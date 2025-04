MattS32

Y a une initiative européenne pour proposer une alternative : https://euvd.enisa.europa.eu/

Mais effectivement c’est du boulot, et c’est clairement pas en mesure de remplacer CVE pour l’instant, ne serait ce que à cause de tous les logiciels qui vont taper dans la base et ne permettent pas de de configurer la source, ou qui ne supportent pas des vulnérabilités dont l’ID n’est pas CVE-***

Après, il existe quand même heureusement déjà quelques solutions de secours, notamment la base du CIRCL (l’équivalent luxembourgeois de l’ANSSI) qui reprend le contenu de la base CVE, et qui depuis quelques temps les rend accessibles avec la même API plutôt qu’avec son ancienne API spécifique (à se demander d’ailleurs si ce changement récent n’est pas pour se préparer à une coupure de MITRE…), donc pour tous les softs qui se branchent sur l’API de MITRE mais avec la possibilité de configurer l’adresse de source des données, il y a déjà au moins cette alternative.

Quand à l’alimentation de la base avec des nouvelles CVE, si MITRE disparaissait il resterait possible de continuer à déclarer des CVE auprès des miroirs, la difficulté étant « juste » de se mettre d’accord pour qu’un même numéro ne soit pas attribué à deux failles différentes par deux miroirs différents… C’est pas trivial, mais c’est pas non plus insurmontable, d’autant que les attributions de numéros sont déjà en grande partie faites par des tiers plutôt que directement par MITRE : il y a quelques centaines d’organisations dans le monde qui se font pré-attribuer des plages d’identifiants, puis les utilisent pour remonter des nouvelles CVE dans la base centrale (le plus souvent, pour leurs propres produits, mais parfois aussi pour des produits tiers).

Il y a d’ailleurs un de ces organismes, VulnCheck, qui a réservé une plage plus large que d’habitude face au risque de perte de MITRE, pour pouvoir continuer à numéroter les CVE le temps qu’une alternative se monte.