Nouvelle métrique pour la qualification des vulnérabilités
Date : 15 Avril 2005
Une nouvelle métrique destinée à évaluer la "dangerosité" des failles a été présentée lors de la conférence RSA et lors du colloque technique des CERTs (FIRST TC) qui a eu lieu à Paris début février.
Cette métrique baptisée "CVSS" ("Common Vulnerability Scoring System") a été conçue et soutenue par des grands noms de l'informatique comme Cisco, Microsoft, Symantec, ISS, Mitre et par les organismes gouvernementaux américains. Son but est d'uniformiser la qualification du risque engendré par une vulnérabilité à l'ensemble des acteurs émettant des avis de sécurité. Ce projet est à rapprocher du projet CVE ("Common Vulnerabilities and Exposures") qui lui, tente d'identifier par un numéro unique chaque vulnérabilité indépendamment des références données par les avis de sécurité des éditeurs, et du projet CME ("Common Malware Enumeration") concernant l'identification des "malwares" (vers/virus/chevaux de Troie).
Cette initiative n'est pas sans rappeler le projet européen EISPP (Cf. l'article du Bulletin Sécurité n°58 de juillet 2002) dans lequel le Cert-IST a largement contribué et dont l'un des objectifs a été de définir une métrique commune aux CERT participants afin de qualifier de manière efficace le niveau de risque d'une vulnérabilité. Un document expliquant l'algorithme utilisé par la métrique EISPP est disponible sur le site du Cert-IST.
La métrique "CVSS", quant à elle, se base sur 3 critères :
- critère de base qui évalue le niveau d'exploitation de la vulnérabilité :
- exploitation locale ou à distance
- accès difficile ou non
- authentification nécessaire
- l'impact de la vulnérabilité en terme d'intégrité/confidentialité/disponibilité en fonction du système cible (ex : un problème de confidentialité sur un système de chiffrement s'avèrerait critique),
- critère temporel qui mesure la "vie" de la vulnérabilité dans le temps : confidentialité du problème, apport de solution, apparition de programme d'exploitation,
- critère dépendant de l'environnement : vulnérabilité présente lors de l'installation, possibilité de dommages collatéraux.
Pour l'instant, cette nouvelle métrique est à l'état embryonnaire car il lui manque une fenêtre sur Internet (serveur web) pour permettre sa promotion et son adoption par les acteurs de la sécurité.
Le Cert-IST suit avec attention les évolutions de ce projet. Il évalue en interne l'impact de cette nouvelle "nomenclature" et évalue la possibilité d'indiquer le "scoring CVSS" comme une donnée complémentaire (au même titre que CVE) dans ses avis de sécurité.
Pour plus d'informations :