Le programme de sécurité CVE d’Apple, essentiel pour identifier et corriger les vulnérabilités, a récemment perdu son financement. Ce changement soulève des inquiétudes quant à la protection des utilisateurs et souligne l’importance de la collaboration entre entreprises technologiques comme Google et Microsoft pour garantir la cybersécurité.
Le programme de sécurité CVE
Le programme CVE, qui sert à suivre les vulnérabilités tant matérielles que logicielles, a perdu son financement fédéral, et ce, immédiatement. Ce programme, déployé par plusieurs géants de la technologie, dont Apple, est essentiel pour identifier les failles de sécurité dans leurs produits.
Le programme CVE offre un moyen simple et efficace pour toute personne ou organisation de signaler une vulnérabilité de sécurité qu’elle a découverte dans un produit technologique. Une fois qu’une vulnérabilité est signalée, elle se voit attribuer un identifiant unique comprenant « CVE- » suivi de l’année et d’un numéro de série. Cela permet aux autres d’identifier que le problème a été signalé et de mener leurs propres enquêtes pour aider l’entreprise technologique concernée à déterminer la gravité du problème.
Dans les cas où une vulnérabilité nécessite l’intervention de plusieurs entreprises technologiques, le système CVE facilite la coordination de leurs efforts. Google, Microsoft, et de nombreuses autres entreprises se fient au système CVE pour assurer la sécurité de leurs produits.
Bien que le programme soit sous l’égide du Département de la Sécurité intérieure des États-Unis, son fonctionnement est sous-traité à une entreprise privée, la MITRE Corporation.
Le gouvernement américain retire le financement fédéral
Hier, la MITRE Corporation a annoncé que son financement fédéral avait été retiré avec effet immédiat. Ce retrait entraîne des conséquences significatives pour le programme CVE ainsi que pour d’autres programmes connexes.
Le mercredi 16 avril 2025, le chemin de contrat actuel pour que la MITRE développe, opère et modernise le CVE et plusieurs autres programmes connexes, tels que le CWE, expirera […]
Si une rupture de service se produisait, nous prévoyons de multiples impacts sur le CVE, y compris la détérioration des bases de données nationales sur les vulnérabilités et les avis, les outils des fournisseurs, les opérations de réponse aux incidents et toutes les infrastructures critiques.
Le chercheur en sécurité Lukasz Olejnik a exprimé ses inquiétudes, estimant que cela entraînerait un « chaos total » dans le domaine de la cybersécurité.
En réduisant ce qui représente des coûts dérisoires, l’administration Trump va effectivement (au moins temporairement) paralyser le système de cybersécurité mondial — le CVE […]
La conséquence sera une rupture de coordination entre les fournisseurs, les analystes et les systèmes de défense — personne ne sera certain de se référer à la même vulnérabilité. Un chaos total et un affaiblissement soudain de la cybersécurité dans l’ensemble.
Le financement du CWE est également retiré
Comme l’a mentionné la MITRE, cette réduction retire également le financement du programme Common Weakness Enumeration (CWE). Ce programme connexe permet d’identifier les chemins de faiblesse communs dans les logiciels et le matériel qui pourraient avoir des implications sur la sécurité.
Le CWE fournit des directives qui aident les entreprises technologiques à s’assurer qu’elles n’introduisent pas de failles de sécurité dans leurs produits dès le départ, permettant ainsi à chacun d’apprendre des erreurs des autres.
L’avis de 9to5Mac
Les programmes CVE et CWE sont à la fois très efficaces et extrêmement rentables. Retirer leur financement est insensé, et nous serons tous exposés à un plus grand risque en conséquence.
Qu’est-ce que le programme de sécurité CVE ?
Le programme CVE fournit un moyen simple et efficace pour toute personne ou organisation de signaler une vulnérabilité de sécurité qu’elle a trouvée dans un produit technologique.
Pourquoi le financement fédéral du programme CVE a-t-il été supprimé ?
Le financement fédéral a été retiré, ce qui affecte directement le développement, l’exploitation et la modernisation du programme CVE, ainsi que d’autres programmes liés.
Quels sont les impacts de la suppression du financement sur la sécurité ?
La suppression du financement pourrait entraîner une détérioration des bases de données nationales sur les vulnérabilités et compromettre la coordination entre les fournisseurs, les analystes et les systèmes de défense, entraînant un affaiblissement de la cybersécurité.
Qu’est-ce que le programme CWE et son lien avec le CVE ?
Le programme CWE, qui a également perdu son financement, permet d’identifier les chemins de faiblesse courants dans les logiciels et le matériel ayant des implications en matière de sécurité, offrant des conseils pour aider les entreprises technologiques à éviter d’introduire des défauts de sécurité dans leurs produits.
Discussion about this post