CVSS v4.0 : Métriques et évaluation des vulnérabilités pour développeurs
CVSS fournit un score standardisé de 0 à 10 pour évaluer les vulnérabilités. Le score de base reflète les qualités intrinsèques de la vulnérabilité, indépendamment de tout environnement spécifique. Le NVD publie ces scores pour les CVE publiques, et la version 4.0 affine les métriques pour plus de précision.
Les développeurs s'appuient sur CVSS pour prioriser les correctifs : les scores supérieurs à 7 exigent une action immédiate, surtout avec des exploits proof-of-concept disponibles. Se concentrer sur les vecteurs d'attaque et l'impact permet de distinguer les risques théoriques des menaces réelles.
Métriques de base : Le cœur de l'évaluation
Le groupe de base capture les attributs fixes d'une vulnérabilité.
- Vecteur d'attaque (AV) : Réseau (N) — attaque à distance ; Adjacent (A) — réseau local ; Local (L) — accès direct ; Physique (P) — manipulation physique.
- Complexité d'attaque (AC) : Faible — simple ; Élevée — nécessite des conditions comme un homme du milieu.
- Privilèges requis (PR) : Aucun — sans authentification ; Faible — droits basiques ; Élevé — accès admin.
- Interaction utilisateur (UI) : Aucune — entièrement automatisée ; Requise — clic utilisateur ou ouverture de fichier.
L'impact est évalué selon le triptyque CIA :
- Confidentiel (C) : Aucun/Faible/Élevé — gravité de la fuite de données.
- Intégrité (I) : Aucun/Faible/Élevé — potentiel de modification.
- Disponibilité (A) : Aucun/Faible/Élevé — impact déni de service.
Exemple : CVE-2021-44228 (Log4Shell) avec AV:N/AC:L/PR:N/UI:N et Élevé sur tous les scores CIA obtient un parfait 10.0.
Métriques temporelles : Prise en compte de l'évolution des menaces
Les métriques temporelles ajustent le score de base en fonction des conditions actuelles.
| Métrique | Description | Impact sur le score |
|----------|-------------|---------------------|
| Maturité du code d'exploit (E) | Aucun/PoC/Élevé | Augmente avec le code disponible |
| Niveau de remédiation (RL) | Aucun/Contournement/Officiel | Diminue avec les correctifs |
| Confiance du rapport (RC) | Faible/Moyenne/Élevée | Baisse avec l'incertitude |
EternalBlue (CVE-2017-0144, base 8.1) est devenu critique après l'apparition d'exploits PoC dans WannaCry, grâce à un E élevé.
Métriques environnementales : Adaptation à votre configuration
Les métriques environnementales permettent d'ajuster les métriques de base (comme AV ou AC modifiés) pour votre environnement. Exigences supplémentaires :
- Exigence de confidentialité (CR) : Élevée pour les données PCI DSS.
- Exigence d'intégrité (IR) : Élevée pour les fichiers de configuration.
- Exigence de disponibilité (AR) : Élevée pour les services critiques.
Dans un réseau air-gapped, AV:N passe à AV:L, réduisant le score de 2–3 points.
Échelle d'évaluation CVSS et règles de priorisation
| Plage | Niveau | Action |
|-------|--------|--------|
| 0 | Aucun | Ignorer |
| 0.1–3.9 | Faible | Surveiller |
| 4.0–6.9 | Moyen | Évaluer le contexte |
| 7.0–8.9 | Élevé | Corriger en urgence |
| 9.0–10.0 | Critique | Corriger immédiatement |
Règles pour les devs confirmés :
- CVSS ≥9.0 + PoC = correctif prioritaire.
- Tout score dans les composants inutilisés = les supprimer.
- Valider les métriques modifiées dans vos pipelines CI/CD.
Exemples concrets
- Log4Shell : RCE complète via les logs, base 10.0.
- Follina (CVE-2022-30190) : 7.8, escaladé à Élevé avec des exploits APT.
- CVE-2024-40711 (Veeam) : RCE par contournement d'auth, critique pour les sauvegardes.
Intégrez CVSS dans des scanners comme Trivy ou Dependency-Check.
Sources de données fiables
Pour vérifier les CVE :
- cve.org — registre officiel.
- NVD — détails CVSS, CWE, CPE.
- Exploit-DB — exploits PoC.
- OWASP — Top 10, Guide de tests.
- PortSwigger Academy — labs d'attaques web.
Évitez les sources non vérifiées sensationnalistes.
Points clés
- Le score de base est votre point de départ ; Temporelles et Environnementales le rendent concret.
- Réseau + Aucun privilège + CIA Élevé = toujours ≥9.0.
- Intégrez CVSS dans l'automatisation de scan des dépôts.
- Vérifiez les PoC avant d'alerter.
- En production, utilisez toujours les métriques modifiées.
— Editorial Team
Aucun commentaire pour le moment.