Accueil🇫🇷Chercher

Common Vulnerability Scoring System

Dans le domaine de la sécurité informatique, Common Vulnerability Scoring System (CVSS) est un système d'évaluation standardisé de la criticité des vulnérabilités selon des critères objectifs et mesurables. Cette évaluation est constituée de 3 mesures appelées métriques : la métrique de base, la métrique temporelle et la métrique environnementale. Le score final est compris entre 0 et 10, 10 correspondant aux vulnérabilités les plus critiques.

La version actuelle de CVSS (CVSSv3.1) a été publiée en Juin 2019[1].

MĂ©triques

Le CVSS est construit à partir de la métrique de base qui nous donne une évaluation du CVSS de base qui sera ensuite pondérée avec la métrique temporelle puis avec la métrique environnementale. Ces trois métriques se définissent comme suit :

  1. la métrique de base est unique et immuable, elle se base sur les qualités intrinsèques de la vulnérabilité.
  2. la métrique temporelle est unique mais peut évoluer au cours du temps.
  3. la métrique environnementale est multiple et évolue en fonction de l'environnement informatique. Elle dépend du système informatique dans lequel elle est présente.
Vecteur d'accès

Le vecteur d'accès (Access Vector (AV)) définit comment une vulnérabilité peut être exploitée.

ValeurDescriptionScore
Local (Local (L))L'attaquant doit avoir soit un accès physique au système vulnérable (Exemple : Attaques via le port Firewire) soit avoir un compte local (Exemple : Attaque d'escalade de privilèges).0.395
Réseau local (Adjacent Network (A))L'attaquant doit avoir accès au domaine de diffusion ou de collision du système vulnérable (Exemple : ARP spoofing, attaques Bluetooth).0.646
Réseau (Network (N))L'interface vulnérable utilise le niveau 3 ou plus de la pile OSI. Ce type de vulnérabilité est communément décrit comme exploitable à distance. (Exemple : Un dépassement de tampon distant dans un composant réseau.)1.0
Complexité d'accès

La complexité d'accès (Access Complexity (AC)) définit le niveau de difficulté d'exploiter la vulnérabilité découverte.

ValeurDescriptionScore
Haut (High (H))Des conditions spécifiques sont nécessaires, comme une fenêtre d'exécution étroite ou un besoin d'utilisation de méthode d'ingénierie sociale qui pourraient être aisément détectée par des personnes compétentes.0.35
Moyen (Medium (M))Il existe des conditions supplémentaires d'accès comme une limitation sur l'origine de l'accès ou le besoin que le système utilise une configuration non commune ou différente de celle par défaut.0.61
Bas (Low (L))Il n'y a pas de condition particulière d'accès, comme un système disponible pour un grand nombre d'utilisateurs ou que la configuration est largement répandue.0.71
Authentification

La métrique d'authentification (Authentication (Au)) définit le nombre de fois qu'un attaquant doit s'authentifier sur la cible dans le but d'exploiter la vulnérabilité. Ceci fait référence spécifiquement au nombre de fois qu'une authentification est nécessaire une fois que l'accès au système a été obtenu. Ça n'inclut pas, par exemple, l'authentification au réseau utilisé pour accéder au système vulnérable. Pour des vulnérabilités exploitables localement, cette valeur ne devrait seulement être fixée à Unique ou Multiple si une authentification est nécessaire après avoir accédé au système.

ValeurDescriptionScore
Multiple (Multiple (M))L'exploitation de la vulnérabilité nécessite que l'attaquant s'authentifie deux fois ou plus, même si les authentifiants utilisés sont les mêmes à chaque fois.0.45
Simple (Single (S))L'attaquant doit s'authentifier une seule fois pour exploiter cette vulnérabilité.0.56
Inexistant (None (N))Il n'y a pas besoin que l'attaquant s'authentifie.0.704
Confidentialité

La métrique de confidentialité (Confidentiality (C)) définit l'impact sur la confidentialité des données sur ou traités par le système.

ValeurDescriptionScore
Aucun (None (N))Il n'y a pas d'impact sur la confidentialité du système.0.0
Partiel (Partial (P))Il existe un impact important en cas de diffusion de l'information mais l'étendue de la perte est limitée car seul une partie de l'information est disponible.0.275
Complet (Complete (C))Il y a une diffusion complète de l'information, une fourniture de l'ensemble des données accessibles sur le système.0.660
Intégrité

La métrique d'intégrité(Integrity (I)) définit l'impact sur l'intégrité des données du système.

ValeurDescriptionScore
Aucun (None (N))Il n'y a pas d'impact sur l'intégrité du système.0.0
Partiel (Partial (P))La modification de données est possible, mais l'étendue de la modification est limité.0.275
Complet (Complete (C))Il y a une perte totale d'intégrité. L'attaquant peut modifier chaque fichier ou information du système ciblé.0.660
Disponibilité

La métrique de disponibilité (Availability (A)) définit l'impact de la disponibilité du système ciblé. Les attaques consommant de la bande passante, des cycles processeurs, de la mémoire, ou tout autre ressource affectent la disponibilité d'un système.

ValeurDescriptionScore
Aucun (None (N))Il n'y a pas d'impact sur la disponibilité du système.0.0
Partiel (Partial (P))Il y a une légère perte de performance ou une perte de quelques fonctionnalités.0.275
Complet (Complete (C))Il y a une perte totale de disponibilité de la ressource attaquée.0.660

MĂ©trique temporelle

La valeur des métriques temporelles varie au cours de la durée de vie de la vulnérabilité à mesure que :

  • les exploits sont dĂ©veloppĂ©s, divulguĂ©s et automatisĂ©s.
  • les mesures d'attĂ©nuation et les correctifs sont rendus disponibles

MĂ©trique environnementale

Les métriques environnementales utilisent le score temporel de base et actuel pour évaluer la gravité d'une vulnérabilité dans le contexte du déploiement du produit ou du logiciel vulnérable. Cette mesure est calculée subjectivement, généralement par les parties concernées.

Notes et références

  1. « Common Vulnerability Scoring System, V3 Development Update », First.org, Inc. (consulté le )

Voir aussi

Articles connexes

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.