CVSS : le scoring de sévérité des failles critiqué

Les experts en cybersécurité du géant financier JPMorganChase estiment que CVSS, le système évaluant la criticité des failles est erroné et qu'il doit être réévalué.

La méthode utilisée par l'ensemble de l'industrie pour évaluer la gravité des failles des logiciels et du matériel doit être révisée, car elle risque d'induire en erreur, a-t-on appris jeudi lors de la conférence Black Hat Europe. Le système commun d'évaluation des vulnérabilités (CVSS) utilise diverses mesures pour quantifier la criticité des brèches. Lors de la conférence, des experts en cybersécurité de JPMorganChase ont présenté des exemples dans lesquels le système ne reflète pas correctement les risques réels. Le problème est que nombre des CVE étant mal évalués, les entreprises donnent la priorité aux efforts de remédiation sur la base de données erronées.

Par exemple, les scores CVSS ne tiennent pas compte de facteurs contextuels tels que l'environnement dans lequel une faille existe ou si elle a été activement exploitée dans la nature. « Les mesures d'impact CVSS accordent la même importance à la confidentialité, à l'intégrité et à la disponibilité, négligeant ainsi les priorités uniques des sociétés en matière de risque et l'impact réel d'une vulnérabilité », selon JPMorganChase. En 2023, le taux de divulgation moyen était de 80 failles par jour, un chiffre qui augmente d'environ 20 % d'une année sur l'autre. Environ 18 % sont considérées comme critiques, avec un score CVSS 3.0 de 9 ou plus.

La gravité des vulnérabilités est sous-estimée

L'analyse de JPMorganChase suggère qu'environ 10 % des trous de sécurité sont potentiellement sous-évalués. Par exemple, une DDoS de Citrix NetScaler, CVE-2020-8187, affichée à seulement 7,5 et divulguée pendant la crise Covid, avait le « potentiel d'amener les entreprises à un arrêt brutal ». Les chercheurs affirment que la protection de la vie privée n'est pas suffisamment prise en compte lors de l'établissement des scores CVSS. « L'utilisation de mesures génériques de confidentialité masque potentiellement l'impact sur la vie privée dans des milliers de CVE.

Autre exemple, la faille CVE-2019-13450 de divulgation d'informations sur Zoom (ouverture de la webcam sans interaction de l'utilisateur) n'a été classée que comme présentant un risque moyen malgré son impact potentiel de « violations de la vie privée, de risques pour la sécurité, [et] de conséquences potentielles sur le plan juridique et de la réputation », selon les chercheurs de JPMorganChase. Ils affirment que la prise en compte inadéquate des dépendances est une autre lacune majeure des scores CVSS, affectant la hiérarchisation d'au moins 11 % des CVE. Les exploits nécessitent parfois une configuration spécifique ou s'appuient sur d'autres vulnérabilités logicielles - la configuration et les contrôles d'accès peuvent affecter de manière significative la capacité d'un attaquant à exploiter une faille. Les chercheurs affirment que si les privilèges des utilisateurs peuvent influencer la gravité et l'impact potentiel d'une faille, ils restent un autre facteur qui n'est pas suffisamment pris en compte dans le calcul des scores CVSS.

CVSS 4.0 aussi concerné par des lacunes ?

Le prochain framework CVSS 4.0 introduit des mesures d'impact élargies, des actions temporelles affinées et de nouveaux éléments supplémentaires pour améliorer la précision de l'évaluation. Toutefois, selon les chercheurs en sécurité de JPMorganChase, des problèmes subsistent, notamment l'absence de prise en compte des préoccupations en matière de protection de la vie privée et des associations avec les menaces persistantes avancées (APT). L'établissement financier a mis au point un cadre pour tenir compte de l'absence de pondération des APT et de l'exploitabilité, ainsi que de la question des dépendances. Il a élaboré un schéma conceptuel qu'il encourage les autres membres de la communauté de la sécurité à examiner et à participer à l'affinement de ce schéma.

En réponse à une question du CSO, Syed Islam, architecte principal de la sécurité chez JPMorganChase, a reconnu que seules les organisations ayant atteint un certain degré de maturité en matière de sécurité - par exemple en disposant d'un inventaire des technologies et des applications sur lesquelles repose leur activité - tireraient un bénéfice substantiel de l'application de sa méthodologie d'évaluation des failles.