Avis de sécurité

Conseils de sécurité Microsoft 2718704

Les certificats numériques non autorisés pourraient autoriser l’usurpation d’identité

Publication : 03 juin 2012 | Mise à jour : 13 juin 2012

Version : 1.1

Informations générales

Résumé

Microsoft est conscient des attaques actives utilisant des certificats numériques non autorisés dérivés d’une autorité de certification Microsoft. Un certificat non autorisé peut être utilisé pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques de type man-in-the-middle. Ce problème affecte toutes les versions prises en charge de Microsoft Windows.

Microsoft fournit une mise à jour pour toutes les versions prises en charge de Microsoft Windows. La mise à jour révoque l’approbation des certificats d’autorité de certification intermédiaire suivants :

  • Licences forcées Microsoft Intermédiaire PCA (2 certificats)
  • Autorité de certification de l’autorité d’inscription des licences appliquées Microsoft (SHA1)

Recommandation. Pour les versions prises en charge de Microsoft Windows, Microsoft recommande aux clients d’appliquer la mise à jour immédiatement à l’aide du logiciel de gestion des mises à jour, ou en case activée pour les mises à jour à l’aide du service Microsoft Update. Pour plus d’informations, consultez la section Actions suggérées de cet avis.

Détails de l’avis

Références de problème

Pour plus d’informations sur ce problème, consultez les références suivantes :

Références Identification
Article de la Base de connaissances Microsoft 2718704 

Logiciels et appareils affectés

Cet avis traite des logiciels et appareils concernés suivants.

Logiciel affecté
Système d’exploitation
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 avec SP2 pour les systèmes Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour les systèmes Itanium Service Pack 2
Windows 7 pour les systèmes 32 bits
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour les systèmes x64
Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour x64
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour les systèmes Itanium
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1
Option d’installation server Core
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation server Core)
Windows Server 2008 R2 pour systèmes x64 (installation Server Core)
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core)

 

Appareils non affectés
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Forums Aux Questions (FAQ)

Pourquoi cet avis a-t-il été révisé le 13 juin 2012 ?
Microsoft a révisé cet avis pour informer les clients qu’après examen approfondi, Microsoft a déterminé que les appareils Windows Mobile 6.x, Windows Téléphone 7 et Windows Téléphone 7.5 ne sont pas affectés par le problème.

Quelle est la portée de l’avis ?
L’objectif de cet avis est d’informer les clients que Microsoft a confirmé que deux certificats non autorisés ont été émis par Microsoft et sont utilisés dans des attaques actives. Lors de notre enquête, une troisième autorité de certification a été trouvée pour avoir émis des certificats avec des chiffrements faibles.

Microsoft a publié une mise à jour pour toutes les versions prises en charge de Microsoft Windows qui résout le problème.

Cette mise à jour traite-t-elle d’autres certificats numériques non autorisés ?
Oui, en plus de traiter les trois certificats non autorisés décrits dans cet avis, cette mise à jour est cumulative et traite les certificats numériques non autorisés décrits dans les avis précédents : Conseils de sécurité Microsoft 2524375, Conseils de sécurité Microsoft 2607712 et Conseils de sécurité Microsoft 2641690.

Windows 8 Consumer Preview est-il affecté par le problème abordé dans cet avis ?
Oui. La mise à jour est disponible pour la version Windows 8 Consumer Preview. Les clients disposant de Windows 8 Consumer Preview sont encouragés à appliquer les mises à jour à leurs systèmes. Les mises à jour sont disponibles uniquement sur Windows Update.

Windows 8 Release Preview est-il affecté par le problème résolu dans cet avis ?
Oui. La mise à jour est disponible pour la version Préliminaire de Windows 8. Les clients disposant de Windows 8 Release Preview sont encouragés à appliquer les mises à jour à leurs systèmes. Les mises à jour sont disponibles uniquement sur Windows Update.

Qu’est-ce que le chiffrement ?
Le chiffrement est la science de la sécurisation des informations en les convertissant entre son état normal et lisible (appelé texte en clair) et l’autre dans lequel les données sont masquées (appelées texte chiffré).

Dans toutes les formes de chiffrement, une valeur appelée clé est utilisée conjointement avec une procédure appelée algorithme de chiffrement pour transformer des données en texte brut en texte chiffré. Dans le type de chiffrement le plus familier, le chiffrement à clé secrète est transformé en texte brut à l’aide de la même clé. Toutefois, dans un deuxième type de chiffrement, chiffrement à clé publique, une autre clé est utilisée pour transformer le texte chiffré en texte clair.

Qu’est-ce qu’un certificat numérique ?
Dans le chiffrement à clé publique, l’une des clés, appelée clé privée, doit être conservée secrète. L’autre clé, connue sous le nom de clé publique, est destinée à être partagée avec le monde. Toutefois, il doit y avoir un moyen pour le propriétaire de la clé de dire au monde à qui appartient la clé. Les certificats numériques fournissent un moyen de le faire. Un certificat numérique est un élément de données inviolable qui empaquette une clé publique avec des informations sur celui-ci , qui le possède, ce qu’il peut être utilisé, quand il expire, etc.

Quels sont les certificats utilisés pour ?
Les certificats sont utilisés principalement pour vérifier l’identité d’une personne ou d’un appareil, authentifier un service ou chiffrer des fichiers. Normalement, vous n’aurez pas à réfléchir aux certificats du tout. Toutefois, vous pouvez voir un message indiquant qu’un certificat a expiré ou n’est pas valide. Dans ces cas, vous devez suivre les instructions du message.

Qu’est-ce qu’une autorité de certification (CA) ?
Les autorités de certification sont les organisations qui émettent des certificats. Ils établissent et vérifient l’authenticité des clés publiques qui appartiennent à des personnes ou à d’autres autorités de certification, et vérifient l’identité d’une personne ou d’une organisation qui demande un certificat.

Qu’est-ce qu’une liste d’approbation de certificats (CTL) ?
Une approbation doit exister entre le destinataire d’un message signé et le signataire du message. L’une des méthodes d’établissement de cette confiance consiste à utiliser un certificat, un document électronique vérifiant que les entités ou les personnes qui prétendent être. Un certificat est émis à une entité par un tiers approuvé par les deux parties. Ainsi, chaque destinataire d’un message signé décide si l’émetteur du certificat du signataire est fiable. CryptoAPI a implémenté une méthodologie permettant aux développeurs d’applications de créer des applications qui vérifient automatiquement les certificats par rapport à une liste prédéfinie de certificats ou de racines approuvés. Cette liste d’entités approuvées (appelées sujets) est appelée liste de confiance de certificat (CTL). Pour plus d’informations, consultez l’article MSDN, Vérification de l’approbation de certificat.

Qu’est-ce qui a provoqué le problème ?
Microsoft est conscient des attaques actives utilisant des certificats numériques non autorisés dérivés d’une autorité de certification Microsoft. Un certificat non autorisé peut être utilisé pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques de type man-in-the-middle. Ce problème affecte toutes les versions prises en charge de Microsoft Windows.

Qu’est-ce qu’un attaquant peut utiliser le problème pour le faire ?
Un attaquant peut utiliser ces certificats pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques man-in-the-middle.

Qu’est-ce qu’une attaque man-in-the-middle ?
Une attaque man-in-the-middle se produit lorsqu’un attaquant redirige la communication entre deux utilisateurs via l’ordinateur de l’attaquant sans connaître les deux utilisateurs communiquants. Chaque utilisateur de la communication envoie du trafic vers et reçoit le trafic de l’attaquant, tout en pensant qu’il communique uniquement avec l’utilisateur prévu.

Que fait Microsoft pour résoudre ce problème ?
Nous avons mis à jour le magasin de certificats non approuvé pour supprimer l’approbation dans les autorités de certification Microsoft concernées.

Après avoir appliqué la mise à jour, comment puis-je vérifier les certificats dans le Microsoft Untrusted Certificates Store ?
Pour plus d’informations sur la façon d’afficher des certificats, consultez l’article MSDN, Guide pratique pour afficher des certificats avec le composant logiciel enfichable MMC.

Dans le composant logiciel enfichable Certificats MMC, vérifiez que les certificats suivants ont été ajoutés au dossier Certificats non approuvés :

Certificat Délivré par Empreinte
PCA intermédiaire de licences appliquées Par Microsoft Microsoft Root Authority 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70
PCA intermédiaire de licences appliquées Par Microsoft Microsoft Root Authority 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08
Autorité de certification de l’autorité d’inscription des licences appliquées Microsoft (SHA1) Microsoft Root Certificate Authority fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97

Actions suggérées

Pour les versions prises en charge de Microsoft Windows

La majorité des clients ont la mise à jour automatique activée et n’ont pas besoin d’effectuer d’action, car la mise à jour Ko 2718704 sera téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article de la Base de connaissances Microsoft 294871.

Pour les administrateurs et les installations d’entreprise ou les utilisateurs finaux qui souhaitent installer la mise à jour Ko 2718704 manuellement, Microsoft recommande aux clients d’appliquer la mise à jour immédiatement à l’aide du logiciel de gestion des mises à jour, ou en case activée pour les mises à jour à l’aide du service Microsoft Update. Pour plus d’informations sur l’application manuelle de la mise à jour, consultez l’article de la Base de connaissances Microsoft 2718704.

Actions suggérées supplémentaires

  • Protéger votre PC

    Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Les clients peuvent en savoir plus sur ces étapes en visitant Protéger votre ordinateur.

    Pour plus d’informations sur la sécurité sur Internet, visitez Microsoft Security Central.

  • Conserver les logiciels Microsoft mis à jour

    Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées.

Autres informations

Programme Microsoft Active Protections (MAPP)

Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (3 juin 2012) : avis publié.
  • V1.1 (13 juin 2012) : avis révisé pour informer les clients que les appareils Windows Mobile 6.x, Windows Téléphone 7 et Windows Téléphone 7.5 ne sont pas affectés par le problème.

Construit à 2014-04-18T13 :49 :36Z-07 :00