Une vulnérabilité dans SSL 3.0 pourrait permettre la divulgation d'informations
Date de publication : 14 octobre 2014 | Date de mise à jour : 14 avril 2015
Version : 3.0
Informations générales
Synthèse
Microsoft a connaissance de la publication d'informations détaillées décrivant une nouvelle méthode d'exploitation d'une vulnérabilité dans SSL 3.0. Il s'agit d'une vulnérabilité à l'échelle du secteur concernant le protocole SSL 3.0 lui-même, et qui n'est pas spécifique au système d'exploitation Windows. Toutes les versions en cours de support de Microsoft Windows mettent en œuvre ce protocole et sont concernées par cette vulnérabilité. Microsoft n'a pas connaissance d'attaques visant à exploiter cette vulnérabilité à ce jour. Étant donné le scénario d'attaque, le risque de cette vulnérabilité pour les clients n'est pas considéré comme élevé.
Nous collaborons activement avec nos partenaires du Microsoft Active Protections Program (MAPP) afin de fournir les informations dont ils ont besoin pour offrir une protection plus efficace à leurs clients.
Microsoft annonce que la publication de la mise à jour de sécurité 3038314 du 14 avril 2015 va désactiver SSL 3.0 par défaut dans Internet Explorer 11. Il annonce également que SSL 3.0 sera désactivé pour les services Microsoft Online Services dans les prochains mois. Nous recommandons à notre clientèle de migrer clients et services vers des protocoles plus sécurisés, tels que TLS 1.0, TLS 1.1 ou TLS 1.2.
Facteurs atténuants :
L'attaquant doit effectuer plusieurs centaines de requêtes HTTPS avant de pouvoir aboutir.
TLS 1.0, TLS 1.1, TLS 1.2 et toutes les suites de code qui n'utilisent pas le mode CBC ne sont pas affectées.
Recommandation.Consultez la section Actions suggérées de cet Avis pour découvrir les solutions de contournement permettant de désactiver SSL 3.0. Microsoft recommande aux clients d'utiliser ces solutions de contournement pour tester leurs clients et services en ce qui concerne l'utilisation de SSL 3.0 et de commencer la migration en conséquence.
Détails de l'Avis
Références sur le problème
Pour plus d'informations sur ce problème, consultez les références suivantes :
Logiciels concernés
-------------------
Cet Avis porte sur les logiciels suivants.
**Logiciels concernés**
Système d'exploitation
Windows Server 2003 Service Pack 2
Windows Server 2003 Édition x64 Service Pack 2
Windows Server 2003 avec SP2 pour systèmes Itanium
Windows Vista Service Pack 2
Windows Vista Édition x64 Service Pack 2
Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour systèmes Itanium Service Pack 2
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
Windows 8 pour systèmes 32 bits
Windows 8 pour systèmes x64
Windows 8.1 pour systèmes 32 bits
Windows 8.1 pour systèmes x64
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
Option d'installation Server Core
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
Windows Server 2012 (installation Server Core)
Windows Server 2012 R2 (installation Server Core)
Forum aux questions relatif à cet Avis
--------------------------------------
**J'utilise une version d'Internet Explorer autre que la version 11. Comment puis-je protéger mon système de cette vulnérabilité ?**
**SSL 3.0 n'a été désactivé que dans Internet Explorer 11 sur toutes les éditions prises en charge de Microsoft Windows. Si vous utilisez une autre version d'Internet Explorer, consultez la section Solutions de contournement suggérées pour des solutions que vous pourriez appliquer à votre système pour le protéger de cette vulnérabilité.
**Quelle est la portée de cet Avis ?**
Le but de cet Avis est d'avertir les clients que Microsoft a connaissance d'informations détaillées décrivant une nouvelle méthode d'exploitation d'une vulnérabilité qui affecte SSL 3.0. Il s'agit d'une vulnérabilité de divulgation d'informations.
**Comment un attaquant pourrait-il exploiter cette vulnérabilité ?**
Dans le cas d'une attaque d'interception (MITM, pour Man-In-The-Middle), un attaquant pourrait abaisser le niveau d'une session TLS chiffrée, obligeant les clients à utiliser SSL 3.0, puis forcer le navigateur à exécuter du code malveillant. Ce code envoie plusieurs requêtes à un site Web HTTPS cible, où les cookies sont automatiquement envoyés si une session précédemment authentifiée existe. Il s'agit d'une condition requise pour exploiter cette vulnérabilité. L'attaquant pourrait alors intercepter ce trafic HTTPS et, en exploitant une vulnérabilité connue dans le chiffrement de bloc CBC dans SSL 3.0, il pourrait déchiffrer certaines parties du trafic chiffré (telles que des cookies d'authentification).
**Que pourrait faire un attaquant en exploitant cette vulnérabilité ?**
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait déchiffrer certaines parties du trafic chiffré.
**Quelle est la cause de cette vulnérabilité ?**
Cette vulnérabilité est due à une vulnérabilité connue dans l'algorithme de chiffrement CBC utilisé dans SSL 3.0.
**Qu'est-ce que SSL ?**
SSL (Secure Sockets Layer) est un protocole cryptographique qui garantit une communication sécurisée sur Internet. SSL chiffre les données circulant sur le réseau à l'aide de la cryptographie pour assurer la confidentialité et d'un code d'authentification de message indexé pour assurer la fiabilité du message.
**Qu'est-ce que TLS ?**
TLS (Transport Layer Security) est un protocole standard utilisé pour fournir des communications Web sécurisées sur Internet ou des réseaux intranet. Il permet à des clients d'authentifier des serveurs, ou, éventuellement, à des serveurs d'authentifier des clients. Il fournit également un canal sécurisé en chiffrant les communications. TLS est la version la plus récente du protocole Secure Sockets Layer (SSL).
**TLS est-il affecté par ce problème ?**
Non. Ce problème est spécifique à SSL 3.0.
**S'agit-il d'un problème à l'échelle du secteur ?**
Oui. La vulnérabilité réside dans la conception du protocole SSL 3.0 et n'est pas limitée à son implémentation par Microsoft.
Actions suggérées
-----------------
### Appliquer des solutions de contournement
Le terme « solution de contournement » fait référence à une modification de paramètre ou de configuration qui ne corrige pas le problème sous-jacent, mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce qu'une mise à jour de sécurité soit disponible.
- **Désactiver SSL 3.0 et activer TLS 1.0, TLS 1.1 et TLS 1.2 dans Internet Explorer**
Vous pouvez désactiver le protocole SSL 3.0 dans Internet Explorer en modifiant les paramètres de sécurité avancée d'Internet Explorer.
Pour modifier la version par défaut du protocole devant être utilisée pour les requêtes HTTPS, exécutez la procédure suivante :
1. Dans le menu **Outils** d'Internet Explorer, cliquez sur **OptionsInternet**.
2. Dans la boîte de dialogue **OptionsInternet**, cliquez sur l'onglet **Avancé**.
3. Dans la catégorie **Sécurité**, désélectionnez **UtiliserSSL** **3.0** et sélectionnez **Utiliser TLS 1.0**, **Utiliser TLS 1.1** et **Utiliser TLS 1.2** (si disponible).
4. **Remarque** Il est important de sélectionner les versions consécutives. Sinon (si, par exemple, vous sélectionnez TLS 1.0 et 1.2, mais pas 1.1), des erreurs de connexion peuvent se produire.
5. Cliquez sur **OK**.
6. Quittez et redémarrez Internet Explorer.
**Remarque** Après l'application de cette solution de contournement, Internet Explorer ne parvient pas à se connecter aux serveurs web qui prennent en charge uniquement SSL jusqu'à la version 3.0 et ne prennent pas en charge TLS 1.0, TLS 1.1 et TLS 1.2.
> [!NOTE]
> Consultez l'[Article 3009008 de la Base de connaissances Microsoft](https://support.microsoft.com/fr-fr/kb/3009008) pour utiliser la solution de réparation Microsoft Fix it et désactiver SSL 3.0 dans Internet Explorer uniquement.
**Comment annuler la solution de contournement**. Procédez comme suit pour activer SSL 3.0 dans Internet Explorer.
1. Dans le menu **Outils** d'Internet Explorer, cliquez sur **OptionsInternet**.
2. Dans la boîte de dialogue **OptionsInternet**, cliquez sur l'onglet **Avancé**.
3. Dans la catégorie **Sécurité**, activez la case à cocher **SSL3.0**.
4. Cliquez sur **OK**.
5. Quittez et redémarrez Internet Explorer.
- **Désactiver SSL 3.0 et activer TLS 1.0, TLS 1.1 et TLS 1.2 dans Internet Explorer dans la stratégie de groupe**
Vous pouvez désactiver la prise en charge du protocole SSL 3.0 dans Internet Explorer par le biais de la stratégie de groupe en modifiant l'objet de stratégie de groupe Désactiver la prise en charge du chiffrement.
1. Ouvrez la gestion des stratégies de groupe.
2. Sélectionnez l'objet de stratégie de groupe à modifier, cliquez avec le bouton droit et sélectionnez **Édition**.
3. Dans l'Éditeur de gestion des stratégies de groupe, naviguez jusqu'au paramètre suivant :
Configuration ordinateur -> Modèles d'administration -> Composants Windows -> Internet Explorer -> Panneau de configuration Internet -> Page Avancé -> Désactiver la prise en charge du chiffrement
4. Double-cliquez sur le paramètre **Désactiver la prise en charge du chiffrement** pour le modifier.
5. Cliquez sur **Activé**.
6. Dans la fenêtre Options, modifiez le paramètre Combinaisons sécurisées de protocoles en **Utiliser TLS 1.0, TLS 1.1 et TLS 1.2**.
7. **Remarque** Il est important de sélectionner les versions consécutives. Sinon (si, par exemple, vous sélectionnez TLS 1.0 et 1.2, mais pas 1.1), des erreurs de connexion peuvent se produire.
8. Cliquez sur **OK**.
**Remarque** Les administrateurs doivent s'assurer que cette stratégie de groupe a été appliquée correctement en reliant la stratégie de groupe à l'UO appropriée dans leur environnement.
**Remarque** Après l'application de cette solution de contournement, Internet Explorer ne parvient pas à se connecter aux serveurs web qui prennent en charge uniquement SSL jusqu'à la version 3.0 et ne prennent pas en charge TLS 1.0, TLS 1.1 et TLS 1.2.
**Comment annuler la solution de contournement**. Procédez comme suit pour désactiver le paramètre de stratégie SSL 3.0 :
1. Ouvrez la gestion des stratégies de groupe.
2. Sélectionnez l'objet de stratégie de groupe à modifier, cliquez avec le bouton droit et sélectionnez **Édition**.
3. Dans l'Éditeur de gestion des stratégies de groupe, naviguez jusqu'au paramètre suivant :
Configuration ordinateur -> Modèles d'administration -> Composants Windows -> Internet Explorer -> Panneau de configuration Internet -> Page Avancé -> Désactiver la prise en charge du chiffrement
4. Double-cliquez sur le paramètre **Désactiver la prise en charge du chiffrement** pour le modifier.
5. Cliquez sur **Désactivé.**
6. Cliquez sur **OK.**
- **Désactiver SSL 3.0 dans Windows**
**Pour les logiciels serveurs**
Pour désactiver la prise en charge pour le protocole SSL 3.0 sous Windows, procédez comme suit :
1. Cliquez sur **Démarrer**, sur **Exécuter**, tapez **regedt32** ou **regedit**, puis cliquez sur **OK**.
2. Dans l'Éditeur du Registre, recherchez la clé de Registre suivante :
```
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
```
**Remarque** Si le chemin d'accès complet à la clé de Registre n'existe pas, vous pouvez le créer en développant les clés disponibles et en utilisant l'option **Nouveau** -> **Clé** du menu **Edition**.
3. Dans le menu **Edition**, cliquez sur **Ajouterune valeur**.
4. Dans la liste **Typede données**, cliquez sur **DWORD**.
5. Dans la zone **Nomde la valeur**, tapez **Activé**, puis cliquez sur **OK**.
**Remarque** Si cette valeur existe déjà, double-cliquez dessus pour modifier sa valeur actuelle.
6. Dans la boîte de dialogue **Modifier la valeur DWORD 32 bits**, tapez **0**.
7. Cliquez sur **OK**. Redémarrez l'ordinateur.
**Remarque** Cette solution de contournement permet de désactiver SSL 3.0 pour tous les logiciels serveurs installés sur un système, notamment IIS.
**Remarque** Après l'application de cette solution de contournement, les clients qui ne reposent que sur SSL 3.0 ne pourront pas communiquer avec le serveur.
**Comment annuler la solution de contournement**. Procédez comme suit pour désactiver SSL 3.0 dans le logiciel Windows Server :
1. Ouvrez l'Éditeur du Registre.
2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
```
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
```
3. Dans le menu Edition, cliquez sur **Supprimer**.
4. Cliquez **Oui** lorsque vous y êtes invité.
5. Quittez l'Éditeur du Registre.
6. Redémarrez le système.
**Pour les logiciels clients**
Pour désactiver la prise en charge pour le protocole SSL 3.0 sous Windows, procédez comme suit :
1. Cliquez sur **Démarrer**, sur **Exécuter**, tapez **regedt32** ou **regedit**, puis cliquez sur **OK**.
2. Dans l'Éditeur du Registre, recherchez la clé de Registre suivante :
```
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
```
**Remarque** Si le chemin d'accès complet à la clé de Registre n'existe pas, vous pouvez le créer en développant les clés disponibles et en utilisant l'option **Nouveau** -> **Clé** du menu **Edition**.
3. Dans le menu **Edition**, cliquez sur **Ajouterune valeur**.
4. Dans la liste **Typede données**, cliquez sur **DWORD**.
5. Dans la zone **Nomde la valeur**, tapez **Activé**, puis cliquez sur **OK**.
**Remarque** Si cette valeur existe déjà, double-cliquez dessus pour modifier sa valeur actuelle.
6. Dans la boîte de dialogue **Modifier la valeur DWORD 32 bits**, tapez **0**.
7. Cliquez sur **OK**. Redémarrez l'ordinateur.
**Remarque** Cette solution de contournement permet de désactiver SSL 3.0 pour tous les logiciels clients installés sur un système.
**Remarque** Après l'application de cette solution de contournement, les applications clientes de cet ordinateur ne pourront pas communiquer avec d'autres serveurs qui ne prennent en charge que SSL 3.0.
**Comment annuler la solution de contournement**. Procédez comme suit pour désactiver SSL 3.0 dans le logiciel Client Windows :
1. Ouvrez l'Éditeur du Registre.
2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
```
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
```
3. Dans le menu Edition, cliquez sur **Supprimer**.
4. Cliquez **Oui** lorsque vous y êtes invité.
5. Quittez l'Éditeur du Registre.
6. Redémarrez le système.
### Actions supplémentaires suggérées
- **Protégez votre PC**
Nous encourageons nos clients à suivre les conseils de la section Protégez votre ordinateur concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour plus d'informations, consultez le [Centre de sécurité Microsoft](http://www.microsoft.com/fr-fr/security/default.aspx).
- **Veillez à mettre à jour régulièrement vos logiciels Microsoft**
Nous recommandons aux utilisateurs de logiciels Microsoft d'installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum leur ordinateur. Pour ce faire, rendez-vous sur [Microsoft Update](http://update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=fr-fr), effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé et configuré les mises à jour automatiques de façon à recevoir les mises à jour pour les produits Microsoft, les mises à jour vous sont fournies à leur publication, mais nous vous conseillons de vérifier qu'elles sont installées.
span id="ID0E3NAC" />
Remerciements
-------------
Microsoft [remercie](http://technet.microsoft.com/fr-fr/security/gg309157.aspx) les organismes ci-dessous pour avoir contribué à la protection de ses clients :
- Bodo Möller de l'[équipe Sécurité Google](http://googleonlinesecurity.blogspot.com/) pour avoir collaboré avec nous sur ce problème.
Autres informations
-------------------
### Microsoft Active Protections Program (MAPP)
Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites Web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page [Microsoft Active Protections Program (MAPP) Partners](http://technet.microsoft.com/fr-fr/security/dn467918) (en anglais).
### Commentaires
- Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et Support Microsoft : [Customer Service Contact Us](http://support.microsoft.com/fr-fr/kb/?scid=sw;en;1257&showpage=1&ws=technet&sd=tech) (en anglais).
### Support technique
- En cas de problème, contactez les [services de support sécurité Microsoft](https://consumersecuritysupport.microsoft.com/default.aspx?mkt=fr-fr&scrx=1). Pour plus d'informations, consultez le[site Web Aide et Support Microsoft](http://support.microsoft.com/?ln=fr).
- Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour plus d'informations, consultez le site de [Support international](http://support2.microsoft.com/common/international.aspx).
- [TechNet sécurité](http://technet.microsoft.com/fr-fr/security/default.aspx) fournit des informations complémentaires sur la sécurité dans les produits Microsoft.
### Dédit de responsabilité
Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.
### Révisions
- V1.0 (14 octobre 2014) : Avis publié.
- V1.1 (15 octobre 2014) : Avis mis à jour afin d'inclure une solution de contournement pour la désactivation du protocole SSL 3.0 dans Windows.
- V2.0 (29 octobre 2014) : Avis mis à jour afin d'annoncer l'abandon de SSL 3.0, de clarifier les instructions de contournement permettant de désactiver SSL 3.0 sur des serveurs et des clients Windows, et d'annoncer la disponibilité d'une solution de réparation Microsoft Fix it pour Internet Explorer. Pour plus d'informations, consultez l'[Article 3009008 de la Base de connaissances Microsoft](https://support.microsoft.com/fr-fr/kb/3009008/fr).
- V2.1 (9 décembre 2014) : Microsoft annonce la disponibilité des avertissements de recours à SSL 3.0 dans Internet Explorer 11. Pour plus d'informations, consultez l'[Article 3013210 de la Base de connaissances](https://support.microsoft.com/fr-fr/kb/3013210/fr).
- V2.2 (10 février 2015) : Microsoft annonce que les tentatives de recours à SSL 3.0 sont désactivées par défaut dans Internet Explorer 11. Pour plus d'informations, voir l'[Article 3021952 de la Base de connaissances Microsoft](https://support.microsoft.com/fr-fr/kb/3021952/fr).
- V2.3 (16 février 2015) : Avis mis à jour afin d'annoncer la date prévue pour la désactivation par défaut de SSL 3.0 dans Internet Explorer 11.
- V3.0 (14 avril 2015) Avis mis à jour afin d'annoncer que la publication de la mise à jour de sécurité 3038314 du 14 avril 2015 va désactiver SSL 3.0 par défaut dans Internet Explorer 11. Cet avis permet également d'ajouter des instructions relatives à la procédure d'annulation des solutions de contournement.
*Page generated 2015-04-07 14:32Z-07:00.*