Avis de sécurité
Conseils de sécurité Microsoft 2641690
Des certificats numériques frauduleux pourraient autoriser l’usurpation d’identité
Publication : 10 novembre 2011 | Mise à jour : 19 janvier 2012
Version : 3.0
Informations générales
Résumé
Microsoft est conscient que DigiCert Sdn. Bhd, une autorité de certification subordonnée malaisienne sous Entrust et GTE CyberTrust, a émis 22 certificats avec des clés de 512 bits faibles. Ces clés de chiffrement faibles, lorsqu’elles sont rompues, peuvent permettre à un attaquant d’utiliser les certificats frauduleusement pour usurper du contenu, d’effectuer des attaques par hameçonnage ou d’effectuer des attaques man-in-the-middle contre tous les utilisateurs du navigateur Web, y compris les utilisateurs d’Internet Explorer. Bien qu’il ne s’agisse pas d’une vulnérabilité dans un produit Microsoft, ce problème affecte toutes les versions prises en charge de Microsoft Windows.
DigiCert Sdn. Bhd n’est pas affilié à la société DigiCert, Inc., qui est membre du Programme de certificat racine Microsoft.
Il n’y a aucune indication que les certificats ont été émis frauduleusement. Au lieu de cela, les clés faibles par chiffrement ont permis à certains certificats d’être dupliqués et utilisés de manière frauduleuse.
Microsoft fournit une mise à jour pour toutes les versions prises en charge de Microsoft Windows qui révoque l’approbation dans DigiCert Sdn. Bhd. La mise à jour révoque l’approbation des deux certificats d’autorité de certification intermédiaires suivants :
- ID de serveur Digisign - (Enrichir), émis par Entrust.net Autorité de certification (2048)
- ID de serveur Digisign (Enrich), émis par GTE CyberTrust Global Root
Recommandation. Microsoft recommande aux clients d’appliquer la mise à jour immédiatement à l’aide du logiciel de gestion des mises à jour, ou en case activée pour les mises à jour à l’aide du service Microsoft Update. Pour plus d’informations, consultez la section Actions suggérées de cet avis.
Problèmes connus.L’article de la Base de connaissances Microsoft 2641690 documente les problèmes actuellement connus rencontrés par les clients lors de l’installation de cette mise à jour. L’article documente également les solutions recommandées pour ces problèmes.
Détails de l’avis
Références de problème
Pour plus d’informations sur ce problème, consultez les références suivantes :
| Références | Identification |
|---|---|
| Article de la Base de connaissances Microsoft | 2641690 |
Logiciels et appareils affectés
Cet avis traite des logiciels et des appareils suivants.
| Logiciel affecté |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2* |
| Windows Server 2008 pour systèmes x64 Service Pack 2* |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 |
| Windows 7 pour systèmes 32 bits et Windows 7 pour systèmes 32 bits Service Pack 1 |
| Windows 7 pour systèmes x64 et Windows 7 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour systèmes x64 et Windows Server 2008 R2 pour systèmes x64 Service Pack 1* |
| Windows Server 2008 R2 pour les systèmes Itanium et Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 |
*Installation server Core affectée. Cet avis s’applique aux éditions prises en charge de Windows Server 2008 ou Windows Server 2008 R2, comme indiqué, si l’option d’installation server Core est installée ou non. Pour plus d’informations sur cette option d’installation, consultez les articles TechNet, Gestion de l’installation et de la maintenance d’une installation Server Core. Notez que l’option d’installation server Core ne s’applique pas à certaines éditions de Windows Server 2008 et Windows Server 2008 R2 ; consultez Comparer les options d’installation minimales.
| Appareils affectés |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
Forums Aux Questions (FAQ)
Pourquoi cet avis a-t-il été réviséle 19 janvier 2012 ? Microsoft a révisé cet avis pour annoncer la publication d’une mise à jour pour les appareils Windows Mobile 6.x, Windows Téléphone 7 et Windows Téléphone 7.5. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 2641690.
Pourquoi cet avis a-t-il été révisé le 16 novembre 2011 ? Microsoft a révisé cet avis pour annoncer la réécriture de la mise à jour Ko 2641690 pour Windows XP Professional x64 Edition Service Pack 2 et toutes les éditions prises en charge de Windows Server 2003. La mise à jour réécrite résout un problème noté par les clients qui utilisent Windows Server Update Services (WSUS), où l’applicabilité de la mise à jour n’a pas été détectée correctement.
Les clients de Windows XP Professional x64 Edition Service Pack 2 et toutes les éditions prises en charge de Windows Server 2003 doivent appliquer la version rééditée de la mise à jour Ko 2641690 à protéger contre l’utilisation de certificats frauduleux, comme décrit dans cet avis. Les clients de Windows XP Service Pack 3 et les éditions prises en charge de Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 ne sont pas affectés par cette réécriture.
La majorité des clients ont activé la mise à jour automatique et n’auront pas besoin d’effectuer d’action, car la mise à jour de Ko 2641690 réécritée sera téléchargée et installée automatiquement.
Quelle est la portée de l’avis ? L’objectif de cet avis est d’informer les clients que DigiCert Sdn. Bhd a émis 22 certificats avec des clés 512 bits faibles. Ces clés faibles ont permis à certains des certificats d’être compromis. Microsoft a révoqué l’approbation de cette autorité de certification subordonnée dans une mise à jour qui déplace deux certificats d’autorité de certification intermédiaires vers le Magasin de certificats Non approuvé Microsoft.
Qu’est-ce qui a provoqué le problème ? Microsoft a été averti par Entrust, une autorité de certification du Programme de certificats racines Microsoft, que l’un de leurs autorités de certification subordonnées, DigiCert Sdn. Bhd, émis 22 certificats avec des clés 512 bits faibles. En outre, cette autorité de certification subordonnée a émis des certificats sans les extensions d’utilisation ou les informations de révocation appropriées. Il s’agit d’une violation des exigences du programme de certificat racine Microsoft.
Il n’y a aucune indication que les certificats ont été émis frauduleusement. Au lieu de cela, les clés faibles par chiffrement ont permis à certains certificats d’être dupliqués et utilisés de manière frauduleuse. Entrust et GTE CyberTrust ont révoqué les certificats d’autorité de certification intermédiaire émis à DigiCert Sdn. Bhd. Microsoft fournit une mise à jour qui révoque l’approbation de ces deux certificats intermédiaires pour protéger davantage les clients.
Comment un attaquant peut-il dupliquer un certificat ? Une signature numérique ne peut être créée que par la personne qui possède la clé privée du certificat. Un attaquant peut tenter de deviner la clé privée et d’utiliser des techniques mathématiques pour déterminer si une estimation est correcte. La difficulté de deviner avec succès la clé privée est proportionnelle au nombre de bits utilisés dans la clé. Par conséquent, plus la clé est grande, plus il faut à un attaquant pour deviner la clé privée. À l’aide du matériel moderne, les clés 512 bits peuvent être devinées avec succès dans un court laps de temps.
Comment un attaquant peut-ilutiliser des certificats frauduleux ? Un attaquant peut utiliser les certificats 512 bits pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques de type man-in-the-middle contre tous les utilisateurs du navigateur Web, y compris les utilisateurs d’Internet Explorer.
Que fait Microsoft pour résoudre ce problème ? Bien que ce problème ne résulte pas d’un problème dans un produit Microsoft, nous avons néanmoins publié une mise à jour qui déplace deux certificats intermédiaires émis parTrusted et GTE CyberTrust vers le Microsoft Untrusted Certificate Store. Microsoft recommande aux clients d’appliquer immédiatement la mise à jour.
Qu’est-ce qu’une attaque man-in-the-middle ? Une attaque man-in-the-middle se produit lorsqu’un attaquant redirige la communication entre deux utilisateurs via l’ordinateur de l’attaquant sans connaître les deux utilisateurs communiquants. Chaque utilisateur de la communication envoie du trafic vers et reçoit le trafic de l’attaquant, tout en pensant qu’il communique uniquement avec l’utilisateur prévu.
Qu’est-ce qu’une autorité de certification (CA) ? Les autorités de certification sont les organisations qui émettent des certificats. Ils établissent et vérifient l’authenticité des clés publiques qui appartiennent à des personnes ou à d’autres autorités de certification, et vérifient l’identité d’une personne ou d’une organisation qui demande un certificat.
Quelle est la procédure de révocation d’un certificat ? Il existe une procédure standard qui doit permettre à une autorité de certification d’empêcher l’acceptation des certificats s’ils sont utilisés. Chaque émetteur de certificat génère régulièrement une liste de révocation de certificats (CRL), qui répertorie tous les certificats qui doivent être considérés comme non valides. Chaque certificat doit fournir un élément de données appelé CRL Distribution Point (CDP) qui indique l’emplacement où la liste de révocation de certificats peut être obtenue.
Une autre façon pour les navigateurs web de valider l’identité d’un certificat numérique consiste à utiliser le protocole OCSP (Online Certificate Status Protocol). OCSP permet la validation interactive d’un certificat en se connectant à un répondeur OCSP, hébergé par l’autorité de certification (CA) qui a signé le certificat numérique. Chaque certificat doit fournir un pointeur vers l’emplacement du répondeur OCSP via l’extension AIA (Authority Information Access) dans le certificat. En outre, l’enregistrement OCSP permet au serveur Web lui-même de fournir une réponse de validation OCSP au client.
La validation OCSP est activée par défaut sur Internet Explorer 7 et versions ultérieures d’Internet Explorer sur les éditions prises en charge de Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2. Sur ces systèmes d’exploitation, si la validation OCSP case activée échoue, le navigateur valide le certificat en contactant l’emplacement de la liste de révocation de certificats.
Certains déploiements réseau peuvent empêcher les mises à jour OCSP ou CRL en ligne afin que Microsoft ait publié une mise à jour pour toutes les versions de Microsoft Windows qui ajoute ces certificats au Microsoft Untrusted Certificate Store. Le déplacement de ces certificats vers le Magasin de certificats non approuvé Microsoft garantit que ces certificats frauduleux ne sont pas approuvés dans tous les scénarios de déploiement réseau.
Pour plus d’informations sur la révocation de certificats case activée ing, consultez l’article TechNet, la révocation de certificats et la vérification de l’état.
Comment faire savoir si j’ai rencontré une erreur de certificat non valide ? Lorsqu’Internet Explorer rencontre un certificat non valide, les utilisateurs sont présentés à une page Web indiquant : « Il existe un problème avec le certificat de sécurité de ce site web ». Les utilisateurs sont encouragés à fermer la page Web et à naviguer loin du site lorsque ce message d’avertissement s’affiche.
Les utilisateurs sont uniquement présentés ce message lorsque le certificat est déterminé comme non valide, par exemple lorsque l’utilisateur a la liste de révocation de certificats (CRL) ou la validation OCSP (Online Certificate Status Protocol) activée. La validation OCSP est activée par défaut sur Internet Explorer 7 et versions ultérieures d’Internet Explorer sur les éditions prises en charge de Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
Après avoir appliqué la mise à jour, comment puis-je vérifier les certificats dans le Microsoft Untrusted Certificates Store ? Pour plus d’informations sur la façon d’afficher des certificats, consultez l’article MSDN, Guide pratique pour afficher des certificats avec le composant logiciel enfichable MMC.
Dans le composant logiciel enfichable Certificats MMC, vérifiez que les certificats suivants ont été ajoutés au dossier Certificats non approuvés :
| Certificat | Délivré par | Empreinte |
|---|---|---|
| ID du serveur Digisign - (Enrichir) | Entrust.net Certification Authority (2048) | 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab |
| ID de serveur Digisign (Enrichir) | GTE CyberTrust Global Root | 51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74 |
Actions suggérées
Pour les versions prises en charge de Microsoft Windows
La majorité des clients ont activé la mise à jour automatique et n’ont pas besoin d’effectuer d’action, car la mise à jour Ko 2641690 sera téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article de la Base de connaissances Microsoft 294871.
Pour les administrateurs et les installations d’entreprise ou les utilisateurs finaux qui souhaitent installer la mise à jour Ko 2641690 manuellement, Microsoft recommande aux clients d’appliquer la mise à jour immédiatement à l’aide du logiciel de gestion des mises à jour, ou en case activée pour les mises à jour à l’aide du service Microsoft Update. Pour plus d’informations sur l’application manuelle de la mise à jour, consultez l’article de la Base de connaissances Microsoft 2641690.
Pour les appareils Windows Mobile 6.x, Windows Téléphone 7 et Windows Téléphone 7.5
Pour plus d’informations sur la mise à jour pour les appareils Windows Mobile 6.x, Windows Téléphone 7 et Windows Téléphone 7.5, consultez l’article 2641690 de la Base de connaissances Microsoft.
Actions suggérées supplémentaires
Protéger votre PC
Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Les clients peuvent en savoir plus sur ces étapes en visitant Protéger votre ordinateur.
Pour plus d’informations sur la sécurité sur Internet, visitez Microsoft Security Central.
Conserver les logiciels Microsoft mis à jour
Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées.
Autres informations
Programme Microsoft Active Protections (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites Web de protection actifs fournis par les partenaires du programme, répertoriés dans les partenaires du Programme MAPP (Microsoft Active Protections Program).
Commentaires
- Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.
Support
- Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
- Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (10 novembre 2011) : avis publié.
- V2.0 (16 novembre 2011) : révisé pour annoncer la réécriture de la mise à jour Ko 2641690. Pour plus d’informations, consultez le Forum aux questions sur la mise à jour dans cet avis. En outre, ajout d’un lien vers l’article de la Base de connaissances Microsoft 2641690 sous Problèmes connus dans le résumé exécutif.
- V3.0 (19 janvier 2012) : révisé pour annoncer la publication d’une mise à jour pour les appareils Windows Mobile 6.x, Windows Téléphone 7 et Windows Téléphone 7.5.
Construit à 2014-04-18T13 :49 :36Z-07 :00