Les professionnels de la sécurité revoient la notation des vulnérabilités

Créé en 2005, le ' Common Vulnerability Scoring System ' vient d'être actualisé pour tenir compte de l'évolution des failles.

Philippe Richard

01net.

le 26/06/07 à 16h53

laisser un avis

Il ne se passe pas un jour sans qu'une nouvelle faille de sécurité touche un logiciel ou un système d'exploitation. Selon un rapport publié par IBM au début de cette année, 7 247 nouvelles vulnérabilités ont été enregistrées en 2006, soit une moyenne de vingt par jour ! Une augmentation d'environ 40 % par rapport aux chiffres de 2005.

Mais toutes ces failles n'ont pas le même niveau de dangerosité. C'est pour tenter d'y voir plus clair que différents standards de classification ont été lancés ces dernières années notamment par le First, une association créée en 1990 qui regroupe des Cert (Computer Emergency Response Teams).

Des vulnérabilités couplées à d'autres menaces

Mais le système d'évaluation des vulnérabilités, le Common Vulnerability Scoring System (CVSS), commence à dater. ' La typologie des vulnérabilités a beaucoup évolué en deux ans. Nous avons constaté de plus en plus de vulnérabilités "de moyenne sévérité" mais qui sont couplées avec d'autres menaces ', constate Laurent Heslault, directeur général adjoint de la sécurité chez Symantec. La communauté internationale de la sécurité a donc jugé nécessaire de revoir les méthodes de calcul et d'appréciation du CVSS.

Le 20 juin, le First a présenté la version 2. ' Elle représente une amélioration significative par rapport à la version originale. Elle réduit les incohérences, apporte une graduation supplémentaire et reflète de façon plus précise la large variété de vulnérabilités ', estime Gavin Reid, expert en sécurité au sein de Cisco et responsable de l'équipe d'une douzaine de chercheurs spécialisés dans le CVSS.

Même si ces différents standards sont reconnus au niveau international, leur impact doit être relativisé. ' Comme certains avis de sécurité sont plutôt laconiques, il est très difficile pour un tiers (tel que le First) d'évaluer l'impact réel d'une faille. Il est peut-être préférable de se fier à Metasploit, une plate-forme de tests d'intrusion embarquant des fonctions d'automatisation d'exploitation de failles et de création d'exploits. Si mon système peut être compromis par un code d'exploitation qui y est publié, il faut patcher ', estime Nicolas Ruff du Centre de recherche de la société EADS.

Le système d'évaluation des vulnérabilités

Avec le ' Common Vulnerability Enumeration ', chargé du nommage des vulnérabilités, le Common Vulnerability Scoring System est devenu un standard incontournable. Créé en février 2005, ce système universel d'évaluation permet de donner une note (comprise entre 0 et 10 selon la dangerosité) à toutes les vulnérabilités. Pour déterminer cette évaluation, le CVSS tient compte de différents critères parmi lesquels son principe de fonctionnement, sa complexité à être repérée et à être exploitée, son impact au niveau des postes de travail et des réseaux...

La note 1 n'est pas très inquiétante car cette menace a un impact limité et elle ne peut pas se combiner avec une autre. A 5, la situation devient plus délicate car la vulnérabilité peut être exploitée aussi bien au niveau local qu'au niveau du réseau. Le pire est bien sûr la faille qui obtient la note 10. Elle peut permettre à un attaquant de modifier voire d'effacer des documents auxquels il aura eu accès. Cette graduation permet aux professionnels de la sécurité et aux entreprises de mesurer la gravité d'un événement et de prendre les mesures adéquates.