Vulnérabilités
Cette année marque le 20ᵉ anniversaire du système commun d’évaluation des vulnérabilités (CVSS), qui est devenu une norme largement acceptée pour décrire les vulnérabilités des logiciels. Malgré des décennies d’utilisation et quatre générations de la norme (qui en est aujourd’hui à la version 4.0), les règles de notation du système CVSS continuent d’être utilisées à mauvais escient, et le système lui-même fait l’objet d’un intense débat. Que devez-vous donc savoir sur le système CVSS pour protéger efficacement votre parc informatique ?
Le score de base CVSS
Selon ses développeurs, le système CVSS est un outil permettant de décrire les caractéristiques et la gravité des vulnérabilités des logiciels. La maintenance du système CVSS est assurée par le Forum of Incident Response and Security Teams (FIRST). Il a été créé pour amener les experts à parler un langage commun à propos des vulnérabilités et pour faciliter le traitement automatique des données sur les failles logicielles. Presque toutes les vulnérabilités publiées dans les principaux registres de vulnérabilités tels que CVE, EUVD ou CNNVD comprennent une évaluation du niveau de gravité selon l’échelle CVSS.
Une évaluation se compose généralement de deux parties principales :
- Une note numérique (score CVSS), qui indique la gravité de la vulnérabilité sur une échelle de 0 à 10. Un score de 10 correspond à une vulnérabilité extrêmement dangereuse et critique.
- Un vecteur, qui est une chaîne de texte standardisée décrivant les principales caractéristiques de la vulnérabilité. Il s’agit de déterminer s’il peut être exploité à distance via un réseau ou seulement localement, si des privilèges élevés sont nécessaires, dans quelle mesure il est complexe à exploiter et quels sont les aspects (tels que la disponibilité, l’intégrité ou la confidentialité) du système vulnérable qui sont potentiellement exploitables.
Voici un exemple utilisant la vulnérabilité très grave et activement exploitée CVE-2021-44228 (Log4Shell) : Base Score 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
Décomposons la situation : le vecteur d’attaque est basé sur le réseau, la complexité de l’attaque est faible, les privilèges requis sont nuls, l’interaction avec l’utilisateur n’est pas nécessaire, la portée indique que la vulnérabilité touche d’autres composants du système, et l’impact sur la confidentialité, l’intégrité et la disponibilité est élevé. Des descriptions détaillées de chaque composant sont disponibles dans les spécifications CVSS 3.1 et CVSS 4.0.
Un élément essentiel du système CVSS est sa méthodologie de notation, également connue sous le nom de calculateur, et disponible pour les versions 4.0 et 3.1. En renseignant toutes les composantes du vecteur, vous obtenez automatiquement un score de criticité numérique.
La méthodologie originale de calcul du CVSS comprenait trois groupes de mesures : de base, temporelle et environnementale. Le premier groupe couvre les caractéristiques fondamentales et immuables d’une vulnérabilité et constitue la base du calcul du score de base CVSS. Le deuxième groupe comprend des caractéristiques qui peuvent changer au fil du temps, comme la disponibilité de codes d’exploitation publiés. Le troisième groupe est conçu pour un usage interne à l’organisation afin de tenir compte de facteurs propres au contexte, comme la portée de l’application vulnérable ou la présence de contrôles de sécurité d’atténuation dans l’infrastructure de l’organisation. Dans le système CVSS 4.0, les mesures temporelles sont devenues des mesures de menace, et un nouveau groupe de mesures supplémentaires a été introduit.
Voici comment les mesures sont interconnectées. Les éditeurs de logiciels ou les entreprises de cybersécurité évaluent généralement le niveau de criticité de base d’une vulnérabilité (appelé » CVSS-B » dans la spécification 4.0). Ils fournissent également souvent une évaluation relative à la disponibilité et à la divulgation publique d’un exploit (CVSS-BT dans la version 4.0 et temporelle dans la version 3.1). Cette évaluation est un score de base modifié ; CVSS-B peut donc être supérieur ou inférieur à CVSS-BT. Quant au score environnemental (CVSS-BTE), il est calculé au sein d’une organisation donnée à partir de CVSS-BT, avec des ajustements effectués selon les conditions spécifiques d’utilisation du logiciel vulnérable.
L’évolution du système CVSS
Les deux premières versions du système CVSS, publiées en 2005 et 2007, sont à peine utilisées aujourd’hui. Même si vous pouvez encore trouver d’anciens scores CVSS pour des vulnérabilités modernes, CVSS 3.1 (2019) et CVSS 4.0 (2023) sont les systèmes de notation les plus courants. Cependant, de nombreux éditeurs de logiciels et registres de vulnérabilités ne sont pas pressés d’adopter la version 4.0 et continuent à fournir des scores CVSS 3.1.
L’idée centrale derrière la première version du système CVSS était de quantifier la gravité des vulnérabilités à l’aide d’un système de scores, avec une distinction initiale entre les mesures de base, temporelles et environnementales. À ce stade, les descriptions textuelles ont été formalisées de manière approximative et les trois groupes de mesures ont été calculés indépendamment.
Le système CVSS 2.0 a introduit une chaîne de vecteurs normalisée et une nouvelle logique : un score de base obligatoire et immuable, un score temporel calculé à partir du score de base mais tenant compte de facteurs changeants, et un score environnemental utilisé au sein d’organisations et de conditions particulières, dérivé soit du score de base, soit du score temporel.
Dans les versions 3.0 et 3.1, le concept de portée (impact sur d’autres composants du système) a été ajouté. Ces versions ont également défini plus précisément les paramètres liés aux privilèges requis et à l’interaction avec l’utilisateur, et ont généralisé et affiné les valeurs de nombreux paramètres. Plus important encore, ces versions ont tenté de consolider le fait que le système CVSS mesure la gravité d’une vulnérabilité, et non les risques qu’elle engendre.
Dans la version 4.0, les créateurs ont cherché à rendre la mesure CVSS plus utile pour les évaluations au niveau de l’entreprise de l’impact des vulnérabilités sur les risques. Il ne s’agit toutefois pas encore d’une mesure du risque. La complexité de l’attaque a été divisée en deux modules distincts : les exigences de l’attaque et la complexité de l’attaque. Cette distinction met en évidence la différence entre la difficulté technique inhérente à une attaque et les facteurs ou conditions externes nécessaires à sa réussite. Concrètement, cela signifie qu’une faille qui requiert une configuration spécifique et non standard sur le produit vulnérable pour être exploitée devra satisfaire à des conditions d’attaque plus strictes et, par conséquent, obtiendra un score CVSS global plus faible.
La mesure de portée, souvent mal comprise, qui offrait simplement les options « oui » ou « non » pour « l’impact sur d’autres composants », a été remplacée. Les développeurs ont introduit le concept plus clair de » systèmes ultérieurs « , qui précise désormais quel aspect de leur fonctionnement est concerné par la vulnérabilité. De plus, une série d’indicateurs complémentaires ont été ajoutés, comme l’automatisation d’une faille et l’impact de son exploitation sur la sécurité physique des personnes. Les formules elles-mêmes ont également fait l’objet de nombreuses révisions. L’influence de divers composants sur le score numérique de menace a été réévaluée à partir d’une base de données exhaustive sur les vulnérabilités et les données d’exploitation réelles.
Comment le système CVSS 4.0 transforme la hiérarchisation des vulnérabilités
Pour les professionnels de la cybersécurité, le système CVSS 4.0 vise à être plus pratique et mieux adapté aux réalités actuelles. Nous sommes confrontés à des dizaines de milliers de vulnérabilités, dont beaucoup obtiennent un score CVSS élevé. Cela conduit souvent à ce qu’elles soient automatiquement signalées pour une correction immédiate dans de nombreuses organisations. Le problème, c’est que ces listes ne cessent de s’allonger et que le délai moyen pour corriger une vulnérabilité avoisine désormais les sept mois.
Lorsque les vulnérabilités sont réévaluées de CVSS 3.1 à CVSS 4.0, le score de base pour les défauts dont la gravité est comprise entre 4,0 et 9,0 a tendance à augmenter légèrement. Toutefois, pour les vulnérabilités qui étaient considérées comme très graves dans le système CVSS 3.1, le score reste souvent inchangé, voire diminue. Plus important encore, alors que les mesures temporelles n’avaient auparavant que peu d’impact sur l’évaluation numérique d’une vulnérabilité, l’influence des mesures de menace et d’environnement est désormais beaucoup plus marquée. Orange Cyberdefense a réalisé une étude pour illustrer ce propos. Imaginons qu’une entreprise suive 8 000 vulnérabilités et que ses équipes informatiques et de sécurité soient tenues de corriger tous les défauts dont le score CVSS de base est supérieur à 8 dans un délai donné. Quel pourcentage de ces 8 000 vulnérabilités réelles entrerait dans cette catégorie – avec ou sans prise en compte de l’exposition de l’exploit au public (ajustement temporel/menace) ? Selon l’étude, le système CVSS 4.0, dans sa version de base, attribue un score d’au moins 8 à un plus grand pourcentage de vulnérabilités (33 % contre 18 % dans la version 3.1). Toutefois, si l’on tient compte de la disponibilité des exploits, ce chiffre diminue considérablement, ce qui réduit le nombre de failles réellement critiques à traiter en priorité (8 % contre 10 %).
Critique, Élevé et toute valeur intermédiaire
Quelle est la différence entre une vulnérabilité « critique » et une vulnérabilité tout simplement dangereuse ? Une description de gravité sous forme de texte fait partie de la spécification, mais elle n’est pas toujours nécessaire dans une description de vulnérabilité :
- Gravité faible : 0,1–3,9
- Gravité moyenne : 4,0–6,9
- Gravité élevée : 7,0–8,9
- Gravité critique : 9,0–10,0
Dans la pratique, de nombreux éditeurs de logiciels adoptent une approche créative de ces descriptions textuelles. Ils peuvent modifier les noms ou incorporer leurs propres évaluations et facteurs non inclus dans le système CVSS. Le Microsoft Patch Tuesday de juin, en particulier CVE-2025-33064 et CVE-2025-32710, en est un bon exemple. Le premier est décrit comme « Important » et le second comme « Critique », mais leurs scores CVSS 3.1 sont respectivement de 8,8 et 8,1.
Conseils