Annoncé la semaine dernière au cours de la RSA Conference de San Francisco, le Common Vulnerability Scoring System (CVSS) se veut le mètre-étalon des vulnérabilités.

L’objectif est de permettre de noter selon un barème commun la gravité des nouvelles failles quel que soit le produit qu’elles frappent et quel que soit leur découvreur. Cela permettrait notamment aux entreprises, qui ne peuvent généralement se permettre d’appliquer systématiquement tous les correctifs, de mieux prendre leurs décisions en la matière.

Poussé par de grands acteurs de l’informatique dont Cisco, Microsoft et Symantec, aidé par l’expertise de vrais spécialistes tels Qualys ou ISS, ce CVSS donne l’impression d’un vrai coup pouce en perspective pour les entreprises. Après tout, une initiative d’organisation dans la cacophonie habituelle du monde de la recherche et de la publication des vulnérabilités ne peut être que la bienvenue. Avec CVSS chaque nouvelle vulnérabilité se verrait alors attribuer une note de critiçité basée sur des critères objectifs tels que l’exploitation possible à distance, avec ou sans un compte utilisateur sur le système, etc.

Le système rappelle bien sûr le Common Vulnerabilities and Exposures (CVE) qui attribue déjà un identifiant unique et détaille les vulnérabilités découvertes.

Mais si l’initiative paraît enthousiasmante sur le papier, elle devra toutefois montrer son utilité sur le terrain.

Premier écueil à prévoir, et de taille : hormis les cas les plus évidents, la sévérité d’une vulnérabilité est une vision hautement subjective. Une faille critique pour une entreprise ne le sera pas forcément pour une autre qui utilise le système concerné dans un environnement différent. Au mieux CVSS fera alors en sorte que, par exemple, un éditeur n’utilise plus dans ses alertes le terme « critique » là où un autre préfère parler d’une faille « majeure » pour désigner un risque identique (une exploitation à distance par exemple). Mais pour reste, l’entreprise restera toujours aussi seule face à ses choix.

Ensuite, comme toute proposition de standard, CVSS devra entraîner avec lui la majorité des acteurs concernés. Et il n’est pas encore certain que les spécialistes de la découverte des failles, souvent des chercheurs indépendants, adhèrent à cette convention de nommage. A moins de travailler de concert avec le découvreur en amont, il appartiendra alors aux éditeurs concernés de traduire l’importance de la vulnérabilité en une note CVSS une fois l’alerte originale publiée. Mais le temps qu’il le fasse, la plupart des entreprises auront de toute façon déjà pris leur décision en se basant sur les détails techniques de l’alerte et elles n’auront que faire d’une note synthétique.

Il reste, bien sûr, que le peu d’organisation que CVSS pourra amener sera certainement profitable. A condition de ne pas compter aveuglément sur une note arbitraire pour installer ou non un correctif, ce que de petites entreprises sans grandes ressources informatiques pourraient être tentées de faire.