Introduction

W hat do you understand by the word Vulnerability?? Liability?

Inability to withstand the situation? A weak spot, easy to be exploited?

Well, all of them are true. The vulnerability can crop out in terms of
physical, social, psychological, technical, financial, legal or any other
sector and it is crucial to be assessed to determine its severity and
potential impact so that possible security measures could be taken.

The same is true with the case of software application vulnerabilities.

Thus, it is very important to identify them first in order to process
further in the direction of preventing their impact. Here comes the role
of CVSS. Let’s move forward to know what is this CVSS-

History

CVSS was first introduced in 2005 by NIAC. It is now owned and managed
by the international Forum for Incident Response and Security Teams
(FIRST). The Common Vulnerability Scoring System-Special Interest Group
supported by FIRST was responsible for the initial design of the CVSS
framework as well as testing and refining of formulas used in new CVSS
versions. The CVSS SIG is made up of representatives from a broad range of
industry sectors.
What is CVSS?

Le CVSS (Common Vulnerability Scoring System) est le système de notation standard utilisé
pour estimer la criticité des vulnérabilités présentes dans les applications logicielles. Il offre un
moyen de standardiser l'évaluation de ces vulnérabilités, facilitant ainsi la priorisation et la
résolution pour les professionnels de la sécurité

 Le CVSS est composé de trois groupes de mesures : Base, Temporel et

Environnemental.
Base : représente les caractéristiques intrinsèques et fondamentales d'une
vulnérabilité qui restent constantes dans le temps et dans les environnements
utilisateurs.
• Temporal : représente les caractéristiques d'une vulnérabilité qui évoluent dans
le temps mais pas entre les environnements utilisateurs.
• Environnemental : représente les caractéristiques d'une vulnérabilité qui sont
pertinentes et uniques à l'environnement particulier d'un utilisateur.
Figure 1: CVSS Metric Groups

Les métriques de base produisent un score variant de 0,0 à 10,0, pouvant ensuite être modifié
en évaluant les métriques temporelles et environnementales
(https://www.first.org/cvss/v3-1/cvss-v31-specification_r1.pdf)
(https://securitylab.disi.unitn.it/lib/exe/fetch.php?
media=teaching:seceng:material:cvss-v30-examples.pdf )

1. métrique de base
  Vecteur d'attaque( Attack Vector (AV))
‫ماذا احتاج لكي اصل للجهاز‬

Cette métrique reflète le contexte par lequel l'exploitation d'une vulnérabilité est possible. Sa
valeur sera plus élevée si l'attaquant peut être plus éloigné pour exploiter le composant
vulnérable. L'hypothèse est que le nombre d'attaquants potentiels pour une vulnérabilité
pouvant être exploitée depuis un réseau est supérieur au nombre d'attaquants potentiels
pouvant exploiter une vulnérabilité nécessitant un accès physique à un appareil.

Metric Value Description

Network Une vulnérabilité exploitable avec un accès réseau signifie que le logiciel vulnérable est lié à
la pile réseau et que l'attaquant n'a pas besoin d'un accès au réseau local ou d'un accès local.
Une telle vulnérabilité est souvent appelée "exploitable à distance". Un exemple d'attaque
réseau est un attaquant provoquant un déni de service (DoS) en envoyant un paquet TCP
spécialement conçu à travers un réseau étendu.
Adjacent Une vulnérabilité exploitée avec un accès réseau adjacent nécessite que l'attaquant ait accès
soit au domaine de diffusion, soit au domaine de collision du logiciel vulnérable. Des
exemples de réseaux locaux incluent le sous-réseau IP local, le Bluetooth, l'IEEE 802.11 et le
segment Ethernet local.
Local L'attaquant exploite la vulnérabilité en accédant au système cible localement (par exemple,
via le clavier, la console) ou à distance (e.g., SSH)
Physical L'attaque nécessite que l'attaquant touche physiquement ou manipule le composant
vulnérable. Un exemple d'une telle attaque est une attaque de démarrage à froid, où un
attaquant accède aux clés de chiffrement du disque après avoir physiquement accédé au
système cible.
Complexité de l'attaque(Attack Complexity( :‫صعوبة تنفيذ الهجمة نفسها‬
 Cette métrique décrit les conditions qui doivent exister, indépendamment du
contrôle de l'attaquant, pour exploiter la vulnérabilité.
Metric Value Description
Low Il n'existe pas de conditions d'accès spécialisées ou de circonstances atténuantes. Un
attaquant peut s'attendre à un succès reproductible lors de l'attaque du composant
vulnérable. Exemple : L'attaque peut être effectuée manuellement et nécessite peu de
compétences ou de collecte d'informations supplémentaires.
High Une attaque réussie ne peut être réalisée à volonté, mais nécessite de la part de
l'attaquant un investissement mesurable en préparation ou en exécution contre
le composant vulnérable avant qu'une attaque réussie puisse être envisagée.
Par exemple, une attaque réussie :

 L'attaquant doit recueillir des informations sur l'environnement dans

lequel se trouve la cible vulnérable.
 L'attaquant doit s'insérer dans le chemin logique du réseau entre la cible
et la ressource demandée par la victime afin de lire et/ou de modifier les
communications réseau.

 Privilèges requis(Privileges Required) ‫صالحيات المطلوبة‬

Cette métrique décrit le niveau de privilèges qu'un attaquant doit posséder avant d'exploiter
avec succès la vulnérabilité. Le score de base est plus élevé s'il n'est pas nécessaire de disposer
de privilèges

Metric Value Description

None L'attaquant n'est pas autorisé avant l'attaque et, par conséquent, n'a
besoin d'aucun accès aux paramètres ou fichiers du système
vulnérable pour mener une attaque.
Low L'attaquant nécessite des privilèges offrant des capacités utilisateur de base qui
pourraient normalement affecter uniquement les paramètres et les fichiers détenus par
un utilisateur.
High L'attaquant nécessite des privilèges offrant des capacités significatives (par exemple,
administratives)

 Interaction utilisateur( User Interaction ): Cette métrique détermine si la

vulnérabilité peut être exploitée uniquement à la volonté de l'attaquant, ou si un
utilisateur distinct doit participer d'une manière quelconque.
Metric Value Description
None Le système vulnérable peut être exploité sans interaction d'aucun utilisateur
Required L'exploitation réussie de cette vulnérabilité nécessite qu'un utilisateur entreprenne une
action avant que la vulnérabilité puisse être exploitée
Portée (Scope):
Metric Value Description
Unchanged Une vulnérabilité exploitée peut uniquement affecter les ressources gérées
par la même autorité de sécurité.
Changed Une vulnérabilité exploitée peut affecter des ressources au-delà du porté de
sécurité géré par l'autorité de sécurité du composant vulnérable .

‫ هذه صورة في الشك‬https://core.ac.uk/download/pdf/200208052.pdf

 Métriques d'impact ( Impact Metrics)
Cette métrique mesure l'impact sur la confidentialité des ressources d'informations gérées par
un composant logiciel suite à l'exploitation réussie d'une vulnérabilité

La confidentialité (confidentiality) fait référence à la limitation de l'accès et à la divulgation des

informations uniquement aux utilisateurs autorisés, ainsi qu'à la prévention de l'accès ou de la
divulgation aux utilisateurs non autorisés. Le score de base est le plus élevé lorsque la perte pour le
composant impacté est maximale. La liste des valeurs possibles est présentée dans le Tableau 6

2.3.2. integrité (Integrity (I))

Cette métrique mesure l'impact sur l'intégrité d'une vulnérabilité exploitée avec succès.
L'intégrité se réfère à la fiabilité et à la véracité des informations. Le score de base est le plus
élevé lorsque la conséquence pour le composant impacté est maximale. La liste des valeurs
possibles est présentée dans le Tableau 7

2-metrique temporel Temporal Metrics :

 Maturité du code d'exploitation( Exploit Code Maturity):

Cette métrique mesure la probabilité que la vulnérabilité soit attaquée, et est généralement
basée sur l'état actuel des techniques d'exploitation, la disponibilité du code d'exploitation,
ou encore l'exploitation active "en conditions réelles".

La disponibilité publique de codes d'exploitation faciles à utiliser augmente le nombre

potentiel d'attaquants en incluant ceux qui ne sont pas expérimentés, ce qui accroît ainsi la
gravité de la vulnérabilité.

Metric Value Description

Élevé Le code fonctionne dans toutes les situations, ou est activement distribué
High via un agent autonome mobile (comme un ver informatique ou un virus).
Le code fonctionne dans la plupart des situations où la vulnérabilité existe
Fonctionnel
Functional
Preuve de Le code ou la technique n'est pas fonctionnel dans toutes les situations et peut nécessiter
concept Proof-of- des modifications substantielles de la part d'un attaquant expérimenté.
Concept
Non prouvé Aucun code d'exploitation n'est disponible, ou un exploit est entièrement théorique
Unproven
Niveau de remediation Remediation Level :
Le niveau de remédiation d'une vulnérabilité est un facteur crucial pour la priorisation. En
général, une vulnérabilité n'est pas corrigée lors de sa publication initiale. Des solutions de
contournement ou des correctifs temporaires peuvent offrir une remédiation provisoire jusqu'à
ce qu'un correctif officiel ou une mise à niveau soit publié. Chacune de ces étapes ajuste le score
temporel à la baisse, reflétant l'urgence décroissante à mesure que la remédiation se finalise

Metric Value Description

Non prouvé Unproven Il n'y a pas de solution disponible ou il est impossible de l'appliquer
Contournement(Workaroun Il existe une solution non officielle et non fournie par le fournisseur. Dans
d certains cas, les utilisateurs de la technologie affectée créeront leur propre
correctif ou fourniront des étapes pour contourner ou atténuer autrement la
vulnérabilité
Correctif temporaire Il existe une solution officielle mais temporaire
Temporary Fix
correctif officielOfficial Fix Une solution complète du fournisseur est disponible. Soit le fournisseur a
publié un correctif officiel, soit une mise à niveau est disponible.

Comment calculer le score de base?

Le score de base dépend de trois paramètres connus sous le nom de sous-score d'impact (ISS),

d'impact et d'exploitabilité. Donc, d'abord, nous devons déterminer la valeur de ces paramètres,

puis seulement nous pouvons utiliser la formule du score de base.

1. sous-score d'impact (Impact Sub Score (ISS)) -

[ISS= 1- [(1- Confidentiality) *(1- Integrity) *(1- Availability)]]

2. La valeur de l'impact peut être déterminée avec la formule-

 Si la portée (scope)est changé , Impacte = [7.52 *(ISS-0.029)- 3.25

*[(ISS-0.02) ^15]]

 Si la portée (scope) reste inchangée, Impact= [6.45 *ISS]

3. L'exploitabilité (exploitability) peut être déterminée à partir de la formule -

[Exploitability = 8.22 × Attack Vector × Attack Complexity ×

Privileges Required × User Interaction]

 Après avoir déterminé tous ces paramètres, le score de base peut être

facilement calculé comme suit :

 If ISS <=0, the Base Score will be 0.

Else,
  If porté inchangé => [Base Score = Roundup (Minimum
[(Impact + Exploitability), 10)]]
 If porté change [Base Score = Roundup (Minimum
[1.08 *(Impact + Exploitability), 10)]]

Équations des métriques temporelles (Temporal Metrics Equations )

TemporalScore = Roundup (BaseScore × ExploitCodeMaturity × RemediationLevel ×

ReportConfidence)

Équations des métriques environnementales (Environmental Metrics Equations):

La formule du score environnemental dépend des sous-formules pour le Sous-score

d'Impact Modifié (MISS), l'Impact Modifié et l'Exploitabilité Modifiée, toutes définies ci-

dessous :

MISS = Minimum ( 1 - [ (1 - ConfidentialityRequirement × ModifiedConfidentiality) × (1 -

IntegrityRequirement × ModifiedIntegrity) × (1 - AvailabilityRequirement ×

ModifiedAvailability) ], 0.915)

ModifiedImpact =

If ModifiedScope is inchangé 6.42 × MISS

If ModifiedScope is Changé 7.52 × (MISS - 0.029) - 3.25 × (MISS × 0.9731 - 0.02)13

ModifiedExploitability = 8.22 × ModifiedAttackVector × ModifiedAttackComplexity ×

ModifiedPrivilegesRequired × ModifiedUserInteraction
Note that the exponent at the end of the ModifiedImpact sub-formula is 13, which differs

from CVSS v3.0. See the User Guide for more details of this change.

EnvironmentalScore =

If ModifiedImpact <= 0 0, else

If ModifiedScope is Unchanged Roundup

( Roundup [Minimum ([ModifiedImpact + ModifiedExploitability], 10) ] ×

ExploitCodeMaturity × RemediationLevel × ReportConfidence)

If ModifiedScope is Changed Roundup

( Roundup [Minimum (1.08 × [ModifiedImpact + ModifiedExploitability], 10) ] ×

ExploitCodeMaturity × RemediationLevel × ReportConfidence)

SCORE CVSS : Après avoir déterminé le score de base, nous vérifions le niveau de gravité

des vulnérabilités en fonction du marquage du score avec l'échelle de notation comme

mentionné ci-dessous :

V3.0

Non 0.0_0.0

Low 0.1_ 3.9

Medium 4.0 – 6.9

High 7.0 _ 8.9

Critical 9.0 – 10.0

V 2.0

Low 0.0_ 3.9

Medium 4.0 – 6.9

High 7.0 _ 10.0

Mais avec l'introduction du calculateur CVSS, tout ce processus de calcul du score de

base s'est limité à un simple clic. Jetons un coup d'œil à la façon d'installer ce

calculateur ci-dessous –

Installation CVSS Calculator :

……
Quelles sont les différentes versions du CVSS et quelles sont les principales différences entre
elles ?"

Depuis sa création, le CVSS a subi plusieurs révisions pour répondre à l'évolution des besoins en
cybersécurité et améliorer sa précision et son applicabilité. Les principales versions du CVSS
comprennent CVSS v1 (2005), CVSS v2 (2007) et CVSS v3 (2015), la dernière version étant CVSS
v3.1 (2019)

CVSS v1, la première itération, a établi une base pour évaluer les vulnérabilités. Cependant, elle
présentait des limitations en termes de granularité et de précision, ce qui a conduit au
développement du CVSS v2.

Le CVSS v2 a introduit plusieurs améliorations, notamment des définitions de métriques affinées

et une meilleure classification des vulnérabilités. Malgré ces améliorations, le CVSS v2 présentait
toujours certaines lacunes pour traiter la diversité des vulnérabilités et leurs impacts sur les
systèmes modernes

Le CVSS v3 a adressé les limitations du CVSS v2 en introduisant des changements importants à

ses groupes de métriques, en affinant la méthodologie de notation et en offrant une
représentation plus précise de la gravité des vulnérabilités. Quelques mises à jour clés dans le
CVSS v3 incluent l'ajout de nouvelles métriques, telles que "Interaction Utilisateur" et "Portée",
ainsi que la séparation de "Vecteur d'Accès" en deux métriques distinctes : "Vecteur
d'Attaque"et "Complexité de l'Attaque"

CVSS v3.1, la dernière version, s'appuie sur les bases du CVSS v3 en introduisant des mises à
jour mineures et des clarifications pour améliorer sa convivialité et son efficacité

CVSS v4
Exemple de calculator CVSS v3 :
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:L/
UI:R/S:U/C:L/I:H/A:H

Pour ajouter d’autre information

https://phoenix.security/cvss-v4-whats-new-and-how-does-it-differ-from-
cvss-v3-1/