|
|
|
|
|
Sommaire Sécurité |
|
La dangerosité des failles fait l'objet d'une nouvelle notation |
Le Common Vulnerability Scoring System -CVSS- a été présenté lors de la conférence annuelle RSA. Soutenu par les grands éditeurs, il cherche à imposer une méthode de calcul standard à l'ensemble de l'industrie.
(22/02/2005) |
|
Une nouvelle nomenclature visant à évaluer la dangerosité des
menaces informatiques a été dévoilée lors de la conférence annuelle
RSA qui se déroulait du 14 au 18 février 2005 à San Francisco,
réunissant différents acteurs du domaine du secteur de la sécurité.
Baptisée Common Vulnerability Scoring System ou CVSS, elle doit
permettre aux éditeurs de fournir à leurs clients un système
de notation rapide construit sur le système des équations mathématiques.
Chaque variable sera en effet pondérée par un coefficient
intégrant notamment l'infrastructure du client en terme de
postes touchés ou de systèmes vulnérables existants.
Soutenue
par des poids lourds de l'industrie, Cisco, Microsoft et Symantec
en tête et développé en parallèle par le gouvernement américain
et les industriels du secteur informatique dont eBay, Qualys,
Mitre et Internet Security Systems, cette nouvelle classification
des failles se veut une référence universelle à la fois chez
les éditeurs et chez les clients.
Le
CVSS s'inscrit dans un projet plus global mené par le département
américain en charge de la sécurité du territoire visant à
créer un cadre standard pour la publication d'informations
en matière de vulnérabilités logicielles.
Jusqu'alors, éditeurs
et cabinets de sécurité évaluaient la dangerosité des failles
selon leurs propres critères, sans qu'une méthode unifiée
ne se soit imposée. Dans un premier temps, les éditeurs sont
invités à conserver leurs propres méthodes en y ajoutant le
système de notation CVSS.
CVSS
se base sur les données issues du projet CVE. |
Le nouveau système de notation emprunte la base de données
du projet Common Vulnerabilities and Exposures (CVE) recensant
la liste des différentes failles logicielles identifiées ainsi
que leurs noms standards.
Il indice notamment le délai d'apparition
de la faille, la présence ou non de codes en tirant profit,
la dangerosité de la faille, le temps nécessaire à un pirate
pour exploiter une machine non protéger, les techniques de
sécurité possibles pour empêcher une exploitation de la faille
ainsi que les informations propres au parc informatique du
client.
Il manque cependant encore un hébergeur au système CVSS pour
promouvoir son usage à l'aide de portails Internet et de démonstrations
en ligne comme le fait par exemple la société Mitre dans le
cas de la base de données du CVE.
Cette volonté de normaliser
intervient alors que le délai entre la publication de failles
logicielles et l'apparition de codes malveillants en tirant
parti a fortement diminué (lire l'article
du 22/12/2004). Pour les responsables sécurité, il devient
alors nécessaire de définir des niveaux de priorité aux différents
correctifs afin de maintenir son parc protégé.
Mercredi 16 février, les différents participants de la conférence
RSA avaient débattu de l'intérêt de réguler ou non l'industrie
informatique en terme de sécurité. Le débat, déjà évoqué en
2004 par plusieurs grandes banques américaines (lire l'article
du 09/07/2004), envisageait la mise en place de pénalités
financières pour les éditeurs responsables de failles de sécurité
sévères et répétées. |
|
|
|
|
|
|
|