Le programme CVE risque de prendre fin rapidement après que le DHS n'a pas renouvelé son contrat, laissant le suivi des failles de sécurité dans l'incertitude.
Le programme CVE du MITRE, lancé il y a 25 ans, prendra fin le 16 avril, le DHS n'ayant pas renouvelé son contrat de financement pour des raisons non précisées. Les experts estiment que la fin de ce programme, qui était au cœur de la plupart des programmes de défense en matière de cybersécurité, est une tragédie.
Reuters n'a pas pu établir la raison de la fin du contrat, mais la CISA, comme le reste du gouvernement fédéral, subit une réduction radicale des effectifs, motivée en partie par le service DOGE américain du magnat de la technologie Elon Musk.
Ça ressemble à une "victoire" pour Trump: il coupe les fonds, les gens prennent sur leur temps libre pour continuer le projet, l'impact négatif est minimisé…
Ce qui me semble une victoire dans une vision court termiste.
Si demain une puissance opposée aux USA (exemple, la Chine) décide de payer des gens pour reprendre le programme, est ce que ça va être une victoire ?
Des raisons les plus complotistes (à savoir que le gouvernement chinois va avoir des infos en avance sur les vulns) aux plus pragmatiques (ça va donner de l'influence, en organisant par exemple les réunions de travail en Chine, en permettant de menacer d'exclure certains pays du programme, en s'assurant que tout est traduit ou fait en mandarin en premier), rien ne me semble être une victoire sur le long terme.
Je ne comprends pas pourquoi on imaginerait un complot impliquant la Chine avec laquelle Trump est guerre commerciale alors qu'il est assez évident qu'il a un problème de soumission avec la Russie, coutumière d'attaques informatiques, et dont le leader suprême doit se réjouir de cette grande et bonne nouvelle.
Posté par octane .
Évalué à 8 (+6/-0).
Dernière modification le 16 avril 2025 à 14:36.
Je suis mitigé. CVE avait plein de problèmes, mais un gros avantage: il y avait un id unique pour les bugs.
Là, je sens venir le truc bien pénible. Genre la faille gcve-2025-12345 faut la corriger? Parceque redhat, qui est CNA, l'a assigné redhat-2025-54321 impactant drupal, alors qu'il s'agit d'un bug d'authent dans la lib php nommé php-errata-pre-8.52. Sauf que mon dahsboard indique que apache n'est pas en dernière version car le bug cve-canal-historique-2025-543210 est censé corriger la faille drupal. Du côté de chez drupal, ils ont choisi une convention de nommage différente, mais ils ne communiquent pas sur celui-ci car le bug impacte un module tierce partie qui n'est pas dans leur codebase.
Le développeur de la lib incriminé a froze son projet et communiqué en disant "j'ai perdu les clés github pour push du code et je m'en bat les steaks". Côté éditeur de WAF ils ont choisi de la nommer drupal-severity-low-update-001-2025 parcequ'un gugus sur reddit a dit que c'était grave et que le market doit justifier auprès des actionnaires du nombre de vulns corrigées (le nombre importe peu, il suffit qu'il soit supérieur à celui du concurrent).
Debian décide de push un update deb-quilt-updat0-php-sourcee, mais associe dedans l'ensemble des correctifs de la lib php ce qui couvre aussi un module WordPress, car entretemps, on s'est rendu compte qu'un coréen avait porté le module drupal sous Wordpress. Mais là, un pirate s'amuse et deface des sites wordpress en mettant une image de kiwi (l'animal, pas le fruit) donc la presse se met à parler de la faille "kiwi" et le gouvernement néo zélandais s'insurge et demande de communiquer sur cette faille par son numéro wordpress-0002 afin d'éviter des amalgames pénibles.
Bref. CVE c'était pas pratique, mais ça avait un avantage certain.
Alors, il y a sans doute déjà des doublons vu que justement, Red Hat et d'autres sont capable d'assigner des numéros via leur rôle de CNA. Donc il faut déjà s'occuper de ce souci, vu que les failles peuvent être découverte de façon indépendante (et envoyer de façon indépendante à des CNA séparées).
La question du score est aussi déjà un souci vu que différent groupes assignent différent scores comme illustré dans cet article avec le score de CVE-2022-28734.
Et j'aimerais aussi pointer l'article avant celui que je cite ou l'auteur indique quand même que la majeur partie des failles n'ont pas d'exploitation, avec moins de 1% dans l'année de publication de la faille. Et ça monte à 4% si on prends les exploitations de failles plus vielles et jamais corrigés.
Donc bon, je ne pense pas que ça change fondamentalement l'état des choses.
Alors, il y a sans doute déjà des doublons vu que justement, Red Hat et d'autres sont capable d'assigner des numéros via leur rôle de CNA.
CVE était censé préallouer des numéros pour chaque CNA afin d'éviter que le même numéro soit donné à deux vulns différentes.
Dans le cas ou doublon s'applique à la même vukn sous deux numéros, pourquoi pas, en imaginant que chercheur A remonte à redhat et chercheur B à canonical par exemple. Dans les faits, ce n'est pas très génant. Cela arrive aussi quand une vuln a deux CVE (auth bypass + code exec par exemple). Deux vulns, un produit, un seul correctif.
La question du score est aussi déjà un souci
ouais, mais là, c'est plus CVE, c'est cvss. Et ça fait partie des défauts. La manière de scorer change beaucoup. J'ai fait suffisamment de pentest pour savoir que le scoring est extrêmement souple. Le client veut tout plus bas que 7? pas de soucis. Le management râle et veut que tout soit à plus de 8? vazy mon gars.
la majeur partie des failles n'ont pas d'exploitation
pas d'exploitation ou pas de code d'exploitation public?
Ca dépend ce qu'on appelle exploitation. Une vuln qui permet de faire une SQLi sur un site web, c'est une exploit ou pas? (hint: ça peut dépendre de la base de son schéma, et des droits associés). Un heap overflow dans Chrome, c'est exploitable? Il te faudra pas mal de semaines de dev pour y répondre.
Travailler sur une vuln publiquement connue, qui a de grandes chances d'être patchée alors qu'on dev un poc d'exploit? Sérieusment? Alors oui, si la vuln est trivialement exploitable, pourquoi pas, sinon, mieux vaut chercher + pertinent. Et je parle pas des vulns inintéressantes (Dos, etc..)
pas d'exploitation ou pas de code d'exploitation public?
C'est expliqué dans le lien que j'ai donné, c'est basé sur cette liste. Alors on peut sans doute estimer que les chiffres varient un peu (car c'est compilé par une branche du gouvernement US, donc il y a a minima un biais sur les sources) mais je doute que ça varie au delà du simple au double, même en rajoutant des exploitations non repérés.
Posté par Voltairine .
Évalué à 3 (+1/-0).
Dernière modification le 17 avril 2025 à 10:43.
Nous parlons de failles ayant fait l'objet de CVE, donc connues. Il reste donc dans la définition des failles 0day uniquement les failles non corrigées.
Quel est le rapport le nombre de failles non corrigées et le nombre de failles non exploitées ?
Mai bon nombres de sociétés dépendent de ces données non? Alors elles vont mettre la main au porte feuille et s'organiser sous peine de perdre encore plus d'argent.
Ce dernier a, certes, finalement pu reconduire le contrat avec la CISA, mais 442 employés du MITRE ont été licenciés récemment après l'arrêt de contrats par le DOGE équivalent à 28 millions de dollars de budget, selon Virginia Business. Difficile de promettre une stabilité au projet dans ce contexte.
La question restera la même : fera-t-on encore l'autruche sur cette dépendance à l'argent public américain, car après-tout, le service est encore là où est-ce que ce sera l’électrochoc et un mouvement pour rendre ça indépendant verra le jour ? Mon expérience de cas passés ne me permet pas d'être très optimiste…
À mon avis, il faut apprendre à se passer des USA. Ça c'est le premier point. Ensuite, toujours à mon avis, si ce dispositif est essentiel et utile pour le monde entier, il faut que ça soit gérée par une ONG internationale de type ONU, UNESCO ou autre (les détails restant à définir évidemment). Donc rien de spécifiquement américain ni lié à une seule structure commerciale et financé par des apports d'origines variées.
Il serait peut-être temps que la branche informatique mouille enfin sa chemise pour que cela se fasse.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
C'est ce dont parle LWN. Pour l'instant, il y aurait 2 organismes avec des financements américains et européens. Mais c'est encore tout nouveau, ça va changer.
# L'essentiel en français
Posté par Voltairine . Évalué à 7 (+6/-1).
Le programme CVE risque de prendre fin rapidement après que le DHS n'a pas renouvelé son contrat, laissant le suivi des failles de sécurité dans l'incertitude.
Le programme CVE du MITRE, lancé il y a 25 ans, prendra fin le 16 avril, le DHS n'ayant pas renouvelé son contrat de financement pour des raisons non précisées. Les experts estiment que la fin de ce programme, qui était au cœur de la plupart des programmes de défense en matière de cybersécurité, est une tragédie.
Une autre source indique que :
Reuters n'a pas pu établir la raison de la fin du contrat, mais la CISA, comme le reste du gouvernement fédéral, subit une réduction radicale des effectifs, motivée en partie par le service DOGE américain du magnat de la technologie Elon Musk.
[^] # Re: L'essentiel en français
Posté par Misc (site web personnel) . Évalué à 7 (+4/-0).
Y a déjà des réactions:
https://www.thecvefoundation.org/
[^] # Re: L'essentiel en français
Posté par Christophe . Évalué à 8 (+6/-0).
Ça ressemble à une "victoire" pour Trump: il coupe les fonds, les gens prennent sur leur temps libre pour continuer le projet, l'impact négatif est minimisé…
[^] # Re: L'essentiel en français
Posté par Misc (site web personnel) . Évalué à 7 (+5/-1).
Ce qui me semble une victoire dans une vision court termiste.
Si demain une puissance opposée aux USA (exemple, la Chine) décide de payer des gens pour reprendre le programme, est ce que ça va être une victoire ?
Des raisons les plus complotistes (à savoir que le gouvernement chinois va avoir des infos en avance sur les vulns) aux plus pragmatiques (ça va donner de l'influence, en organisant par exemple les réunions de travail en Chine, en permettant de menacer d'exclure certains pays du programme, en s'assurant que tout est traduit ou fait en mandarin en premier), rien ne me semble être une victoire sur le long terme.
[^] # Re: L'essentiel en français
Posté par Maclag . Évalué à 5 (+2/-0).
Je ne comprends pas pourquoi on imaginerait un complot impliquant la Chine avec laquelle Trump est guerre commerciale alors qu'il est assez évident qu'il a un problème de soumission avec la Russie, coutumière d'attaques informatiques, et dont le leader suprême doit se réjouir de cette grande et bonne nouvelle.
[^] # Re: L'essentiel en français
Posté par Voltairine . Évalué à 5 (+3/-0).
Le gouverneur de l'oblast de Washington n'a aucun problème avec la Russie.
[^] # Re: L'essentiel en français
Posté par Misc (site web personnel) . Évalué à 5 (+2/-0). Dernière modification le 16 avril 2025 à 11:43.
Et https://gcve.eu/ aussi, comme annoncé sur https://infosec.exchange/@adulau/114346853273968549
[^] # Re: L'essentiel en français
Posté par octane . Évalué à 8 (+6/-0). Dernière modification le 16 avril 2025 à 14:36.
Je suis mitigé. CVE avait plein de problèmes, mais un gros avantage: il y avait un id unique pour les bugs.
Là, je sens venir le truc bien pénible. Genre la faille gcve-2025-12345 faut la corriger? Parceque redhat, qui est CNA, l'a assigné redhat-2025-54321 impactant drupal, alors qu'il s'agit d'un bug d'authent dans la lib php nommé php-errata-pre-8.52. Sauf que mon dahsboard indique que apache n'est pas en dernière version car le bug cve-canal-historique-2025-543210 est censé corriger la faille drupal. Du côté de chez drupal, ils ont choisi une convention de nommage différente, mais ils ne communiquent pas sur celui-ci car le bug impacte un module tierce partie qui n'est pas dans leur codebase.
Le développeur de la lib incriminé a froze son projet et communiqué en disant "j'ai perdu les clés github pour push du code et je m'en bat les steaks". Côté éditeur de WAF ils ont choisi de la nommer drupal-severity-low-update-001-2025 parcequ'un gugus sur reddit a dit que c'était grave et que le market doit justifier auprès des actionnaires du nombre de vulns corrigées (le nombre importe peu, il suffit qu'il soit supérieur à celui du concurrent).
Debian décide de push un update deb-quilt-updat0-php-sourcee, mais associe dedans l'ensemble des correctifs de la lib php ce qui couvre aussi un module WordPress, car entretemps, on s'est rendu compte qu'un coréen avait porté le module drupal sous Wordpress. Mais là, un pirate s'amuse et deface des sites wordpress en mettant une image de kiwi (l'animal, pas le fruit) donc la presse se met à parler de la faille "kiwi" et le gouvernement néo zélandais s'insurge et demande de communiquer sur cette faille par son numéro wordpress-0002 afin d'éviter des amalgames pénibles.
Bref. CVE c'était pas pratique, mais ça avait un avantage certain.
[^] # Re: L'essentiel en français
Posté par Misc (site web personnel) . Évalué à 4 (+1/-0).
Alors, il y a sans doute déjà des doublons vu que justement, Red Hat et d'autres sont capable d'assigner des numéros via leur rôle de CNA. Donc il faut déjà s'occuper de ce souci, vu que les failles peuvent être découverte de façon indépendante (et envoyer de façon indépendante à des CNA séparées).
La question du score est aussi déjà un souci vu que différent groupes assignent différent scores comme illustré dans cet article avec le score de CVE-2022-28734.
Et j'aimerais aussi pointer l'article avant celui que je cite ou l'auteur indique quand même que la majeur partie des failles n'ont pas d'exploitation, avec moins de 1% dans l'année de publication de la faille. Et ça monte à 4% si on prends les exploitations de failles plus vielles et jamais corrigés.
Donc bon, je ne pense pas que ça change fondamentalement l'état des choses.
[^] # Re: L'essentiel en français
Posté par barmic 🦦 . Évalué à 3 (+1/-0).
Ça fait plus de 0day a exploiter plus tard
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: L'essentiel en français
Posté par octane . Évalué à 2 (+1/-1).
CVE était censé préallouer des numéros pour chaque CNA afin d'éviter que le même numéro soit donné à deux vulns différentes.
Dans le cas ou doublon s'applique à la même vukn sous deux numéros, pourquoi pas, en imaginant que chercheur A remonte à redhat et chercheur B à canonical par exemple. Dans les faits, ce n'est pas très génant. Cela arrive aussi quand une vuln a deux CVE (auth bypass + code exec par exemple). Deux vulns, un produit, un seul correctif.
ouais, mais là, c'est plus CVE, c'est cvss. Et ça fait partie des défauts. La manière de scorer change beaucoup. J'ai fait suffisamment de pentest pour savoir que le scoring est extrêmement souple. Le client veut tout plus bas que 7? pas de soucis. Le management râle et veut que tout soit à plus de 8? vazy mon gars.
pas d'exploitation ou pas de code d'exploitation public?
Ca dépend ce qu'on appelle exploitation. Une vuln qui permet de faire une SQLi sur un site web, c'est une exploit ou pas? (hint: ça peut dépendre de la base de son schéma, et des droits associés). Un heap overflow dans Chrome, c'est exploitable? Il te faudra pas mal de semaines de dev pour y répondre.
Travailler sur une vuln publiquement connue, qui a de grandes chances d'être patchée alors qu'on dev un poc d'exploit? Sérieusment? Alors oui, si la vuln est trivialement exploitable, pourquoi pas, sinon, mieux vaut chercher + pertinent. Et je parle pas des vulns inintéressantes (Dos, etc..)
[^] # Re: L'essentiel en français
Posté par Misc (site web personnel) . Évalué à 4 (+1/-0).
C'est expliqué dans le lien que j'ai donné, c'est basé sur cette liste. Alors on peut sans doute estimer que les chiffres varient un peu (car c'est compilé par une branche du gouvernement US, donc il y a a minima un biais sur les sources) mais je doute que ça varie au delà du simple au double, même en rajoutant des exploitations non repérés.
[^] # Re: L'essentiel en français
Posté par barmic 🦦 . Évalué à 2 (+0/-0).
Je comprends pas. Ça donnerait plus de 0day.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: L'essentiel en français
Posté par Voltairine . Évalué à 3 (+1/-0). Dernière modification le 17 avril 2025 à 10:43.
Nous parlons de failles ayant fait l'objet de CVE, donc connues. Il reste donc dans la définition des failles 0day uniquement les failles non corrigées.
Quel est le rapport le nombre de failles non corrigées et le nombre de failles non exploitées ?
[^] # Re: L'essentiel en français
Posté par octane . Évalué à 3 (+1/-0).
En fait, je comprends pas. Qu'est ce qui donnerait plus de 0day?
Développer un code d'exploit pour une vulnérabilité connue?
[^] # Re: L'essentiel en français
Posté par Benoît Sibaud (site web personnel) . Évalué à 4 (+1/-0). Dernière modification le 16 avril 2025 à 18:12.
Et https://euvd.enisa.europa.eu/
# Pas de business modèle lié?
Posté par Jean Gabes (site web personnel) . Évalué à 7 (+5/-0).
Mai bon nombres de sociétés dépendent de ces données non? Alors elles vont mettre la main au porte feuille et s'organiser sous peine de perdre encore plus d'argent.
# L'argent est revenu ...
Posté par orfenor . Évalué à 3 (+1/-0).
… avec des changements pour assurer l'avenir
https://lwn.net/Articles/1017704/
[^] # Re: L'argent est revenu ...
Posté par Voltairine . Évalué à 3 (+1/-0).
Et un article de Next en français qui résume tout ceci.
Je cite tout de même le dernier paragraphe :
[^] # Re: L'argent est revenu ...
Posté par aiolos . Évalué à 8 (+6/-0).
La question restera la même : fera-t-on encore l'autruche sur cette dépendance à l'argent public américain, car après-tout, le service est encore là où est-ce que ce sera l’électrochoc et un mouvement pour rendre ça indépendant verra le jour ? Mon expérience de cas passés ne me permet pas d'être très optimiste…
[^] # Re: L'argent est revenu ...
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 5 (+2/-0).
À mon avis, il faut apprendre à se passer des USA. Ça c'est le premier point. Ensuite, toujours à mon avis, si ce dispositif est essentiel et utile pour le monde entier, il faut que ça soit gérée par une ONG internationale de type ONU, UNESCO ou autre (les détails restant à définir évidemment). Donc rien de spécifiquement américain ni lié à une seule structure commerciale et financé par des apports d'origines variées.
Il serait peut-être temps que la branche informatique mouille enfin sa chemise pour que cela se fasse.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: L'argent est revenu ...
Posté par orfenor . Évalué à 2 (+0/-0).
C'est ce dont parle LWN. Pour l'instant, il y aurait 2 organismes avec des financements américains et européens. Mais c'est encore tout nouveau, ça va changer.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.