Mise à jour concernant l'obsolescence de l'algorithme de hachage MD5 pour le programme de certificat racine Microsoft
Date de publication : 13 août 2013 | Date de mise à jour : 10 juin 2014
Version : 3.0
Informations générales
Synthèse
Microsoft annonce la disponibilité d'une mise à jour pour les éditions en cours de support de Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 et Windows RT qui limite l'utilisation de certificats avec le hachage MD5. Cette restriction est limitée aux certificats émis sous les racines du programme de certificat racine Microsoft. L'utilisation de l'algorithme de hachage MD5 dans des certificats pourrait permettre à un attaquant d'usurper du contenu, d'exécuter des attaques d'hameçonnage ou d'exécuter des attaques d'interception.
Cette mise à jour est disponible sur le Centre de téléchargement ainsi que dans le Catalogue Microsoft Update pour toutes les versions concernées de Microsoft Windows, à l'exception de Windows RT. Par ailleurs, depuis le 11 février 2014, cette mise à jour est proposée via les mises à jour automatiques et le service Microsoft Update pour tous les logiciels concernés.
Recommandation. Microsoft recommande à ses clients d'installer cette mise à jour dès que possible. Veuillez consulter la section « Actions suggérées » de cet Avis pour plus d'informations.
Notez que la mise à jour 2862966 est une condition requise et qu'elle doit être appliquée pour pouvoir installer cette mise à jour. La mise à jour 2862966 contient des modifications d'infrastructure associées à Microsoft Windows. Pour plus d'informations, consultez l'Article 2862966 de la Base de connaissances Microsoft.
Problèmes connus. L'Article 2862973 de la Base de connaissances Microsoft décrit les problèmes connus auxquels les clients peuvent être confrontés lors de l'installation de cette mise à jour. Cet article documente également les solutions palliatives recommandées.
Références sur le problème
Pour plus d'informations sur ce problème, consultez les références suivantes :
Logiciels concernés
-------------------
Cet Avis porte sur les logiciels suivants.
Système d'exploitation
Windows Vista Service Pack 2
Windows Vista Édition x64 Service Pack 2
Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour systèmes Itanium Service Pack 2
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
Windows 8 pour systèmes 32 bits
Windows 8 pour systèmes 64 bits
Windows Server 2012
Windows RT
Option d'installation Server Core
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
Windows Server 2012 (installation Server Core)
Forum aux questions relatif à cet Avis
--------------------------------------
**Pourquoi cet Avis a-t-il été mis à jour le 10 juin 2014 ?**
Microsoft a mis à jour cet Avis pour rééditer la mise à jour 2862973 pour Windows 8 et Windows Server 2012 afin de permettre l'installation de cette mise à jour sur les systèmes qui exécutent Windows Embedded 8 et Windows Server 2012 pour systèmes intégrés. Microsoft recommande à ses clients exécutant ces systèmes d'exploitation d'appliquer la mise à jour rééditée dès que possible.
Cette réédition s'applique uniquement aux systèmes exécutant Windows Embedded 8 ou Windows Server 2012 pour systèmes intégrés. Les clients exécutant d'autres systèmes d'exploitation ne sont pas affectés par cette réédition et n'ont pas besoin d'entreprendre de nouvelle action.
**Pourquoi cet Avis a-t-il été mis à jour le 11 février 2014 ?**
Microsoft a mis à jour cet Avis afin d'annoncer que la mise à jour 2862973 pour toutes les versions concernées de Microsoft Windows était désormais proposée via les mises à jour automatiques. Nos clients ayant déjà appliqué la mise à jour 2862973 n'ont pas besoin d'entreprendre de nouvelle action.
**Pourquoi cet Avis a-t-il été mis à jour le 8 octobre 2013 ?**
Microsoft a mis à jour cet Avis pour les raisons suivantes :
- Pour clarifier le fait que cette mise à jour ne s'applique pas à Windows 8.1, Windows Server 2012 R2 et Windows RT 8.1 car ces systèmes d'exploitation incluent déjà la fonctionnalité qui empêche l'utilisation de certificats MD5 dans le programme de certificat racine.
- Pour rappeler à nos clients que les administrateurs d'installations d'entreprise doivent rechercher dans leur environnement les éventuels certificats contenant un hachage MD5 et rééditer ces certificats avant une plus large distribution de la mise à jour, que Microsoft prévoit de publier au mois de février 2014.
**Cette mise à jour s'applique-t-elle à Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1 ?**
Non. Cette mise à jour ne s'applique pas à Windows 8.1, Windows Server 2012 R2, ni Windows RT 8.1 car ces systèmes d'exploitation incluent déjà la fonctionnalité qui empêche l'utilisation de certificats MD5 dans le programme de certificat racine.
**Cette mise à jour s'applique-t-elle à Windows 8.1 Preview, Windows RT 8.1 Preview ou Windows Server 2012 R2 Preview ?**
Non. Cette mise à jour ne s'applique pas à Windows 8.1 Preview, Windows RT 8.1 Preview ni Windows Server 2012 R2 Preview, car ces systèmes d'exploitation incluent déjà la fonctionnalité permettant d'empêcher l'utilisation de certificats MD5 dans le programme de certificat racine.
**Quelle est la portée de cet Avis ?**
Le but de cet Avis est d'avertir les clients qu'une mise à jour est disponible pour les éditions en cours de support de Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 et Windows Server 2012 qui limite l'utilisation de certificats avec le hachage MD5. Cette restriction est limitée aux certificats émis sous les racines du programme de certificat racine Microsoft. L'utilisation de l'algorithme de hachage MD5 dans des certificats pourrait permettre à un attaquant d'usurper du contenu, d'exécuter des attaques d'hameçonnage ou d'exécuter des attaques d'interception. Cette mise à jour est entièrement testée et est de qualité suffisante pour être publiée. Cette mise à jour a été publiée sur le [Centre de téléchargement](http://www.microsoft.com/download/default.aspx) ainsi que dans le [Catalogue Microsoft Update](http://go.microsoft.com/fwlink/?linkid=96155) pour permettre aux clients d'évaluer leur environnement et de rééditer les certificats nécessaires, avant une plus large distribution via [Microsoft Update](http://go.microsoft.com/fwlink/?linkid=40747).
**Quand Microsoft publiera-t-il cette mise à jour sur le site Microsoft Update ?**
Microsoft a publié cette mise à jour via Microsoft Update le 11 février 2014.
**Comment un attaquant pourrait-il utiliser des certificats numériques de manière frauduleuse ?**
Un attaquant pourrait concevoir un double d'un certificat numérique en résolvant l'algorithme de hachage MD5. Un attaquant pourrait alors utiliser ce certificat numérique de manière frauduleuse pour usurper du contenu, exécuter des attaques d'hameçonnage ou exécuter des attaques d'interception.
**Qu'est-ce qu'un certificat numérique ?**
Dans le cas du [chiffrement à clé publique](http://technet.microsoft.com/fr-fr/library/aa998077), l'une des clés, appelée clé privée, doit être gardée secrète. L'autre clé, ou clé publique, est destinée à être partagée. Toutefois, le propriétaire de la clé doit être en mesure d'indiquer à qui la clé appartient. Les [certificats numériques](http://technet.microsoft.com/en-us/library/cc962029.aspx) permettent de le faire. Un certificat numérique est un ensemble d'informations d'identification électroniques utilisées pour identifier les identités en ligne des individus, des organisations et des ordinateurs. Les certificats numériques contiennent une clé publique ainsi que des informations la concernant (qui en est le propriétaire, à quoi elle peut servir, quand elle expire, etc.).
**Qu'est-ce qu'une attaque d'interception ?**
Une attaque d'interception survient lorsqu'un attaquant détourne la communication entre deux utilisateurs via son ordinateur sans connaître ces deux utilisateurs. Chaque utilisateur prenant part à la communication envoie sans le savoir du trafic à l'attaquant et en reçoit, tout en continuant de penser qu'il ne communique qu'avec l'utilisateur souhaité.
**Que fait la mise à jour 2862973 ?**
Sur les versions concernées de Microsoft Windows, la mise à jour 2862973 exige que les certificats cessent d'utiliser l'algorithme de hachage MD5. Les produits Microsoft ou les produits tiers qui appellent la fonction [CertGetCertificateChain](http://msdn.microsoft.com/library/windows/desktop/aa376078.aspx) ne feront plus confiance aux certificats présentant un hachage MD5. Cette fonction crée un contexte de chaîne de certificat commençant par le certificat final et revenant, si possible, vers un certificat racine de confiance. Lorsque la chaîne est validée, chaque certificat de la chaîne est inspecté pour s'assurer qu'il n'utilise pas de hachage MD5. Si l'un des certificats de la chaîne présente un hachage MD5, le certificat final ne sera plus considéré comme fiable.
Pour obtenir une liste complète des manières dont cette mise à jour bloquera l'utilisation des certificats contenant un hachage MD5, consultez l'[Article 2862973 de la Base de connaissances Microsoft](http://support.microsoft.com/kb/2862973/en-us).
De plus, la mise à jour d'infrastructure requise (2862966) fournit une fonctionnalité de journalisation des événements de blocage de certificats par cette mise à jour (2862973). Pour plus d'informations sur l'activation de cette fonctionnalité de journalisation, consultez l'[Article 2862966 de la Base de connaissances Microsoft](http://support.microsoft.com/kb/2862966/en-us).
Notez que la mise à jour 2862973 n'affecte pas les fichiers binaires signés par des certificats utilisant un algorithme de hachage MD5.
**Comment me préparer à la mise à disposition de cette version ?**
Veuillez consulter la section « **Actions suggérées** » pour obtenir une liste des actions à effectuer en préparation au déploiement de cette mise à jour.
Actions suggérées
-----------------
**Appliquer la mise à jour pour les versions concernées de Microsoft Windows**
La majorité de nos clients chez lesquels les mises à jour automatiques sont activées n'auront pas besoin d'entreprendre de nouvelle action car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Nos clients chez lesquels les mises à jour automatiques ne sont pas activées doivent rechercher les mises à jour et les installer manuellement. Pour plus d'informations sur les options de configuration spécifiques des mises à jour automatiques, consultez l'[Article 294871 de la Base de connaissances Microsoft](http://support.microsoft.com/kb/294871/en-us).
Microsoft recommande aux administrateurs d'installations d'entreprise, ainsi qu'aux utilisateurs souhaitant installer la mise à jour 2862973 manuellement, de télécharger cette mise à jour et d'évaluer l'impact du blocage de l'utilisation de certificats avec hachage MD5. Consultez l'[Article 2862973 de la Base de connaissances Microsoft](http://support.microsoft.com/kb/2862973/en-us) pour obtenir les liens de téléchargement des packages de mise à jour.
Notez que la mise à jour 2862966 est une condition requise et qu'elle doit être installée pour pouvoir installer cette mise à jour. La mise à jour 2862966 contient des modifications d'infrastructure associées à Microsoft Windows. Pour plus d'informations, consultez l'[Article 2862966 de la Base de connaissances Microsoft](http://support.microsoft.com/kb/2862966/en-us).
Pour obtenir une liste complète des manières dont cette mise à jour bloquera l'utilisation des certificats contenant un hachage MD5, consultez l'[Article 2862973 de la Base de connaissances Microsoft](http://support.microsoft.com/kb/2862973/en-us).
Autres informations
-------------------
### Commentaires
Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et Support Microsoft : [Customer Service Contact Us](http://support.microsoft.com/kb/?scid=sw;en;1257&showpage=1&ws=technet&sd=tech) (en anglais).
### Support technique
En cas de problème, contactez les [services de support sécurité Microsoft](http://go.microsoft.com/fwlink/?linkid=21131). Pour plus d'informations, consultez le[site Web Aide et Support Microsoft](http://support.microsoft.com/?ln=fr).
Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour plus d'informations, consultez le site de [Support international](http://go.microsoft.com/fwlink/?linkid=21155).
[TechNet sécurité](http://go.microsoft.com/fwlink/?linkid=21132) fournit des informations complémentaires sur la sécurité dans les produits Microsoft.
### Dédit de responsabilité
Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.
### Révisions
- V1.0 (13 août 2013) : Avis publié.
- V1.1 (27 août 2013) : Avis mis à jour pour annoncer la disponibilité de la mise à jour 2862973 dans le Catalogue Microsoft Update.
- V1.2 (8 octobre 2013) : Clarification afin d'indiquer que cette mise à jour ne s'applique pas à Windows 8.1, Windows Server 2012 R2 ni Windows RT 8.1. Cependant, pour tous les systèmes d'exploitation applicables, Microsoft rappelle à ses clients que les administrateurs d'installations d'entreprise doivent rechercher dans leur environnement les éventuels certificats contenant un hachage MD5 et rééditer ces certificats avant une plus large distribution de la mise à jour, que Microsoft prévoit de publier au mois de février 2014.
- V2.0 (11 février 2014) : Avis mis à jour afin d'annoncer que la mise à jour 2862973 pour toutes les versions concernées de Microsoft Windows était désormais proposée via les mises à jour automatiques. Nos clients ayant déjà appliqué la mise à jour 2862973 n'ont pas besoin d'entreprendre de nouvelle action.
- V3.0 (10 juin 2014) : Avis mis à jour pour rééditer la mise à jour 2862973 pour Windows 8 et Windows Server 2012. Cette réédition s'applique uniquement aux systèmes exécutant Windows Embedded 8 et Windows Server 2012 pour systèmes intégrés. Pour plus d'informations, consultez le Forum aux questions de cet Avis.
*Page generated 2014-06-06 11:22Z-07:00.*