L’alerte du Mitre a été entendue. L’organisation à but non lucratif s’inquiétait de la fin de son contrat avec le ministère de la sécurité intérieure des Etats-Unis pour assurer le maintien du programme CVE (pour Common Vulnerabilities and Exposures). Ce dernier expirait le 16 avril, sans aucun signe de renouvellement.
Par le biais d’une lettre adressée au conseil d’administration du CVE, le directeur du MITRE Yosry Barsoum avait alerté sur les nombreux risques en cas d’arrêt du programme :
« Si une interruption de service devait se produire, nous prévoyons de multiples impacts sur le CVE, notamment la détérioration des bases de données et des avis nationaux de vulnérabilité, des fournisseurs d’outils, des opérations de réponse aux incidents et plus généralement sur les infrastructures critiques », avait-il déclaré.
Face au tollé déclenché par une telle annonce, la Cybersecurity and Infrastructure Security Agency (CISA) est vite montée au créneau.
« Le programme CVE est précieux pour la communauté cybernétique et constitue une priorité pour la CISA. Hier soir, la CISA a mis en œuvre la période d’option du contrat afin de garantir la continuité des services CVE essentiels », a déclaré l’agence de cybersécurité étasunienne dans un message publié mercredi sur sa page d’accueil.
Selon les informations du site BleepingComputer, le contrat a été prolongé pour une période de onze mois, ce qui assure provisoirement la pérennité du programme. Il n’en reste pas moins que le MITRE a été durement affecté pas les coupes budgétaires. SecurityWeek indique que l’organisation a supprimé 400 postes ce mois-ci suite à l’annulation de 28 millions de dollars de contrats par l’administration Trump. En tout 1.200 postes seraient menacés représentant 40% des effectifs.
Créé en 1999, le programme CVE est devenu un instrument clé de la cybersécurité mondiale, répertoriant et standardisant dans sa base les failles de sécurité identifiées dans les logiciels, matériels et systèmes informatiques.