Le système NVD de l'agence gouvernementale américaine NIST ne s'est jamais vraiment remis du retard accumulé depuis février 2024. À la mi-2024, 75 % des CVE soumises n'avaient pas été traitées, et en mars de l'année dernière, le NIST a admis qu'une hausse de 32 % des soumissions signifiait que le retard continuait de s'accumuler, malgré sa promesse de le résorber.
Avant même que le retard ne commence à s'accumuler, nous avons lancé Aikido en janvier 2024. Nous estimions qu'il n'était plus viable de se fier uniquement aux bases de données de vulnérabilités. Cette approche était fastidieuse et incapable de suivre le rythme imposé par la rapidité et le volume des menaces liées à la sécurité open source.
Hier, l'agence gouvernementale américaine NIST a finalement reconnu qu'elle n'arrivait plus à faire face au volume de signalements de vulnérabilités (CVE).
Malgré une augmentation de 45 % du nombre de CVE enrichis en 2025, les soumissions de CVE ont augmenté de 263 %. L'agence n'avait aucun moyen de suivre le rythme. Elle a donc dû adopter une nouvelle approche « fondée sur les risques » pour faire face à la situation.
Cette nouvelle approche donnera la priorité aux CVE concernant les logiciels utilisés au sein du gouvernement américain, aux logiciels critiques, ou à ceux figurant dans le catalogue des vulnérabilités connues pour avoir été exploitées (KEV). Les autres CVE seront ajoutés au NVD, mais ne feront pas l'objet d'une analyse. Cela signifie qu'ils n'attribueront pas de note indépendante à chaque CVE. Au lieu de cela, ils se contenteront d'accepter la note attribuée par l'auteur de la soumission et ne réanalyseront pas les CVE modifiés, sauf si quelqu'un signale qu'ils devraient le faire. Le retard accumulé passera à la catégorie « non planifié », ce qui signifie en réalité « nous nous en occuperons peut-être un jour (mais n'y comptez pas) ».
Sans cet enrichissement, les CVE seront moins à jour et moins fiables. Quel sera donc l'impact sur les milliers d'organisations et de professionnels de la sécurité qui se fient au NVD comme source de référence ? Si un CVE n'est pas enrichi par le NIST, les outils qui s'appuient sur le NVD ne le feront pas apparaître. Les équipes ne seront pas alertées qu'un élément a été omis. Et les outils eux-mêmes produiront des faux négatifs.
En résumé, la couverture sur laquelle ils s'appuient n'est plus complète. Et s'ils continuent à considérer le NVD comme une source de vérité, ils se bercent d'un faux sentiment de sécurité.
De toute façon, les CVE n'ont jamais donné une image complète de la situation
Le NIST fera bien sûr l'objet d'un examen minutieux, mais la réalité est que, même si le NVD fonctionnait parfaitement, les équipes passeraient à côté de la plupart des vulnérabilités réelles, car les CVE ne couvrent que ce qui est rendu public.
Les responsables de la maintenance – même chez les plus grands fournisseurs – corrigent les failles de sécurité sans jamais les signaler. À elles seules, les bases de données centralisées ne peuvent pas détecter ce qui n'est jamais signalé.
C'est pourquoi nous avons lancé Aikido en janvier 2024, plusieurs semaines avant même que le backlog de NVD ne commence à s'accumuler, car nous avions déjà compris que se fier uniquement à des bases de données centralisées pour vous informer des vulnérabilités était une stratégie vouée à l'échec.
Intel utilise des modèles de langage de grande échelle (LLM) spécialement entraînés pour analyser les journaux de modifications, les notes de mise à jour et les messages de commit des paquets open source. Lorsqu'il identifie des correctifs liés à la sécurité, il les compare à cinq bases de données de vulnérabilités. Si aucune information n'a été divulguée, nos ingénieurs en sécurité valident le correctif et publient un avis de sécurité accompagné d'un identifiant Aikido .
Pour illustrer ce point : au cours de la première année, 67 % des paquets dans lesquels Intel a détecté des vulnérabilités n'ont jamais été signalés publiquement dans aucune base de données — ni dans le NVD, ni dans GitHub Advisory, ni dans MITRE, ni nulle part ailleurs.
Et il ne s'agit pas là de paquets obscurs. Axios (56 millions de téléchargements hebdomadaires sur npm) a corrigé en silence une faille de type « pollution de prototype » qui n'a toujours pas reçu de numéro CVE à ce jour. Apache ECharts a corrigé une faille de type « cross-site scripting » sans jamais la divulguer. Chainlit a corrigé une faille critique de type « traversée de chemin » sans rien dire. Parmi les failles qui ont finalement été divulguées, le délai moyen entre la correction et l'attribution d'un numéro CVE était de 27 jours. Le délai de divulgation le plus long a été de neuf mois.
Au cours d'une seule semaine de surveillance par Intel en janvier dernier, 12 des 16 vulnérabilités signalées n'avaient reçu aucun identifiant CVE.
Aujourd'hui, Intel surveille 4,3 millions de paquets et a détecté plus de 2 000 vulnérabilités. Il s'agit d'un logiciel libre sous licence AGPL, ce qui signifie que tout le monde peut l'utiliser, le modifier et le distribuer. De plus, son fonctionnement ne dépend ni des mappages CPE ni de l'enrichissement NVD.
Aikido comblait déjà ce vide avant même qu'il ne se fasse sentir.
Et maintenant ?
L'UE met déjà en place sa propre alternative au NVD, la base de données européenne sur les vulnérabilités (EUVD), qui est opérationnelle depuis mai 2025. D'ici septembre 2026, la déclaration des vulnérabilités activement exploitées deviendra obligatoire pour les fabricants en vertu de la Cyber Resilience Act. L'UE a pris conscience du risque lié à la dépendance vis-à-vis d'une seule base de données gérée par les États-Unis et a donc décidé de s'en dissocier. Mais même l'EUVD n'en est qu'à ses débuts et repose largement sur la synchronisation avec le NVD et d'autres bases de données existantes. Ces bases de données ne sont pas près de disparaître, et elles ne devraient pas disparaître : elles jouent un rôle important. Mais considérer l'une d'entre elles comme une source d'information exhaustive n'est plus une stratégie viable.
En résumé, il n'existe plus de source unique de vérité (si tant est qu'il y en ait jamais eu une). Le NVD perd de son importance, l'EUVD en est à ses balbutiements mais pourrait suivre la même voie, et d'autres programmes CVE, comme celui du MITRE, ont connu des problèmes de financement. S'appuyer sur une seule base de données, que ce soit au sein d'une équipe ou pour un outil de sécurité, réduit la couverture et la visibilité. Cette époque est officiellement révolue.
Nous nous sommes préparés pour ce moment. Aikido est désormais disponible, open source et en pleine expansion. Découvrez-le ici.
