Common Vulnerability Scoring System

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Common Vulnerability Scoring System (CVSS) est un système d'évaluation standardisé de la criticité des vulnérabilités selon des critères objectifs et mesurables. Cette évaluation est constituée de 3 mesures appelées métriques: la métrique de base, la métrique temporelle et la métrique environnementale.

Métriques[modifier | modifier le code]

Le CVSS est construit à partir de la métrique de base qui nous donne une évaluation du CVSS de base qui sera ensuite pondérée avec la métrique temporelle puis avec la métrique environnementale. Ces trois métriques se définissent comme suit:

  1. la métrique de base est unique et immuable, elle se base sur les qualités intrinsèques de la vulnérabilité ;
  2. la métrique temporelle est unique mais peut évoluer au cours du temps ;
  3. la métrique environnementale est multiple et évolue en fonction de l'environnement informatique. Elle dépend du système informatique dans lequel elle est présente.

Métrique de base[modifier | modifier le code]

Métrique d'exploitation[modifier | modifier le code]

Vecteur d'accès[modifier | modifier le code]

Le vecteur d'accès (Access Vector/AV) définit comment une vulnérabilité peut être exploitée.

Valeur Description Score
Local (Local (L)) L'attaquant doit avoir soit un accès physique au système vulnérable (Exemple: Attaques via le port Firewire) soit avoir un compte local (Exemple: Attaque d'escalade de privilèges). 0.395
Réseau local(Adjacent Network (A)) L'attaquant doit avoir accès au domaine de diffusion ou de collision du système vulnérable (Exemple: ARP spoofing, attaques Bluetooth). 0.646
Réseau (Network (N)) L'interface vulnérable utilise le niveau 3 ou plus de la pile OSI. Ce type de vulnérabilité sont communément décrite comme exploitable à distance. (Exemple: Un dépassement de tampon distant dans un composant réseau.) 1.0
Complexité d'accès[modifier | modifier le code]

La complexité d'accès (Access Complexity (AC)) définit le niveau de difficulté d'exploiter la vulnérabilité découverte.

Valeur Description Score
Haut (High (H)) Des conditions spécifiques sont nécessaires, comme une fenêtre d'exécution étroite ou un besoin d'utilisation de méthode d'ingénierie sociale qui pourraient être aisément détectée par des personnes connaisseuses. 0.35
Moyen (Medium (M)) Il existe des conditions supplémentaires d'accès comme une limitation sur l'origine de l'accès ou le besoin que le système utilise une configuration non commune ou différente de celle par défaut. 0.61
Bas (Low (L)) Il n'y a pas de condition particulière d'accès, comme un système disponible pour un grand nombre d'utilisateurs ou que la configuration est largement répandue. 0.71
Authentification[modifier | modifier le code]

La métrique d'authentification (Authentication (Au)) définit le nombre de fois qu'un attaquant doit s'authentifier sur la cible dans le but d'exploiter la vulnérabilité. Ceci fait référence spécifiquement au nombre de fois qu'une authentification est nécessaire une fois que l'accès au système a été obtenu. Ca n'inclue pas, par exemple, l'authentification au réseau utilisé pour accéder au système vulnérable. Pour des vulnérabilités exploitable localement, cette valeur ne devrait seulement être fixée à Unique ou Multiple si une authentification est nécessaire après avoir accédé au système.

Valeur Description Score
Multiple (Multiple (M)) L'exploitation de la vulnérabilité nécessite que l'attaquant s'authentifie deux fois ou plus, même si les authentifiants utilisés sont les mêmes à chaque fois. 0.45
Simple (Single (S)) L'attaquant doit s'authentifier une seule fois pour exploiter cette vulnérabilité. 0.56
Inexistant (None (N)) Il n'y a pas besoin que l'attaquant s'authentifie. 0.704

Métrique d'impact[modifier | modifier le code]

Confidentialité[modifier | modifier le code]

La métrique de confidentialité (Confidentiality (C)) définit l'impact sur la confidentialité des données sur ou traités par le système.

Valeur Description Score
Aucun (None (N)) Il n'y a pas d'impact sur la confidentialité du système. 0.0
Partiel (Partial (P)) Il existe un impact important en cas de diffusion de l'information mais l'étendue de la perte est limitée car seul une partie de l'information est disponible. 0.275
Complet (Complete (C)) Il y a une diffusion complète de l'information, une fourniture de l'ensemble des données accessibles sur le système. 0.660
Intégrité[modifier | modifier le code]

La métrique d'intégrité(Integrity (I)) définit l'impact sur l'intégrité des données du système.

Valeur Description Score
Aucun (None (N)) Il n'y a pas d'impact sur l'intégrité du système. 0.0
Partiel (Partial (P)) La modification de données est possible, mais l'étendue de la modification est limité. 0.275
Complet (Complete (C)) Il y a une perte totale d'intégrité. L'attaquant peut modifier chaque fichier ou information du système ciblé. 0.660
Disponibilité[modifier | modifier le code]

La métrique de disponibilité (Availability (A)) définit l'impact de la disponibilité du système ciblé. Les attaques consommant de la bande passante, des cycles processeurs, de la mémoire, ou tout autre ressource affectent la disponibilité d'un système.

Valeur Description Score
Aucun (None (N)) Il n'y a pas d'impact sur la disponibilité du système. 0.0
Partiel (Partial (P)) Il y a une légère perte de performance ou une perte de quelques fonctionnalités. 0.275
Complet (Complete (C)) Il y a une perte totale de disponibilité de la ressource attaquée. 0.660

Métrique temporelle[modifier | modifier le code]

Métrique environnementale[modifier | modifier le code]

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]