CVSS existe en version 3.1 depuis juin 2019, la version suivante est la version 4, elle est officiellement publiée depuis le 1er novembre 2023.

Nous allons voir les changements apportés par cette nouvelle version.

Rappel - Qu’est-ce que le CVSS ? 🔗

Le Forum of Incident Response and Security Teams (FIRST), une organisation à but non lucratif basée aux États-Unis avec plus de 500 organisations membres dans le monde, maintient le CVSS.

Le CVSS, ou Common Vulnerability Scoring System, offre une méthode normalisée pour évaluer la sévérité des vulnérabilités dans les systèmes d’information. Cette méthode évalue des facteurs tels que l’exploitabilité, l’impact et la complexité pour déterminer le score global d’une vulnérabilité. Ce score aide les organisations à prioriser efficacement leurs efforts de remédiation.

Le système CVSS v3.1 se compose de trois métriques :

1. La métrique Base (Base metric) : Cette métrique évalue la criticité intrinsèque de la vulnérabilité, en se basant sur des critères tels que l’impact, la portée et la complexité. Elle attribue un score de base, qui constitue le fondement de l’évaluation globale de la vulnérabilité.
2. La métrique Temporelle (Temporal metric) : Cette métrique prend en compte l’évolution de la vulnérabilité dans le temps depuis sa découverte, il peut être amené à changer au fil de temps. Le score est majoré ou minoré en fonction de la disponibilité de correctifs, la disponibilité de codes exploitation ainsi que la documentation disponible concernant l’exploitation de la vulnérabilité.
3. La métrique Environnementale (Environmental metric) : Cette métrique permet de personnaliser l’évaluation en prenant en compte le contexte spécifique de l’organisation. Elle évalue les facteurs tels que la valeur des actifs affectés et l’environnement de déploiement du composant affecté.

En combinant ces trois métriques, le CVSS génère un score global qui varie de 0 (aucun risque) à 10 (risque critique). Ce score permet aux professionnels de la sécurité de classer les vulnérabilités de manière objective et de prioriser les actions pour renforcer la résilience de leurs systèmes informatiques.

Le CVSS est largement utilisé dans l’industrie de la cybersécurité, dans les organisations gouvernementales et privées, ainsi que par les chercheurs en sécurité. Il joue un rôle essentiel dans la gestion des vulnérabilités et la prise de décisions liées à la sécurité informatique. Nous allons explorer les améliorations qu’apporte cette nouvelle mouture.

CVSS v4.0 🔗

CVSS v4.0 introduit divers changements et ajustements visant à améliorer la précision et la pertinence des évaluations de vulnérabilité. La nouvelle version vise à résoudre les limitations de CVSS 3.1 et à fournir un système de notation plus complet et plus flexible.

Changements dans CVSS 4.0 🔗

CVSS 4.0 introduit plusieurs nouvelles métriques qui améliorent la granularité et la précision du score final de vulnérabilité. Ces métriques comprennent :

Vecteur d’attaque 🔗

Le métrique du vecteur d’attaque prend en compte la proximité de l’attaquant par rapport au système vulnérable. Il mesure si un attaquant a besoin d’un accès physique au système cible, s’il doit être dans le même réseau, ou s’il peut lancer une attaque à distance sur Internet. En général, les vulnérabilités qui peuvent être exploitées via le réseau sont considérées comme plus graves, car elles peuvent être exploitées par n’importe quel attaquant dans le monde, sans nécessiter de proximité physique ou d’accès à un réseau local ou étendu spécifique. En revanche, les vulnérabilités qui nécessitent un accès physique à un système sont considérées comme moins graves, car le potentiel de menace est nettement plus limité.

Complexité de l’attaque 🔗

La métrique de complexité de l’attaque décrit les conditions, indépendantes du contrôle de l’attaquant, qui doivent être remplies pour exploiter la vulnérabilité. Ces conditions visent principalement à renforcer la sécurité ou à compliquer le développement d’une exploitation. Par exemple, une vulnérabilité qui peut être exploitée sans nécessiter d’informations spécifiques sur la cible est considérée comme moins complexe qu’une vulnérabilité nécessitant une personnalisation significative. Cette métrique vise à tenir compte des mesures de sécurité mises en oeuvre sur le système attaqué, et non du temps ou du nombre de tentatives que l’attaquant pourrait nécessiter pour réussir à compromettre le système. Si un attaquant ne peut pas contourner les conditions en place, les tentatives d’exploitation échoueront.

Droits requis 🔗

Cette métrique précise le degré d’accès dont un attaquant doit disposer avant de pouvoir exploiter avec succès la vulnérabilité. La technique que l’attaquant utilise pour acquérir ces droits élevés avant l’attaque, telle que l’utilisation de comptes d’essai gratuits, n’est pas prise en compte dans cette métrique.

Interaction de l’Utilisateur 🔗

Dans CVSS version 4.0, la métrique de l’interaction de l’utilisateur évalue si l’exploitation réussie d’une vulnérabilité nécessite l’intervention humaine, telle qu’une action dépassant l’utilisation normale du système vulnérable. Par exemple, une vulnérabilité pouvant être exploitée en envoyant un e-mail de phishing et en trompant la victime pour qu’elle clique sur un lien malveillant ou ouvre un fichier malveillant nécessiterait une interaction de l’utilisateur. En revanche, une vulnérabilité pouvant être exploitée en envoyant simplement des paquets réseau spécialement conçus à un système vulnérable ne nécessiterait aucune interaction de l’utilisateur. La valeur de cette métrique a un impact direct sur le score CVSS. Les vulnérabilités pouvant être exploitées sans interaction de l’utilisateur sont généralement considérées comme plus graves, car elles peuvent être exploitées automatiquement ou à grande échelle, sans nécessiter d’intervention humaine.

Portée 🔗

Cette métrique capture si une vulnérabilité dans un composant impacte des ressources au-delà de sa portée de sécurité, c’est-à-dire si elle affecte un composant entièrement différent. Si une vulnérabilité exploitée n’affecte que les ressources gérées par la même autorité de sécurité, la “portée” est “inchangée”. Si elle affecte des ressources au-delà de sa portée de sécurité, elle est “changée”. Alors que cette métrique existait dans les versions CVSS 3.0 et 3.1, elle a maintenant été supprimée en tant que métrique de base dans la version 4 de CVSS.

Impact 🔗

Les métriques d’impact enregistrent les conséquences d’une vulnérabilité exploitée avec succès. Celles-ci sont divisées en trois métriques : Confidentialité, Intégrité et Disponibilité. Elles mesurent l’impact sur le “système vulnérable” si la vulnérabilité est exploitée. Par exemple, si un attaquant pouvait modifier des données en lecture seule en obtenant un accès en écriture, cela affecterait l’intégrité des données. Si un attaquant devait augmenter ses privilèges au sein d’une application et observer des données sensibles, cela affecterait la métrique de confidentialité. De plus, la métrique de disponibilité serait impactée si un adversaire malveillant pouvait directement affecter le fonctionnement d’un système en provoquant une situation de déni de service (DoS), où les utilisateurs légitimes ne pourraient pas accéder au composant affecté.

Maturité du code d’exploitation 🔗

La maturité de l’exploitation est une métrique de menace qui évalue la probabilité qu’un attaquant utilise la vulnérabilité, en tenant compte des stratégies d’exploitation existantes, de l’accessibilité du code d’exploitation ou de l’exploitation active en temps réel à l’aide de renseignements sur les menaces. Cette métrique bénéficie d’une clarification pour le calcul. Une exploitation largement disponible et activement signalée comme ciblant des systèmes définirait la métrique définirait le système comme “attaqué”. De plus, si seule une Preuve de Concept (PoC) est disponible, mais qu’il n’y a pas de renseignement sur les menaces suggérant une exploitation généralisée, la métrique serait “PoC”. Si aucun renseignement sur les menaces ou PoC n’existe pour la vulnérabilité, la métrique de maturité de l’exploitation serait classée comme “non signalée”.

Métriques supplémentaires 🔗

CVSS 4.0 a mis en place un nouveau groupe de métriques optionnelles appelé “métriques supplémentaires”, ces dernières pouvant être utilisées pour caractériser et évaluer des propriétés externes supplémentaires d’une vulnérabilité, ajoutant ainsi du contexte à une vulnérabilité.

• Sureté : Définie dans l’IEC 61508, cette valeur de métrique supplémentaire montre dans quelle mesure l’exploitation d’une vulnérabilité peut nuire à la sécurité d’un être humain, indiquant le potentiel de blessures prévisibles.
• Automatisation : Caractérise le degré d’automatisation de la chaîne d’exploitation de la vulnérabilité par la menace afin de compromettre des systèmes en un clic ou de convertir le code en un malware pour exploiter automatiquement des systèmes sur un réseau.
• Récupération : La métrique “récupération” fait référence à la capacité du système à restaurer sa fonctionnalité et sa disponibilité après une attaque.
• Densité de valeur : Cela fait référence à la portée des ressources qui peuvent tomber sous le commandement de l’attaquant grâce à une seule instance d’exploitation réussie. Elle peut être catégorisée de deux manières : diffuse et concentrée. La diffusion concerne la compromission de relativement peu de systèmes avec une seule tentative d’exploitation, tandis que la concentration est définie comme un système riche en ressources.
• Effort de réponse à la vulnérabilité : Offre des informations supplémentaires sur le défi auquel sont confrontés les utilisateurs lors de la réponse initiale aux effets des vulnérabilités dans leurs produits et services déployés. Les utilisateurs peuvent ensuite intégrer ces informations supplémentaires sur l’effort requis lors de la planification et de la planification des mesures de réduction des risques et de correction.
• Urgence du fournisseur : Certains fournisseurs partagent aujourd’hui des évaluations qualitatives du risque via les alertes de sécurité pour leurs produits, cela permet aux utilisateurs d’apprécier le niveau d’attention à fournir quant à la prise en compte de la vulnérabilité. Une approche normalisée pour inclure ces évaluations supplémentaires fournies par les fournisseurs est disponible via cette nouvelle métrique introduite dans CVSS 4.0.

Modifications de la notation 🔗

Le système de notation dans CVSS 4.0 a subi d’importantes modifications. Il intègre désormais les aspects temporels et environnementaux des vulnérabilités, permettant aux organisations d’évaluer les risques de manière plus précise. Les modifications de la notation visent à aligner la notation de gravité sur l’impact réel sur des systèmes et des environnements spécifiques.

L’une des critiques du CVSS v3.1 a été qu’il ne fournit que des scores de base, indiquant la gravité d’une vulnérabilité, sans refléter de manière précise le niveau de risque que la vulnérabilité impose à votre environnement spécifique. Les nouvelles modifications introduites visent à résoudre ce problème.

Métriques d’exploitabilité 🔗

CVSS 4.0 introduit des métriques supplémentaires liées à l’exploitabilité. Ces métriques aident à évaluer la probabilité de réussite d’une exploitation et permettent aux organisations de prioriser les vulnérabilités en conséquence. En tenant compte de facteurs tels que la maturité du code d’exploitation et le niveau de remédiation, les équipes de sécurité peuvent mieux allouer leurs ressources et se concentrer sur les vulnérabilités critiques.

Métriques de niveau de remédiation 🔗

Un autre changement notable dans CVSS 4.0 est l’inclusion de métriques de niveau de remédiation. Ces métriques évaluent la facilité et la disponibilité des solutions pour corriger les vulnérabilités. En tenant compte du niveau de remédiation, les organisations peuvent prendre des décisions adaptées sur l’urgence et la faisabilité des actions de remédiation afin d’établir un plan d’action qualitatif.

Avantages de CVSS 4.0 🔗

L’introduction de CVSS 4.0 apporte plusieurs avantages dans le domaine de la cybersécurité. Ces avantages comprennent :

• Précision améliorée : Les évaluations sont plus précises grâce aux nouvelles métriques, aidant à mieux prioriser la remédiation.
• Flexibilité améliorée : La version 4.0 prend désormais en compte les environnements spécifiques, permettant des décisions plus nuancées.
• Meilleure personnalisation : Les organisations peuvent ajuster les évaluations selon leurs besoins.

Conclusion : 🔗

Publié le 1er novembre 2023, CVSS 4.0 marque une avancée dans le standard d’évaluation des vulnérabilités. Cette mise à jour renforce la pertinence et l’utilité de CVSS. Pour en savoir plus et utiliser le calculateur CVSS 4.0, consultez le CVSS 4.0 Calculator.