Avis de sécurité
Conseils de sécurité Microsoft 2798897
Des certificats numériques frauduleux pourraient autoriser l’usurpation d’identité
Publication : 03 janvier 2013 | Mise à jour : 14 janvier 2013
Version : 1.1
Informations générales
Résumé
Microsoft est conscient des attaques actives à l’aide d’un certificat numérique frauduleux émis par TURKTRUST Inc., qui est une autorité de certification présente dans le magasin des autorités de certification racines approuvées. Ce certificat frauduleux peut être utilisé pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques de type man-in-the-middle. Ce problème affecte toutes les versions prises en charge de Microsoft Windows.
TURKTRUST Inc. a créé incorrectement deux autorités de certification filiales (*.EGO.GOV.TR et e-islem.kktcmerkezbankasi.org). L’autorité de certification filiale *.EGO.GOV.TR a ensuite été utilisée pour émettre un certificat numérique frauduleux à *.google.com. Ce certificat frauduleux peut être utilisé pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques man-in-the-middle contre plusieurs propriétés web Google.
Pour protéger les clients contre l’utilisation frauduleuse de ce certificat numérique, Microsoft met à jour la liste de confiance des certificats (CTL) et fournit une mise à jour pour toutes les versions prises en charge de Microsoft Windows qui suppriment l’approbation des certificats qui provoquent ce problème. Pour plus d’informations sur ces certificats, consultez la section Forum aux questions de cet avis.
Recommandation. Pour les systèmes utilisant le updater automatique de certificats révoqués (consultez l’article 2677070 de la Base de connaissances Microsoft), y compris Windows 8, Windows RT, Windows Server 2012 et les appareils exécutant Windows Téléphone 8, aucune action n’est nécessaire, car ces systèmes seront automatiquement protégés.
Pour les clients windows XP et Windows Server 2003 ou les clients qui choisissent de ne pas installer le programme de mise à jour automatique des certificats révoqués, Microsoft recommande que la mise à jour 2798897 soit appliquée immédiatement à l’aide du logiciel de gestion des mises à jour, en case activée pour les mises à jour à l’aide du service Microsoft Update, ou en téléchargeant et en appliquant la mise à jour manuellement. Pour plus d’informations, consultez la section Actions suggérées de cet avis.
Détails de l’avis
Références de problème
Pour plus d’informations sur ce problème, consultez les références suivantes :
| Références | Identification |
|---|---|
| Article de la Base de connaissances Microsoft | 2798897 |
Logiciels et appareils affectés
Cet avis traite des logiciels et appareils concernés suivants.
| Logiciel affecté |
|---|
| Système d’exploitation |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 |
| Windows 7 pour les systèmes 32 bits |
| Windows 7 pour systèmes 32 bits Service Pack 1 |
| Windows 7 pour les systèmes x64 |
| Windows 7 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour x64 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour les systèmes Itanium |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 |
| Windows 8 |
| Windows Server 2012 |
| Windows RT |
| Option d’installation server Core |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (installation server Core) |
| Windows Server 2008 R2 pour systèmes x64 (installation Server Core) |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) |
| Windows Server 2012 (installation minimale) |
| Appareils affectés |
| Windows Phone 8 |
| Appareils non affectés |
|---|
| Windows Phone 7 |
| Windows Phone 7.5 |
| Windows Phone 7.8 |
Forums Aux Questions (FAQ)
Quelle est la portée de l’avis ?
L’objectif de cet avis est d’informer les clients que Microsoft a confirmé qu’un certificat numérique frauduleux a été utilisé dans des attaques actives affectant plusieurs propriétés web Google. Ce certificat et deux autres certificats n’ont pas été approuvés et ajoutés à la durée de vie. Pour les systèmes utilisant le updater automatique de certificats révoqués (consultez l’article de la Base de connaissances Microsoft 2677070 pour plus d’informations), y compris Windows 8, Windows RT et Windows Server 2012, aucune action n’est nécessaire, car ces systèmes seront automatiquement protégés.
Pour les clients Windows XP et Windows Server 2003, les clients qui n’ont pas installé l’article de la Base de connaissances Microsoft 2677070, ou pour les systèmes déconnectés qui ne peuvent pas se connecter à Microsoft Update, une mise à jour pour toutes les versions prises en charge de Microsoft Windows est disponible pour résoudre le problème.
Qu’est-ce qui a provoqué le problème ?
Microsoft s’est rendu compte des attaques actives à l’aide d’un certificat numérique frauduleux émis par TURKTRUST Inc., qui est une autorité de certification présente dans le magasin des autorités de certification racines approuvées. TURKTRUST Inc. a créé incorrectement deux autorités de certification filiales (*.EGO.GOV.TR et e-islem.kktcmerkezbankasi.org). Le *.EGO.GOV.TR a été utilisé pour émettre un certificat numérique frauduleux à *.google.com. Ce certificat frauduleux peut être utilisé pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques man-in-the-middle contre plusieurs propriétés web Google.
Pendant l’enquête, les certificats *.EGO.GOV.TR et e-islem.kktcmerkezbankasi.org ont été identifiés comme ayant été émis de manière incorrecte ; ils n’ont pas eu de liste de révocation de certificats ou d’extensions OCSP et ont été émis de manière incorrecte en tant que certificats d’entité de fin. Par conséquent, comme mesure de précaution, nous révoyons également la confiance de ces certificats.
Cette mise à jour traite-t-elle d’autres certificats numériques ?
Oui, en plus de traiter les certificats décrits dans cet avis, cette mise à jour est cumulative et inclut des certificats numériques décrits dans les avis de sécurité précédents : Avis de sécurité Microsoft 2524375, Avis de sécurité Microsoft 2607712, Avis de sécurité Microsoft 2641690, Avis de sécurité Microsoft 2718704 et Avis de sécurité Microsoft 2728973.
Qu’est-ce que le chiffrement ?
Le chiffrement est la science de la sécurisation des informations en les convertissant entre son état normal et lisible (appelé texte en clair) et l’autre dans lequel les données sont masquées (appelées texte chiffré).
Dans toutes les formes de chiffrement, une valeur appelée clé est utilisée conjointement avec une procédure appelée algorithme de chiffrement pour transformer des données en texte brut en texte chiffré. Dans le type de chiffrement le plus familier, le chiffrement à clé secrète est transformé en texte brut à l’aide de la même clé. Toutefois, dans un deuxième type de chiffrement, chiffrement à clé publique, une autre clé est utilisée pour transformer le texte chiffré en texte clair.
Qu’est-ce qu’un certificat numérique ?
Dans le chiffrement à clé publique, l’une des clés, appelée clé privée, doit être conservée secrète. L’autre clé, connue sous le nom de clé publique, est destinée à être partagée avec le monde. Toutefois, il doit y avoir un moyen pour le propriétaire de la clé de dire au monde à qui appartient la clé. Les certificats numériques fournissent un moyen de le faire. Un certificat numérique est un élément de données inviolable qui empaquet une clé publique avec des informations sur celui-ci (qui le possède, ce qu’il peut être utilisé, quand il expire, etc.).
Quels sont les certificats utilisés pour ?
Les certificats sont utilisés principalement pour vérifier l’identité d’une personne ou d’un appareil, authentifier un service ou chiffrer des fichiers. Normalement, vous n’aurez pas à réfléchir aux certificats du tout. Toutefois, vous pouvez voir un message indiquant qu’un certificat a expiré ou n’est pas valide. Dans ces cas, vous devez suivre les instructions du message.
Qu’est-ce qu’une autorité de certification (CA) ? Les autorités de certification sont les organisations qui émettent des certificats. Ils établissent et vérifient l’authenticité des clés publiques qui appartiennent à des personnes ou à d’autres autorités de certification, et vérifient l’identité d’une personne ou d’une organisation qui demande un certificat.
Qu’est-ce qu’une liste d’approbation de certificats (CTL) ? Une approbation doit exister entre le destinataire d’un message signé et le signataire du message. L’une des méthodes d’établissement de cette confiance consiste à utiliser un certificat, un document électronique vérifiant que les entités ou les personnes qui prétendent être. Un certificat est émis à une entité par un tiers approuvé par les deux parties. Ainsi, chaque destinataire d’un message signé décide si l’émetteur du certificat du signataire est fiable. CryptoAPI a implémenté une méthodologie permettant aux développeurs d’applications de créer des applications qui vérifient automatiquement les certificats par rapport à une liste prédéfinie de certificats ou de racines approuvés. Cette liste d’entités approuvées (appelées sujets) est appelée liste de confiance de certificat (CTL). Pour plus d’informations, consultez l’article MSDN, Vérification de l’approbation de certificat.
Qu’est-ce qu’un attaquant peut faire avec ces certificats ?
Un attaquant peut utiliser ces certificats pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques de type man-in-the-middle contre les propriétés web suivantes :
- *.google.com
- *.android.com
- *.appengine.google.com
- *.cloud.google.com
- *.google-analytics.com
- *.google.ca
- *.google.cl
- *.google.co.in
- *.google.co.jp
- *.google.co.uk
- *.google.com.ar
- *.google.com.au
- *.google.com.br
- *.google.com.co
- *.google.com.mx
- *.google.com.tr
- *.google.com.vn
- *.google.de
- *.google.es
- *.google.fr
- *.google.hu
- *.Google.it
- *.google.nl
- *.Google.pl
- *.google.pt
- *.googleapis.cn
- *.googlecommerce.com
- *.gstatic.com
- *.urchin.com
- *.url.google.com
- *.youtube-nocookie.com
- *.youtube.com
- *.ytimg.com
- android.com
- g.co
- goo.gl
- google-analytics.com
- google.com
- googlecommerce.com
- urchin.com
- youtu.be
- youtube.com
Qu’est-ce qu’une attaque man-in-the-middle ?
Une attaque man-in-the-middle se produit lorsqu’un attaquant redirige la communication entre deux utilisateurs via l’ordinateur de l’attaquant sans connaître les deux utilisateurs communiquants. Chaque utilisateur de la communication envoie du trafic vers et reçoit le trafic de l’attaquant, tout en pensant qu’il communique uniquement avec l’utilisateur prévu.
Que fait Microsoft pour résoudre ce problème ?
Bien que ce problème ne résulte pas d’un problème dans n’importe quel produit Microsoft, nous mettons néanmoins à jour la durée de vie et fournissons une mise à jour pour aider à protéger les clients. Microsoft continuera d’examiner ce problème et peut apporter des modifications ultérieures à la durée de vie ou publier une prochaine mise à jour pour protéger les clients.
Après avoir appliqué la mise à jour, comment puis-je vérifier les certificats dans le Microsoft Untrusted Certificates Store ?
Pour les systèmes qui utilisent le updater automatique de certificats révoqués (consultez l’article 2677070 de la Base de connaissances Microsoft), y compris Windows 8, Windows RT et Windows Server 2012, vous pouvez case activée le journal des applications dans l’Observateur d’événements pour une entrée avec les valeurs suivantes :
- Source : CAPI2
- Niveau : Information
- ID d’événement : 4112
- Description : Mise à jour automatique réussie de la liste de certificats non autorisée avec date d’effet : lundi 31 décembre 2012 (ou version ultérieure).
Pour les systèmes qui n’utilisent pas le updater automatique de certificats révoqués, dans le composant logiciel enfichable MMC Certificats, vérifiez que les certificats suivants ont été ajoutés au dossier Certificats non approuvés :
| Certificat | Délivré par | Empreinte |
|---|---|---|
| *.google.com | *.EGO.GOV.TR | 4d 85 47 b7 f8 64 13 2a 7f 62 d9 b7 5b 06 85 21 f1 0b 68 e3 |
| e-islem.kktcmerkezbankasi.org | TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri | f9 2b e5 26 6c c0 5d b2 dc 0d c3 f2 dc 74 e0 2d ef d9 49 cb |
| *.EGO.GOV.TR | TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri | c6 9f 28 c8 25 13 9e 65 a6 46 c4 34 ac a5 a1 d2 00 29 5d b1 |
Remarque Pour plus d’informations sur la façon d’afficher les certificats avec le composant logiciel enfichable MMC, consultez l’article MSDN : Afficher les certificats avec le composant logiciel enfichable MMC.
Actions suggérées
Pour les versions prises en charge de Microsoft Windows
Les clients disposant de la mise à jour automatique de certificats révoqués (Article 2677070 de la Base de connaissances Microsoft) n’auront pas besoin d’effectuer d’action, car la durée de vie est mise à jour automatiquement.
Notez que les appareils exécutant Windows Téléphone 8 contiennent le updater automatique des certificats révoqués et seront mis à jour automatiquement.
Pour les administrateurs et les installations d’entreprise qui souhaitent être automatiquement protégés à l’aide du updater automatique de certificats révoqués, consultez l’article de la Base de connaissances Microsoft 2677070 pour vous assurer qu’il convient à votre environnement, car les systèmes ou environnements déconnectés avec un filtrage de sortie strict nécessitent une considération supplémentaire.
Pour les clients windows XP et Windows Server 2003 ou les clients qui choisissent de ne pas installer le programme de mise à jour automatique des certificats révoqués, Microsoft recommande que la mise à jour 2798897 soit appliquée immédiatement à l’aide du logiciel de gestion des mises à jour, en case activée pour les mises à jour à l’aide du service Microsoft Update, ou en téléchargeant et en appliquant la mise à jour manuellement. Consultez l’article de la Base de connaissances Microsoft 2798897 pour obtenir des liens de téléchargement.
Actions suggérées supplémentaires
Protéger votre PC
Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Pour plus d’informations, consultez Microsoft Coffre ty &Security Center.
Conserver les logiciels Microsoft mis à jour
Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées.
Autres informations
Remerciements
Microsoft remercie ce qui suit pour nous aider à protéger les clients :
- Adam Langley et l’équipe de sécurité Google Chrome pour attirer l’attention sur l’incident et travailler avec nous sur la réponse
Programme Microsoft Active Protections (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.
Commentaires
- Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.
Support
- Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
- Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (3 janvier 2013) : avis publié.
- V1.1 (14 janvier 2013) : Correction de la date d’effet de la liste de certificats non autorisée à « lundi, 31 décembre 2012 (ou version ultérieure) » dans l’entrée du FAQ , « Après l’application de la mise à jour, comment puis-je vérifier les certificats dans le Microsoft Non approuvé Certificates Store ? »
Construit à 2014-04-18T13 :49 :36Z-07 :00