Cybersécurité : la Russie lance un test grandeur nature pour protéger ses systèmes

Depuis 1er avril 2025, la Russie entame un vaste programme pour tester et renforcer la sécurité de ses systèmes d’information gouvernementaux.

Dans un contexte de tensions géopolitiques persistantes et d’accélération de la numérisation des services publics, la Russie inaugure un projet ambitieux : un test de grande ampleur destiné à évaluer et renforcer la sécurité de ses systèmes d’information étatiques. Ce programme, qui s’étendra jusqu’à la fin de l’année 2027, implique les principaux organes du pouvoir exécutif ainsi que leurs établissements subordonnés. L’objectif est clair : garantir l’inviolabilité des données publiques et affirmer la souveraineté numérique du pays face aux menaces cybernétiques croissantes.

Au cœur de cette initiative se trouve la volonté d’instaurer une évaluation indépendante et rigoureuse de la sécurité des systèmes informatiques gouvernementaux. Plus de quarante plateformes numériques seront passées au crible, en particulier celles qui manipulent des volumes importants de données personnelles, comme les services administratifs en ligne, les registres d’État ou encore les bases de données fiscales. Cette opération vise à détecter d’éventuelles failles, à évaluer la résilience des systèmes en cas d’attaque et à renforcer les protocoles de sécurité déjà en place. Il faut dire aussi que les données des Russes ont particulièrement soufferts ces derniers mois, attirant les pirates informatiques locaux et extérieurs, sans oublier les hacktivistes.

Les experts mobilisés auront pour mission de simuler différents scénarios d’attaque, afin d’identifier les vulnérabilités techniques et organisationnelles. L’objectif ne se limite pas à la prévention des cyberattaques : il s’agit aussi de limiter les risques de fuites d’informations, de garantir l’intégrité des données et de préserver la continuité des services en cas d’incident. Ce processus s’inscrit dans une démarche proactive, à l’heure où les cybermenaces se multiplient et gagnent en complexité.

« Ce test contribuera à poser les bases d’une nouvelle architecture de cybersécurité nationale », a déclaré un représentant du ministère du Développement numérique.

Mais ce n’est pas seulement une affaire de technique : à travers ce projet, les autorités russes entendent aussi réaffirmer leur stratégie en faveur du « souverainisme numérique ». Dans un monde où les grandes puissances se livrent une guerre technologique discrète mais intense, la Russie veut se doter de standards propres en matière de cybersécurité, moins dépendants des solutions occidentales, et adaptés à son propre écosystème numérique. Les différentes censures américaines obligent le pays à se tourner vers ses propres solutions.

Le programme prévoit ainsi la mise en place de nouveaux protocoles d’échange d’informations entre administrations, afin de renforcer l’interopérabilité tout en assurant la confidentialité des données. La création de ces circuits sécurisés vise non seulement à optimiser l’efficacité administrative, mais aussi à limiter les points de vulnérabilité, souvent situés aux interfaces des systèmes. La modernisation des infrastructures informatiques de l’État est aussi au cœur du projet, avec un accent particulier sur l’automatisation des contrôles de sécurité et la généralisation des technologies de chiffrement.

Un cap vers le souverainisme numérique ?

L’un des aspects les plus significatifs du programme est sa dimension géostratégique. En effet, l’enjeu de la cybersécurité dépasse désormais le cadre purement technique pour devenir un levier d’indépendance politique et économique. Dans ce contexte, le renforcement de la souveraineté numérique devient un objectif stratégique central pour la Russie. Cela passe par le développement de solutions locales, la réduction de la dépendance aux logiciels étrangers et la promotion de standards nationaux dans la gestion des systèmes d’information.

La volonté de bâtir une infrastructure numérique souveraine se traduit également par le soutien accru à l’écosystème technologique russe. Les entreprises nationales spécialisées dans la cybersécurité, le développement logiciel et les solutions d’intelligence artificielle sont largement mobilisées (et motivées à l’être) dans le cadre de ce test. Il s’agit non seulement de renforcer les compétences locales, mais aussi de stimuler l’innovation dans un secteur considéré comme critique pour l’avenir du pays.

Par ailleurs, le programme vise à renforcer la culture de la cybersécurité au sein même des institutions publiques. Les agents administratifs seront formés aux nouvelles procédures, aux réflexes de protection des données et à la gestion des incidents. Cette dimension pédagogique est jugée essentielle, car la sécurité d’un système ne repose pas uniquement sur ses outils techniques, mais aussi sur les comportements humains qui l’entourent.

La mise en œuvre du test devrait également s’accompagner d’un suivi transparent. Un rapport annuel présentera les avancées du programme, les vulnérabilités identifiées et les solutions mises en place. Ce suivi permettra d’impliquer l’ensemble des acteurs du numérique public dans une dynamique d’amélioration continue, fondée sur l’évaluation et l’adaptation permanente.

Dans ce cadre, la conversion des solutions technologiques en normes officielles est prévue à l’issue de l’expérimentation. Cela signifie que les méthodes ayant démontré leur efficacité pourront être généralisées à l’ensemble de l’appareil d’État.

Vers la fin des certificats SSL longue durée

À partir de 2029, les certificats SSL/TLS ne seront valides que pendant 47 jours. Une révolution discrète mais cruciale dans la sécurité du web vient d’être actée.

C’est un changement majeur dans l’infrastructure invisible du web. Le CA/Browser Forum, organe central réunissant les géants du numérique et les autorités de certification, a voté pour une réduction drastique de la durée de validité des certificats SSL/TLS. Actuellement fixée à 398 jours, cette durée sera ramenée à seulement 47 jours d’ici mars 2029. L’objectif affiché : améliorer la sécurité des connexions HTTPS en limitant la période pendant laquelle un certificat compromis pourrait être exploité. Si cette évolution bénéficie du soutien unanime des grands noms du secteur – Apple, Google, Microsoft et Mozilla en tête – elle suscite aussi l’inquiétude des administrateurs système. Car derrière cette décision technique se cache une transformation radicale de la gestion des certificats numériques, qui exigera des entreprises une adaptation rapide vers des systèmes d’automatisation plus robustes.

Le web est en mutation. Si l’internaute lambda ne remarque jamais les certificats SSL/TLS, ces petits fichiers sont pourtant les garants de la confidentialité et de la sécurité de ses échanges en ligne. En garantissant qu’un site est bien celui qu’il prétend être et en chiffrant les données échangées, ces certificats sont au cœur de l’architecture du HTTPS, le protocole sécurisé devenu standard sur internet.

15 mars 2026 : nouveaux certificats émis, y compris leur validation de contrôle de domaine (DCV), devront être renouvelés tous les 200 jours.
15 mars 2027 : Cette durée de validité sera réduite à 100 jours.
15 mars 2029 : nouveaux certificats SSL/TLS limités à 47 jours, et les DCV à seulement 10 jours.

Jusqu’ici, les certificats pouvaient être valides pendant plus d’un an. Mais dès le 15 mars 2026, cette durée tombera à 200 jours. Et trois ans plus tard, en 2029, la validité maximale sera divisée par plus de huit : un certificat SSL/TLS ne pourra être émis que pour 47 jours. La validation de contrôle de domaine (DCV), qui garantit que le demandeur du certificat contrôle bien le nom de domaine, tombera quant à elle à 10 jours.

« Le soutien unanime des grandes plateformes numériques montre à quel point la sécurité est devenue une priorité absolue. »

Cette décision n’est pas un coup de tête. En réalité, elle s’inscrit dans une tendance amorcée il y a plusieurs années. En 2020, Apple avait déjà pris l’initiative de refuser, via Safari, les certificats valables plus de 13 mois. Depuis, la firme de Cupertino n’a cessé de pousser pour une réduction encore plus sévère de cette durée, arguant que des certificats plus courts limitent les risques d’exploitation en cas de compromission.

Le raisonnement est simple : si un certificat est volé ou compromis, plus sa durée est courte, moins l’attaquant peut l’exploiter. Un certificat valable 398 jours donne aux cybercriminels plus d’un an de champ libre. Un certificat valable 47 jours, c’est autant de jours de moins pour commettre des attaques ou intercepter des données. De quoi limiter significativement les dégâts potentiels en cas de faille.

Mais ce changement a un coût. Pour les autorités de certification, c’est l’assurance d’un marché plus dynamique, avec des renouvellements plus fréquents. Cela pourrait sembler cynique, mais dans les faits, des acteurs comme Let’s Encrypt proposent déjà des certificats gratuits valables seulement 90 jours – et encouragent même l’automatisation complète de leur renouvellement. Leur modèle, basé sur des API et des scripts, montre que l’approche est viable, à condition d’avoir une infrastructure moderne.

C’est justement là que le bât blesse. Car toutes les entreprises ne sont pas prêtes. Dans les forums spécialisés comme Reddit, les réactions des administrateurs système oscillent entre résignation et colère. Beaucoup soulignent que dans un monde idéal, entièrement automatisé, ce changement ne poserait pas de problème. Mais dans la réalité quotidienne des infrastructures informatiques, souvent vieillissantes ou dépendantes de systèmes propriétaires rigides, la mise en place de processus de renouvellement automatique représente un défi de taille.

« La réduction à 47 jours est un pari sur l’avenir, mais elle oblige les entreprises à revoir en profondeur leurs pratiques de gestion des certificats. »

Certains équipements industriels, notamment dans les secteurs de l’énergie, de la santé ou des transports, reposent encore sur des systèmes où le renouvellement d’un certificat est une opération manuelle, parfois lourde, parfois risquée. La multiplication des certificats courts risque donc, à court terme, de générer un surcroît de travail et des coûts d’adaptation non négligeables.

Les cinq abstentions au sein du CA/Browser Forum – Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems et TWCA – reflètent cette tension entre idéal de sécurité maximale et réalité de terrain. Aucun acteur n’a voté contre, mais l’unanimité n’était pas totale. Cela montre que, malgré les avantages évidents sur le plan de la sécurité, tous ne sont pas convaincus de la faisabilité immédiate d’une telle transition.

Du côté des éditeurs de navigateurs, en revanche, le consensus est clair. Apple, Google, Microsoft et Mozilla ont tous approuvé la réduction drastique. Leur position est stratégique : en imposant ces règles via leurs navigateurs, ils forcent de facto tout l’écosystème à s’adapter. Les entreprises qui ne suivent pas verront leurs sites marqués comme non sécurisés, ce qui, à l’heure de la confiance numérique, est un désastre d’image.

Cette pression par le haut s’accompagne toutefois d’une certaine souplesse dans le calendrier. En introduisant une étape intermédiaire en 2026, le CA/Browser Forum espère laisser le temps aux entreprises de moderniser leurs outils. L’enjeu est aussi de préparer le web à des menaces futures, notamment celles que pourrait faire peser l’arrivée de l’informatique quantique sur les systèmes cryptographiques actuels. La flexibilité offerte par des certificats à courte durée permettra de réagir plus vite à de nouveaux risques.

Dans ce contexte, les entreprises doivent désormais considérer la gestion des certificats non plus comme une tâche ponctuelle, mais comme un processus intégré à part entière dans leur politique de cybersécurité. Les outils d’automatisation comme Certbot, déjà largement utilisés avec Let’s Encrypt, devraient devenir la norme. De nouveaux standards d’orchestration et d’intégration dans les pipelines DevOps sont également en cours d’élaboration pour accompagner cette transition.

Ce tournant technique, bien que discret, marque un changement de paradigme. La sécurité n’est plus une barrière à franchir une fois pour toutes, mais une boucle continue, un processus dynamique qui s’adapte en permanence. Et les certificats SSL/TLS, autrefois perçus comme de simples formalités, deviennent les marqueurs de cette nouvelle exigence.

La vraie question, désormais, est de savoir si l’ensemble des acteurs du web seront capables de suivre le rythme imposé par cette évolution. Car si les grandes plateformes disposent des moyens pour s’adapter rapidement, ce sont les petites structures, les administrations et les secteurs aux infrastructures figées qui risquent de se retrouver en difficulté.

La réduction à 47 jours des certificats SSL/TLS pourrait bien renforcer la sécurité du web, mais elle impose une refonte complète des pratiques de gestion des certificats. Dans un monde numérique en perpétuelle évolution, les entreprises sauront-elles faire preuve de l’agilité nécessaire pour relever ce défi ?

Sécurité en alerte : Microsoft corrige 126 failles, dont une déjà exploitée

Microsoft a publié une mise à jour de sécurité massive pour corriger 126 vulnérabilités, dont une, critique, est déjà activement exploitée par des groupes de hackers.

C’est un rituel désormais bien rôdé : chaque deuxième mardi du mois, Microsoft déploie son « Patch Tuesday », la grande mise à jour mensuelle de sécurité de ses produits. Mais celle d’avril 2025 a fait l’effet d’un coup de semonce dans le secteur. Avec pas moins de 126 failles comblées, dont 11 jugées critiques, 112 importantes et 2 de moindre gravité, le géant de Redmond montre l’ampleur des menaces qui pèsent aujourd’hui sur les utilisateurs de ses systèmes. Surtout, une vulnérabilité particulièrement dangereuse, identifiée sous le code CVE-2025-29824, attire toutes les attentions : déjà exploitée activement dans la nature, elle concerne un composant central de Windows et laisse des millions d’appareils à la merci de pirates.

La faille CVE-2025-29824 touche le pilote Windows CLFS (Common Log File System), un composant chargé de la gestion des journaux système. La nature de la brèche est connue : il s’agit d’une erreur de type use-after-free, un bug de gestion de mémoire bien documenté qui permet, dans certains cas, à un attaquant local de prendre le contrôle complet de la machine. Le plus inquiétant est que cette faille ne nécessite pas de droits administrateur pour être exploitée. Un simple accès local suffit pour élever ses privilèges au niveau système, ouvrant la voie à toutes les dérives, notamment l’installation de rançongiciels. Microsoft a confirmé que cette vulnérabilité était déjà utilisée dans des attaques réelles.

La faille critique CVE-2025-29824, activement exploitée, permet à un utilisateur local d’obtenir un contrôle total sur un système Windows sans droits d’administrateur.

Ce type d’attaque n’en est pas à son premier coup d’essai. Depuis 2022, c’est la sixième vulnérabilité du même genre exploitée dans CLFS, ce qui souligne une faiblesse structurelle dans le composant. En réaction à la menace, la CISA (Cybersecurity and Infrastructure Security Agency) américaine a ajouté cette faille à son catalogue des vulnérabilités activement exploitées. Elle impose aux agences fédérales de déployer le correctif avant le 29 avril 2025, une mesure exceptionnelle qui traduit l’urgence de la situation.

Mais tout le monde ne peut pas encore respirer. Le correctif de Microsoft n’est pas disponible pour certaines versions de Windows 10, en particulier les éditions 32 et 64 bits, toujours largement utilisées dans le monde professionnel comme chez les particuliers. Cela signifie que des millions d’appareils restent vulnérables à cette faille, sans solution immédiate. Pour ces utilisateurs, la seule défense reste la prudence et la limitation des accès physiques aux machines.

Outre CVE-2025-29824, la vague de correctifs d’avril couvre un large éventail de services et d’applications critiques. Des failles ont été corrigées dans des protocoles d’authentification comme Kerberos, dans le bureau à distance RDP, le service LDAP, la suite bureautique Microsoft Office (dont Excel), ainsi que dans la pile réseau TCP/IP de Windows et l’hyperviseur Hyper-V. Plusieurs de ces vulnérabilités permettaient l’exécution de code à distance, ce qui, dans les mains d’un pirate, peut se traduire par une prise de contrôle totale du système ciblé.

Certaines failles corrigées ce mois-ci permettaient l’exécution de code à distance, ouvrant la porte à des compromissions totales de système.

Ces failles, combinées à la montée en puissance des attaques par rançongiciel, posent de sérieuses questions sur la résilience des infrastructures informatiques. Aujourd’hui, les cyberattaques ne visent plus seulement les grandes entreprises ou les institutions : elles touchent aussi les PME, les collectivités, les hôpitaux et les particuliers. Chaque faille non corrigée devient une porte d’entrée potentielle pour des groupes cybercriminels de plus en plus organisés, souvent liés à des États.

La publication de cette mise à jour n’est pas un événement isolé. Avril 2025 a vu un véritable branle-bas de combat dans l’ensemble de l’industrie technologique. Outre Microsoft, des entreprises comme Adobe, Google, Apple, Cisco, HP, AMD, Mozilla, Fortinet, SAP, Zoom et les éditeurs de distributions Linux ont également publié des mises à jour de sécurité importantes. Cela montre à quel point les failles sont omniprésentes, souvent découvertes par des chercheurs en cybersécurité, mais aussi parfois après avoir été utilisées à mauvais escient.

Pour les professionnels de l’IT et les responsables de la sécurité, cette cascade de correctifs signifie des heures de travail supplémentaires pour tester, déployer et vérifier les mises à jour dans des environnements parfois complexes. Le moindre oubli, le moindre retard peut avoir des conséquences dramatiques. Dans ce contexte, les politiques de gestion des correctifs (patch management) deviennent une composante essentielle de la stratégie de cybersécurité d’une organisation.

Microsoft, de son côté, continue d’améliorer ses systèmes de détection et de réponse face aux menaces. L’entreprise s’appuie sur des données récoltées à travers son vaste écosystème pour repérer rapidement les nouvelles attaques. Mais face à l’ingéniosité des cybercriminels, la simple réactivité ne suffit plus. Il faut une approche proactive, avec des audits réguliers, une réduction de la surface d’attaque et une sensibilisation constante des utilisateurs aux bons comportements.

À moyen terme, la dépendance à des composants anciens et parfois mal sécurisés comme CLFS interroge sur la durabilité des architectures logicielles actuelles. Faut-il réécrire des pans entiers du code de Windows pour éviter les mêmes erreurs ? Est-il encore viable de maintenir autant de versions du système d’exploitation en parallèle ? Ces questions, stratégiques, dépassent le cadre technique et engagent l’ensemble de l’écosystème numérique.

Enfin, cette actualité rappelle une réalité trop souvent ignorée : la cybersécurité n’est plus un sujet réservé aux experts. C’est une préoccupation quotidienne, qui touche directement la vie des utilisateurs et la stabilité des entreprises. Face à des menaces de plus en plus sophistiquées, la seule stratégie gagnante reste la vigilance.

Faux convertisseur PDF : adieu vos cryptomonnaies !

Un paquet malveillant déguisé en convertisseur PDF a été utilisé pour pirater les portefeuilles de cryptomonnaies Atomic Wallet et Exodus, exposant des milliers d’utilisateurs à une fraude invisible.

 Un paquet open source diffusé via le gestionnaire npm, baptisé pdf-to-office, prétendait offrir une fonction anodine de conversion de fichiers PDF vers des formats Microsoft Office. En réalité, il s’agissait d’un cheval de Troie sophistiqué, conçu pour infiltrer deux des portefeuilles de cryptomonnaies les plus populaires — Atomic Wallet et Exodus — et rediriger subrepticement les transactions vers des adresses contrôlées par les cybercriminels. Cette attaque ciblée souligne à nouveau les failles béantes de la chaîne d’approvisionnement logicielle dans l’univers de la blockchain, où la confiance peut être compromise par une simple ligne de code.

Ce n’est pas la première fois que des paquets npm sont détournés à des fins malveillantes, mais l’attaque révélée se distingue par sa précision chirurgicale et son camouflage élaboré. Le paquet pdf-to-office ne suscitait a priori aucun soupçon : ses métadonnées semblaient légitimes, sa description technique cohérente, et il remplissait même partiellement sa promesse en convertissant certains fichiers PDF. Mais une fois installé sur la machine d’un développeur ou d’un utilisateur peu méfiant, le vrai travail du code malveillant commençait.

Dès l’exécution, le script inspectait le système local pour détecter la présence des portefeuilles Atomic Wallet ou Exodus. En fonction de la version installée, il allait modifier directement certains fichiers critiques au sein de leurs répertoires. Le plus inquiétant : les applications continuaient à fonctionner normalement, sans éveiller la moindre alerte de la part de l’utilisateur. L’interface restait identique, les soldes n’étaient pas altérés, les fonctions paraissaient intactes. Pourtant, à l’envoi de fonds, l’adresse du destinataire était discrètement remplacée par une adresse appartenant à l’attaquant.

« Même supprimé, le virus continue d’agir dans l’ombre : seul un reformatage complet des portefeuilles permet d’en venir à bout. »

Cette technique d’injection silencieuse est particulièrement dangereuse, car elle détourne des fonds en toute discrétion, souvent sans que les victimes ne s’en rendent compte avant que le mal ne soit fait. Ce type d’attaque est difficile à détecter à l’œil nu, car elle ne repose pas sur un simple keylogger ou une interception réseau, mais sur la modification interne des composants de logiciels de confiance.

Le script malveillant effectuait un archivage de fichiers provenant de la configuration d’AnyDesk, un logiciel populaire de prise de contrôle à distance. Ces archives étaient ensuite exfiltrées vers un serveur externe, ce qui pourrait indiquer soit une tentative de nettoyage de traces, soit la préparation d’une attaque plus vaste ciblant des environnements professionnels ou des infrastructures critiques. Ce volet secondaire de l’attaque suggère un niveau de sophistication élevé, digne de groupes de cybercriminalité organisés.

L’attaque met en lumière les faiblesses structurelles de l’écosystème npm, qui repose sur la confiance entre développeurs.

À l’heure actuelle, le paquet pdf-to-office a été retiré de la plateforme npm. Mais les conséquences persistent. Car même après la suppression du paquet et son désinstallation manuelle, les fichiers infectés dans les portefeuilles restent actifs. En d’autres termes, le logiciel reste compromis à moins d’être complètement réinstallé depuis des sources officielles. Cette persistance pose un défi majeur pour la remédiation : de nombreux utilisateurs n’imaginent pas qu’une simple dépendance de développement puisse infecter leur portefeuille crypto, et continuent à utiliser leur logiciel sans se douter du détournement.

Les versions officielles d’Atomic Wallet et Exodus, disponibles sur les sites des éditeurs, n’ont pas été affectées. Seules les installations locales ayant incorporé ce paquet via une chaîne de dépendances contaminée sont concernées. Cela n’empêche pas de tirer une sonnette d’alarme : une fois de plus, c’est l’intégrité de la chaîne d’approvisionnement logicielle qui est en jeu. Une menace devenue récurrente, après des scandales retentissants comme celui de SolarWinds ou de l’attaque contre 3CX.

Coupure brutale dans la cybersécurité : la base CVE s’éteint

Le gouvernement américain a mis fin au financement de la base de données CVE, pilier mondial de la cybersécurité, provoquant sa fermeture immédiate et laissant un vide critique dans la détection des vulnérabilités… pour faire marche arrière ensuite !

C’est un tournant inquiétant pour l’écosystème de la cybersécurité mondiale. Ce mercredi, la célèbre base de données CVE (Common Vulnerabilities and Exposures), référence universelle en matière d’identification des failles informatiques, s’éteint. En cause : la fin du contrat entre la MITRE Corporation, organisme à but non lucratif gestionnaire du projet, et la CISA, l’agence fédérale américaine chargée de la cybersécurité. Un non-renouvellement abrupt, inscrit dans une politique budgétaire restrictive menée par l’administration Trump, qui provoque l’interruption immédiate de cette infrastructure pourtant essentielle. Depuis 1999, le système CVE permettait une classification claire et standardisée des failles de sécurité. Sa disparition temporaire bouleverse le fonctionnement quotidien de milliers de professionnels à travers le monde.

Un tournant que Datasecuritybreach.fr avait mis en avant, en février et mars 2025. La Maison Blanche ayant mis une pression économique auprès de plusieurs structures dédiées à la cybersécurité, dont la CISA.

La scène se passe presque dans le silence. Pas de conférence de presse ni de communiqué tapageur. Pourtant, l’arrêt de la base de données CVE constitue l’un des événements les plus marquants de ces dernières années pour la cybersécurité internationale. Des millions de professionnels s’appuyaient sur cette base pour identifier, référencer et corriger les vulnérabilités affectant les logiciels, les systèmes d’exploitation ou les composants matériels. L’arrêt de sa mise à jour signifie que les vulnérabilités découvertes à partir d’aujourd’hui ne seront plus répertoriées de manière centralisée, unique et accessible à tous.

Depuis plus de deux décennies, le CVE a été l’épine dorsale de la coordination dans la réponse aux menaces. À l’origine, le projet avait été lancé pour mettre fin au chaos régnant dans les années 1990, où chaque entreprise utilisait ses propres référentiels, rendant les échanges sur les failles complexes et peu efficaces. Grâce au CVE, une faille se voyait attribuer un identifiant unique – une sorte de matricule – permettant à toutes les équipes de cybersécurité, quels que soient leurs outils ou leur pays, de parler le même langage.

« La fin du CVE n’est pas seulement symbolique, elle est structurelle : c’est la disparition d’un standard global sans équivalent immédiat. »

Mais le contrat entre la MITRE Corporation et le ministère de la Sécurité intérieure américain, via la CISA, prend fin ce mercredi, sans reconduction. Cette décision, confirmée par le gouvernement, s’inscrit dans une logique de réduction budgétaire engagée par l’exécutif, au détriment de certains outils considérés comme coûteux ou non prioritaires. Et c’est là que le bât blesse : le coût de fonctionnement du programme CVE, pourtant relativement modeste à l’échelle des budgets fédéraux, est jugé superflu dans le cadre de cette politique d’austérité numérique.

Ce choix soulève l’incompréhension chez de nombreux acteurs du secteur, tant publics que privés. Car si la base de données CVE était officiellement américaine, sa portée, elle, était universelle. Des centaines de chercheurs, de laboratoires, de grandes entreprises de cybersécurité, mais aussi d’organisations gouvernementales et non gouvernementales du monde entier y contribuaient. Le modèle collaboratif du CVE en faisait un bien commun numérique, sans équivalent dans sa structuration et sa portée.

La fermeture brutale du système a pris de court nombre de professionnels. Si les anciennes données restent disponibles via des archives sur GitHub, elles ne seront plus mises à jour tant qu’aucune solution alternative n’aura été trouvée. Et c’est bien là que se situe le danger : selon les chiffres récents, plus de 25 000 nouvelles vulnérabilités ont été enregistrées dans la base CVE rien qu’en 2023. Leur absence de référencement officiel risque d’entraver sérieusement les réponses coordonnées à venir.

L’impact pourrait être particulièrement sévère pour les petites et moyennes entreprises, ainsi que pour les institutions publiques ne disposant pas de moyens pour accéder à des services commerciaux de suivi de vulnérabilités. De nombreuses solutions logicielles de gestion des risques ou de patching automatisé s’appuient directement sur les identifiants CVE pour détecter et corriger les failles. Sans ces repères, les délais de réaction risquent de s’allonger, laissant la porte ouverte à des cyberattaques d’envergure.

« Sans CVE, chaque organisation devra réinventer sa propre méthode de suivi des failles, avec les risques d’erreurs et de lenteurs que cela implique. »

Dans l’urgence, plusieurs pistes sont envisagées pour pallier ce vide. Certains évoquent la création d’un consortium international qui prendrait en charge la continuité du projet, sur un modèle similaire à celui de l’ICANN pour la gouvernance des noms de domaine. D’autres misent sur une reprise du flambeau par des entreprises majeures du secteur, comme Google, Microsoft ou encore IBM, qui disposent des moyens techniques et humains pour maintenir une base à jour. Mais ces options posent aussi des questions éthiques et politiques. Une base gérée par une entreprise privée pourrait perdre sa neutralité, tandis qu’une gouvernance internationale impliquerait des négociations complexes, longues et souvent ralenties par des logiques géopolitiques divergentes.

Dans l’intervalle, certains acteurs, notamment européens, pourraient saisir l’opportunité pour développer une alternative ouverte et souveraine. La question d’une autonomie stratégique en cybersécurité est de plus en plus discutée sur le Vieux Continent, et la fin de la base CVE pourrait accélérer cette dynamique. Un projet européen, financé par des institutions comme l’ENISA ou la Commission européenne, aurait le mérite de réduire la dépendance aux infrastructures américaines et de redonner une impulsion aux politiques de cybersécurité européennes.

Mais rien de tout cela ne sera immédiat. La construction d’une base de données fiable, exhaustive et reconnue prend du temps. Il faudra recréer des réseaux de contributeurs, des protocoles d’évaluation et des processus d’attribution normalisés. En attendant, le secteur devra composer avec une zone grise, où l’identification et la diffusion des vulnérabilités se feront de manière fragmentée.

Certains experts alertent d’ailleurs sur le risque d’une recrudescence de failles non signalées ou mal documentées dans les semaines à venir. Dans ce contexte d’instabilité, les cybercriminels pourraient profiter de cette désorganisation pour exploiter des brèches non encore corrigées. Une situation que les gouvernements comme les entreprises redoutent particulièrement.

Alors que le numérique structure aujourd’hui tous les pans de notre société – santé, finance, énergie, transports – la cybersécurité n’a jamais été aussi stratégique. Or, l’arrêt d’un outil aussi fondamental que le CVE fragilise un édifice déjà sous pression constante. Cette décision marque aussi un signal politique inquiétant : la cybersécurité ne semble plus figurer parmi les priorités stratégiques immédiates des États-Unis, du moins dans sa dimension coopérative et ouverte.

Le CVE n’est pas qu’une base de données. Il est le socle invisible sur lequel repose la coordination mondiale en matière de sécurité informatique. Sa disparition, même temporaire, doit alerter sur la fragilité des infrastructures numériques essentielles lorsqu’elles dépendent d’un unique acteur public ou privé. C’est l’un des paradoxes de notre ère numérique : à l’heure où tout est interconnecté, les outils critiques reposent encore sur des fondations institutionnelles trop peu résilientes.

Alors que le monde cherche une solution de remplacement à la base CVE, une question persiste : la cybersécurité mondiale peut-elle continuer de reposer sur des initiatives isolées, ou est-il temps d’envisager une gouvernance réellement collective et pérenne de la sécurité numérique ?

Mise à jour : La CISA (Cybersecurity and Infrastructure Security Agency) a finalement prolongé mardi soir son contrat avec le programme CVE (Common Vulnerabilities and Exposures), géré par le MITRE.

Le programme CVE, utilisé depuis 25 ans pour identifier et cataloguer les failles de cybersécurité à l’échelle mondiale, risquait de perdre ses financements dès mercredi. Heureusement, un prolongement de 11 mois a été acté in extremis pour éviter une interruption des services critiques.

Cependant, des tensions apparaissent : une partie du conseil du programme CVE envisage de créer une nouvelle entité indépendante, la CVE Foundation, pour garantir la neutralité et la pérennité du programme, actuellement trop lié à un financement gouvernemental unique.

Ce rebondissement intervient alors que la CISA fait face à des réductions budgétaires, des résiliations de contrats et des critiques politiques, notamment sur son rôle durant les élections de 2020. La secrétaire à la Sécurité intérieure Kristi Noem souhaite une réduction de taille et de dépenses pour rendre l’agence « plus efficace et agile« .

Mise à jour : des rebondissements qui ont permis à l’Europe de sortir de la cave https://euvd.enisa.europa.eu/– au moment de cette mise à jour, le site attend de passer en … 2025 !