Common Vulnerability Scoring System

Différence entre les notations CVSS 2.0 et CVSS 3.0

Dans le domaine de la sécurité informatique, Common Vulnerability Scoring System (CVSS) est un système d'évaluation standardisé de la criticité des vulnérabilités selon des critères objectifs et mesurables. Cette évaluation est constituée de 3 mesures appelées métriques : la métrique de base, la métrique temporelle et la métrique environnementale. Le score final est compris entre 0 et 10, 10 correspondant aux vulnérabilités les plus critiques.

La version actuelle de CVSS (CVSSv4.0) a été publiée en novembre 2023[1].

Le CVSS est construit à partir de la métrique de base qui nous donne une évaluation du CVSS de base qui sera ensuite pondérée avec la métrique temporelle puis avec la métrique environnementale. Ces trois métriques se définissent comme suit :

  1. la métrique de base est unique et immuable, elle se base sur les qualités intrinsèques de la vulnérabilité.
  2. la métrique temporelle est unique mais peut évoluer au cours du temps.
  3. la métrique environnementale est multiple et évolue en fonction de l'environnement informatique. Elle dépend du système informatique dans lequel elle est présente.

Métrique de base

[modifier | modifier le code]

Métrique d'exploitation

[modifier | modifier le code]
Vecteur d'accès
[modifier | modifier le code]

Le vecteur d'accès (Attack Vector (AV)) définit comment une vulnérabilité peut être exploitée.

Valeur Description Score
Local (Local (L)) L'attaquant doit avoir soit un accès physique au système vulnérable (Exemple : Attaques via le port FireWire) soit avoir un compte local (Exemple : Attaque d'escalade de privilèges). 0.395
Réseau local (Adjacent Network (A)) L'attaquant doit avoir accès au domaine de diffusion ou de collision du système vulnérable (Exemple : ARP poisoning, attaques Bluetooth). 0.646
Réseau (Network (N)) L'interface vulnérable utilise le niveau 3 ou plus de la pile OSI. Ce type de vulnérabilité est communément décrit comme exploitable à distance. (Exemple : Un dépassement de tampon distant dans un composant réseau.) 1.0
Complexité d'accès
[modifier | modifier le code]

La complexité d'accès (Attack Complexity (AC)) définit le niveau de difficulté d'exploitation de la vulnérabilité découverte.

Valeur Description Score
Haut (High (H)) Des conditions spécifiques sont nécessaires, comme une fenêtre d'exécution étroite ou un besoin d'utilisation de méthode d'ingénierie sociale qui pourraient être aisément détectée par des personnes compétentes. 0.35
Moyen (Medium (M)) Il existe des conditions supplémentaires d'accès comme une limitation sur l'origine de l'accès ou le besoin que le système utilise une configuration non commune ou différente de celle par défaut. 0.61
Bas (Low (L)) Il n'y a pas de condition particulière d'accès, comme un système disponible pour un grand nombre d'utilisateurs ou que la configuration est largement répandue. 0.71
Authentification
[modifier | modifier le code]

La métrique d'authentification (Authentication (Au)) définit le nombre de fois qu'un attaquant doit s'authentifier sur la cible dans le but d'exploiter la vulnérabilité. Ceci fait référence spécifiquement au nombre de fois qu'une authentification est nécessaire une fois que l'accès au système a été obtenu. Ça n'inclut pas, par exemple, l'authentification au réseau utilisé pour accéder au système vulnérable. Pour des vulnérabilités exploitables localement, cette valeur ne devrait seulement être fixée à Unique ou Multiple si une authentification est nécessaire après avoir accédé au système.

Valeur Description Score
Multiple (Multiple (M)) L'exploitation de la vulnérabilité nécessite que l'attaquant s'authentifie deux fois ou plus, même si les authentifiants utilisés sont les mêmes à chaque fois. 0.45
Simple (Single (S)) L'attaquant doit s'authentifier une seule fois pour exploiter cette vulnérabilité. 0.56
Inexistant (None (N)) Il n'y a pas besoin que l'attaquant s'authentifie. 0.704

Métrique d'impact

[modifier | modifier le code]
Confidentialité
[modifier | modifier le code]

La métrique de confidentialité (Confidentiality (C)) définit l'impact sur la confidentialité des données sur ou traités par le système.

Valeur Description Score
Aucun (None (N)) Il n'y a pas d'impact sur la confidentialité du système. 0.0
Partiel (Partial (P)) Il existe un impact important en cas de diffusion de l'information mais l'étendue de la perte est limitée car seul une partie de l'information est disponible. 0.275
Complet (Complete (C)) Il y a une diffusion complète de l'information, une fourniture de l'ensemble des données accessibles sur le système. 0.660
Intégrité
[modifier | modifier le code]

La métrique d'intégrité(Integrity (I)) définit l'impact sur l'intégrité des données du système.

Valeur Description Score
Aucun (None (N)) Il n'y a pas d'impact sur l'intégrité du système. 0.0
Partiel (Partial (P)) La modification de données est possible, mais l'étendue de la modification est limité. 0.275
Complet (Complete (C)) Il y a une perte totale d'intégrité. L'attaquant peut modifier chaque fichier ou information du système ciblé. 0.660
Disponibilité
[modifier | modifier le code]

La métrique de disponibilité (Availability (A)) définit l'impact de la disponibilité du système ciblé. Les attaques consommant de la bande passante, des cycles processeurs, de la mémoire, ou tout autre ressource affectent la disponibilité d'un système.

Valeur Description Score
Aucun (None (N)) Il n'y a pas d'impact sur la disponibilité du système. 0.0
Partiel (Partial (P)) Il y a une légère perte de performance ou une perte de quelques fonctionnalités. 0.275
Complet (Complete (C)) Il y a une perte totale de disponibilité de la ressource attaquée. 0.660

Métrique temporelle

[modifier | modifier le code]

La valeur des métriques temporelles varie au cours de la durée de vie de la vulnérabilité à mesure que :

  • les exploits sont développés, divulgués et automatisés.
  • les mesures d'atténuation et les correctifs sont rendus disponibles

Métrique environnementale

[modifier | modifier le code]

Les métriques environnementales utilisent le score temporel de base et actuel pour évaluer la gravité d'une vulnérabilité dans le contexte du déploiement du produit ou du logiciel vulnérable. Cette mesure est calculée subjectivement, généralement par les parties concernées.

Notes et références

[modifier | modifier le code]
  1. « Common Vulnerability Scoring System SIG », First.org, Inc. (consulté le )

Articles connexes

[modifier | modifier le code]

Liens externes

[modifier | modifier le code]