Avis de sécurité Microsoft (2798897)

Quelle est la portée de cet Avis ? 
Le but de cet Avis est d'avertir les clients que Microsoft a confirmé l'utilisation d'un certificat numérique frauduleux dans des attaques actives affectant plusieurs sites Web Google. La confiance accordée à ce certificat, ainsi qu'à deux autres, a été révoquée. Ces certificats ont été ajoutés à la CTL. Pour les systèmes qui utilisent le programme de mise à jour automatique des certificats révoqués (consultez l'Article 2677070 de la Base de connaissances Microsoft pour plus d'informations), y compris Windows 8, Windows RT et Windows Server 2012, aucune action n'est nécessaire car ces systèmes seront automatiquement protégés.

Pour les clients utilisant Windows XP et Windows Server 2003, les clients n'ayant pas installé le contenu de l'Article 2677070 de la Base de connaissances Microsoft ou les systèmes incapables de se connecter à Microsoft Update, une mise à jour corrigeant le problème est disponible pour toutes les versions en cours de support de Microsoft Windows.

Qu'est-ce qui a causé le problème ?  
Microsoft été alerté d'attaques actives utilisant un certificat numérique frauduleux publié par TURKTRUST Inc., qui est une autorité de certification faisant partie du magasin d'autorités de certification racine de confiance. TURKTRUST Inc. a créé de façon incorrecte deux autorités de certification subsidiaires (*.EGO.GOV.TR et e-islem.kktcmerkezbankasi.org). *.EGO.GOV.TR a été utilisée pour publier un certificat numérique frauduleux pour *.google.com. Ce certificat frauduleux pourrait être utilisé pour usurper du contenu, exécuter des attaques d'hameçonnage ou exécuter des attaques d'interception contre plusieurs sites Web Google.

Pendant l'enquête menée, les certificats *.EGO.GOV.TR et e-islem.kktcmerkezbankasi.org ont été identifiés comme ayant été publiés de façon incorrecte ; ils ne disposent pas d'extensions CRL ni OCSP et ont été publiés de façon incorrecte en tant que certificats d'entité finale. Par mesure de précaution, nous révoquons donc également la confiance accordée à ces certificats.

Cette mise à jour corrige-t-elle d'autres certificats numériques ? 
Oui, en plus de corriger les certificats non autorisés décrits dans cet Avis, cette mise à jour est cumulative et inclut les certificats numériques décrits dans les Avis précédents : Avis de sécurité Microsoft 2524375, Avis de sécurité Microsoft 2607712, Avis de sécurité Microsoft 2641690, Avis de sécurité Microsoft 2718704 et Avis de sécurité Microsoft 2728973.

Qu'est-ce que le chiffrement ? 
Le chiffrement est la science consistant à sécuriser des informations en les convertissant de leur état normal et lisible (texte brut) à un état où elles sont chiffrées (texte chiffré).

Dans tous les types de chiffrement, une valeur appelée clé est utilisée conjointement avec une procédure appelée algorithme de chiffrement afin de convertir en texte chiffré les données en texte brut. Dans le cas du type de chiffrement le plus courant, le chiffrement à clé secrète, le texte chiffré est reconverti en texte brut à l'aide de la même clé. Toutefois, dans le cas d'un autre type de chiffrement, le chiffrement à clé publique, une clé différente est utilisée pour reconvertir le texte chiffré en texte brut.

Qu'est-ce qu'un certificat numérique ?  
Dans le cas du chiffrement à clé publique, l'une des clés, appelée clé privée, doit être gardée secrète. L'autre clé, ou clé publique, est destinée à être partagée. Toutefois, le propriétaire de la clé doit être en mesure d'indiquer à qui la clé appartient. Les certificats numériques permettent de le faire. Un certificat numérique est un ensemble de données inviolable contenant une clé publique ainsi que des informations la concernant (qui en est le propriétaire, à quoi elle peut servir, quand elle expire, etc.).

À quoi servent les certificats ? 
Les certificats sont principalement utilisés pour vérifier l'identité d'une personne ou d'un périphérique, pour authentifier un service ou encore pour chiffrer des fichiers. Normalement vous n'avez pas à vous soucier des certificats. Toutefois, il est possible que vous voyiez un message indiquant qu'un certificat a expiré ou n'est pas valide. Dans ces cas de figure, vous devez suivre les instructions figurant dans le message.

Qu'est-ce qu'une autorité de certification (CA) ?  
Les autorités de certification sont les organisations qui publient les certificats. Elles établissent et vérifient l'authenticité de clés publiques appartenant à des particuliers ou à d'autres autorités de certification et vérifient l'identité de toute personne ou organisation qui demande un certificat.

Qu'est-ce qu'une liste de certificats de confiance (CTL) ?  
Une relation de confiance doit exister entre le destinataire d'un message signé et le signataire du message. L'une des façons d'établir cette confiance est par le biais d'un certificat, c'est-à-dire un document électronique qui vérifie que des entités ou des personnes sont bien ce qu'elles prétendent être. Un certificat est émis pour une entité par un tiers en qui les deux autres partis ont confiance. Ainsi, chaque destinataire d'un message signé décide si l'émetteur du certificat du signataire est digne de confiance. CryptoAPI a implémenté une méthodologie pour permettre aux développeurs d'applications de créer des applications qui vérifient automatiquement la présence de certificats sur une liste prédéfinie de certificats ou de racines de confiance. Cette liste d'entités de confiance (appelés sujets) est ce que l'on appelle une liste de certificats de confiance (CTL). Pour plus d'informations, consultez l'article MSDN consacré à la vérification des certificats de confiance (en anglais).

Que pourrait faire un attaquant avec ces certificats ? 
Un attaquant pourrait utiliser ces certificats pour usurper du contenu, exécuter des attaques d'hameçonnage ou exécuter des attaques d'interception sur les sites Web suivants :

• *.google.com
• *.android.com
• *.appengine.google.com
• *.cloud.google.com
• *.google-analytics.com
• *.google.ca
• *.google.cl
• *.google.co.in
• *.google.co.jp
• *.google.co.uk
• *.google.com.ar
• *.google.com.au
• *.google.com.br
• *.google.com.co
• *.google.com.mx
• *.google.com.tr
• *.google.com.vn
• *.google.de
• *.google.es
• *.google.fr
• *.google.hu
• *.google.it
• *.google.nl
• *.google.pl
• *.google.pt
• *.googleapis.cn
• *.googlecommerce.com
• *.gstatic.com
• *.urchin.com
• *.url.google.com
• *.youtube-nocookie.com
• *.youtube.com
• *.ytimg.com
• android.com
• g.co
• goo.gl
• google-analytics.com
• google.com
• googlecommerce.com
• urchin.com
• youtu.be
• youtube.com

Qu'est-ce qu'une attaque d'interception ?  
Une attaque d'interception survient lorsqu'un attaquant détourne la communication entre deux utilisateurs via son ordinateur sans connaître ces deux utilisateurs. Chaque utilisateur prenant part à la communication envoie sans le savoir du trafic à l'attaquant et en reçoit, tout en continuant de penser qu'il ne communique qu'avec l'utilisateur souhaité.

Que fait Microsoft pour faciliter la résolution du problème ?  
Bien que ce problème ne provienne pas d'un produit Microsoft, nous mettons néanmoins à jour la CTL et fournissons une mise à jour pour contribuer à la protection de nos clients. Microsoft continuer d'étudier ce problème et pourra effectuer des modifications de la CTL ou publier une mise à jour pour contribuer à la protection de ses clients.

Après avoir appliqué la mise à jour, comment puis-je vérifier les certificats dans le magasin de certificats non fiables Microsoft ?  
Pour les systèmes qui utilisent le programme de mise à jour automatique des certificats révoqués (consultez l'Article 2677070 de la Base de connaissances Microsoft pour plus d'informations), y compris Windows 8, Windows RT et Windows Server 2012, vous pouvez chercher dans le journal d'application de l'observateur d'événements une entrée avec les valeurs suivantes :

• Source : CAPI2
• Niveau : Informations
• Référence d'événement : 4112
• Description : Mise à jour automatique réussie de la liste de certificats rejetés à compter du : Lundi 31 décembre 2012 (au plus tôt).

Pour les systèmes qui n'utilisent pas le programme de mise à jour automatique de certificats révoqués, dans le composant logiciel enfichable MMC des certificats, vérifiez que les certificats suivants ont été ajoutés au dossier Certificats non fiables :

Remarque : Pour plus d'informations sur la façon d'afficher des certificats avec le composant logiciel enfichable MMC, consultez l'article MSDN « Comment : afficher des certificats à l'aide du composant logiciel enfichable MMC ».

Pour les versions en cours de support de Microsoft Windows

Les clients utilisant le programme de mise à jour automatique des certificats révoqués (Article 2677070 de la Base de connaissances Microsoft) n'ont pas besoin de prendre de mesure supplémentaire, car la CTL sera mise à jour automatiquement.

Remarque : les appareils exécutant Windows Phone 8 contiennent le programme de mise à jour automatique des certificats révoqués et seront mis à jour automatiquement.

Pour les administrateurs et les installations d'entreprise souhaitant être automatiquement protégés à l'aide du programme de mise à jour automatique des certificats révoqués, consultez l'Article 2677070 de la Base de connaissances Microsoft afin de vous assurer qu'il est approprié pour votre environnement ; en effet, les systèmes non connectés ou les environnements avec filtrage de flux sortant strict nécessitent une attention particulière.

Pour les clients utilisant Windows XP et Windows Server 2003 ou ceux ayant choisi de ne pas installer le programme de mise à jour automatique des certificats révoqués, Microsoft recommande l'application immédiate de la mise à jour 2798897 à l'aide du logiciel de gestion des mises à jour, en vérifiant la disponibilité de mises à jour à l'aide du service Microsoft Update ou en téléchargeant et en appliquant la mise à jour manuellement. Consultez l'Article 2798897 de la Base de connaissances Microsoft pour obtenir les liens de téléchargement.