement désavantagés face aux cybermenaces mondiales »
Le mardi 15 avril en fin de journée, la CISA a exécuté la période d’option du contrat afin de s’assurer qu’il n’y aurait pas d’interruption des services essentiels de CVE. Cette option ne dure que 11 mois et doit être renouvelée, faute de quoi nous nous retrouverons dans la même situation.
Bien que le risque immédiat de perturbation ait été évité, cet épisode met en lumière des préoccupations de longue date concernant la durabilité et la neutralité du programme CVE, qui est utilisé dans le monde entier tout en dépendant du financement du gouvernement américain. Ce n’est pas la première fois qu’un manque de fonds menace les CVE. L’été dernier, l’insuffisance des fonds a empêché quiconque de gérer le flot de nouveaux CVE.
Les membres du conseil d’administration de CVE ont créé la Fondation CVE, une organisation à but non lucratif destinée à préserver la stabilité et l’indépendance futures du programme. Kent Landfield, l’un des fondateurs, a déclaré que « CVE, en tant que pierre angulaire de l’écosystème mondial de la cybersécurité, est trop important pour être lui-même vulnérable. Sans CVE, les défenseurs sont fortement désavantagés face aux cybermenaces mondiales ».
Qu’est ce que le CVE ID ?
L’objectif de la Fondation CVE est d’éliminer ce point de défaillance unique dans l’écosystème de la gestion des vulnérabilités et de veiller à ce que le programme CVE reste une initiative communautaire de confiance à l’échelle mondiale.
Chaque alerte de sécurité de la liste CVE contient un identifiant unique appelé CVE ID. Il s’agit d’une description de la vulnérabilité et des informations de référence. Le système permet aux organisations, aux professionnels de la sécurité et aux fournisseurs de communiquer de manière claire et cohérente sur des failles de sécurité spécifiques.
Cela facilite le suivi, l’évaluation et les efforts de remédiation. La plupart des CVE se voient attribuer une note Common Vulnerability Scoring System (CVSS). Il s’agit d’une note numérique, allant de 0 à 10, où plus la note est élevée, plus la faille de sécurité est dangereuse. Les scores CVSS sont couramment utilisés pour décider de la rapidité avec laquelle un problème doit être corrigé.