Voilà un quart de siècle que le programme CVE (Common Vulnerabilities and Exposures) façonne le paysage de la cybersécurité mondiale. Né en 1999 d’une idée de Dave Mann et Steve Christey, deux chercheurs de MITRE, ce système est devenu la pierre angulaire du partage d’informations sur les vulnérabilités informatiques. Ce qui a débuté comme un simple concept est aujourd’hui un écosystème robuste impliquant 413 organisations réparties dans plus de 40 pays, avec un total impressionnant de 270 768 vulnérabilités répertoriées.
Un système imparfait mais indispensable
« La valeur fondamentale de CVE continue de résonner : comment s’assurer que deux personnes ou plus dans différentes organisations peuvent examiner une vulnérabilité et savoir qu’elles parlent de la même chose ? »
Peter Sheingold, responsable principal de la cybersécurité chez MITRE
« C’est le pire système, à l’exception de tous les autres. »
Ben Edwards, chercheur principal chez Bitsight
L’explosion des CNA : opportunité ou problème ?
Le système CVE repose sur plusieurs composants clés, dont les CNA (CVE Numbering Authority), les entités habilitées à attribuer des identifiants CVE et à publier les enregistrements correspondants. En 2016, le programme a considérablement élargi le nombre d’organisations pouvant devenir des CNA, ce qui a entraîné une croissance exponentielle des vulnérabilités répertoriées.
« Depuis cette expansion, avec davantage de CNA capables d’émettre leurs propres CVE à leur propre rythme, ils peuvent cataloguer toutes les failles existantes. Je ne pense pas que ce soit une mauvaise chose ou que cela signifie nécessairement que nous sommes moins sécurisés. Probablement l’inverse, dans le sens où plus nous avons de visibilité sur ces CVE, mieux nous pouvons nous protéger. »
Ben Edwards
« Le secret de Polichinelle, c’est que beaucoup d’entreprises deviennent des CNA aujourd’hui pour cacher leurs vulnérabilités. Par exemple, si une entreprise est CNA, alors si vous êtes un chercheur et que vous trouvez une vulnérabilité ou un zero day et que vous voulez la divulguer correctement, la seule voie possible est de passer par cette entreprise. »
Tom Pace, PDG de NetRise
« Il existe de nombreux mécanismes dans l’écosystème pour empêcher cela, notamment lorsque des chercheurs externes découvrent une faille que le CNA nie. Nous avons une politique de résolution des différends et une politique d’escalade pour gérer précisément ces situations. »
Alec Summers, ingénieur principal en cybersécurité chez MITRE
Les défis de la qualité et de la complexité des données
« Le plus gros problème que je rencontre est la qualité des données. Le niveau d’exhaustivité et la qualité des enregistrements peuvent varier énormément. »
Jay Jacobs
Il ajoute :
« Nous constatons une amélioration de la part des CNA en matière de qualité et d’exhaustivité des données. Ce n’est pas parfait. Il manque encore des informations. »
Paradoxalement, certains experts estiment que l’augmentation du nombre de CVE améliore en réalité la qualité des enregistrements, car les fournisseurs de logiciels qui connaissent le mieux leurs failles sont les mieux placés pour les décrire.
« Ce qui est passionnant dans le programme CVE et dans certaines de ses récentes évolutions, c’est la capacité d’habiliter sa structure hiérarchique de racines et de CNA à commencer à fournir davantage d’informations métriques dans l’enregistrement lui-même. Vous avez des personnes qui sont habilitées par le format d’enregistrement CVE et qui sont les plus proches du produit, avec une connaissance de la cause première, par exemple. »
Alec Summers
Un stress test révélateur
Le gouvernement fédéral américain finance les trois principaux acteurs du CVE : le NIST (National Institute of Standards and Technology), la CISA (Cybersecurity and Infrastructure Security Agency) et MITRE. L’année dernière, le NIST a manqué de financement pour traiter les CVE en temps voulu, ce qui a créé un retard dans l’entrée des enregistrements CVE dans la National Vulnerability Database (NVD), une base de données CVE enrichie largement utilisée.
Ce retard a suscité l’inquiétude des défenseurs et a incité la CISA et d’autres organisations à combler les lacunes. Le NIST s’efforce de rattraper ce retard avec l’aide d’un fournisseur, ANALYGENCE Labs.
Michael Roytman, cofondateur d’Empirical Security, estime que bien que préoccupant, le retard de la NVD était
« en fait un bon test de stress pour comprendre ce qui arrive à l’écosystème lorsque l’une de ces bases de données tombe en panne, et les raisons pourraient être nombreuses : changements administratifs, financement, problèmes techniques. »
Michael Roytman
Le programme CVE pourrait subir un autre test de stress avec l’initiative DOGE de l’administration Trump, qui réduit les effectifs et le financement non seulement du NIST – qui a déjà licencié 500 employés – mais aussi de la CISA, qui a perdu des centaines d’employés lors d’au moins trois vagues de licenciements.
Un avenir malgré tout prometteur
Malgré ces obstacles et d’éventuels problèmes de financement, les experts restent optimistes quant à l’avenir du programme CVE.
« Ce n’est pas parfait, mais il a résisté à l’épreuve du temps. Un monde sans CVE deviendrait assez chaotique. »
Art Manion, expert CVE de longue date et directeur adjoint d’ANALYGENCE Labs
« Cela fait 25 ans que ce programme existe, et je ne sais pas s’il est possible de nommer un autre partenariat public-privé qui a duré aussi longtemps et continue d’avoir un tel impact. Je suis enthousiaste à l’idée de continuer à évoluer de manière à apporter de la valeur à la communauté. »
Alec Summers, MITRE
« Le fait que nous nous soyons réunis en tant qu’industrie pour créer ce bien public et que des fournisseurs construisent des produits entiers à partir de celui-ci est merveilleux et excellent, et devrait continuer à s’améliorer. »
Michael Roytman, Empirical Security
En 25 ans, le programme CVE est passé d’une simple idée à un système mondial indispensable, cataloguant plus de 40 000 nouvelles vulnérabilités par an. Malgré ses défauts et les défis à venir, il reste le pilier central de la coopération internationale en matière de cybersécurité, un témoignage remarquable de réussite dans un domaine où la constance est rare.
