Conseils de sécurité Microsoft 2982792
Des certificats numériques émis de manière incorrecte pourraient autoriser l’usurpation d’identité
Publication : 10 juillet 2014 | Mise à jour : 17 juillet 2014
Version : 2.0
Informations générales
Résumé
Microsoft est conscient des certificats SSL émis de manière incorrecte qui peuvent être utilisés dans les tentatives d’usurpation de contenu, d’exécution d’attaques par hameçonnage ou d’attaques de type man-in-the-middle. Les certificats SSL ont été émis de manière incorrecte par le Centre national d’informatique (NIC), qui exploite des autorités de certification subordonnées sous les autorités de certification racine gérées par le contrôleur de certification du gouvernement de l’Inde (CCA), qui sont des autorités de certification présentes dans le magasin des autorités de certification racines approuvées. Ce problème affecte toutes les versions prises en charge de Microsoft Windows. Microsoft n’est actuellement pas au courant des attaques liées à ce problème.
L’autorité de certification subordonnée a été mal utilisée pour émettre des certificats SSL pour plusieurs sites, y compris les propriétés web Google. Ces certificats SSL peuvent être utilisés pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques de type man-in-the-middle contre les propriétés web. Les autorités de certification subordonnées peuvent également avoir été utilisées pour émettre des certificats pour d’autres sites actuellement inconnus, qui pourraient être soumis à des attaques similaires.
Pour protéger les clients contre l’utilisation potentiellement frauduleuse de ce certificat numérique, Microsoft met à jour la liste de confiance des certificats (CTL) pour toutes les versions prises en charge de Microsoft Windows afin de supprimer l’approbation des certificats qui provoquent ce problème. Pour plus d’informations sur ces certificats, consultez la section Forum aux questions de cet avis.
Recommandation. Un updater automatique de certificats révoqués est inclus dans les éditions prises en charge de Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 et Windows Server 2012 R2, et pour les appareils exécutant Windows Téléphone 8 ou Windows Téléphone 8.1. Pour ces systèmes d’exploitation ou appareils, les clients n’ont pas besoin d’effectuer d’action, car la durée de vie est mise à jour automatiquement.
Pour les systèmes exécutant Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 qui utilisent le updater automatique des certificats révoqués (voir l’article de la Base de connaissances Microsoft 2677070 pour plus d’informations), les clients n’ont pas besoin d’effectuer d’action, car la durée de vie est mise à jour automatiquement.
Pour les systèmes exécutant Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 et qui n’ont pas le updater automatique des certificats révoqués installés, cette mise à jour n’est pas disponible. Pour recevoir cette mise à jour, les clients doivent installer le programme de mise à jour automatique des certificats révoqués (consultez l’article de la Base de connaissances Microsoft 2677070 pour plus d’informations). Les clients dans des environnements déconnectés et qui exécutent Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 peuvent installer la mise à jour 2813430 pour recevoir cette mise à jour (voir l’article de la Base de connaissances Microsoft 2813430 pour plus d’informations).
Pour les clients exécutant Windows Server 2003, Microsoft recommande que la mise à jour 2982792 soit appliquée immédiatement à l’aide du logiciel de gestion des mises à jour, en case activée pour les mises à jour à l’aide du service Microsoft Update, ou en téléchargeant et en appliquant la mise à jour manuellement. Pour plus d’informations, consultez la section Actions suggérées de cet avis.
Détails de l’avis
Références de problème
Pour plus d’informations sur ce problème, consultez les références suivantes :
| Informations de référence | Identification |
|---|---|
| Article de la Base de connaissances Microsoft | 2982792 |
Logiciel affecté
Cet avis traite du logiciel suivant.
| Logiciel affecté |
|---|
| Système d’exploitation |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 |
| Windows 7 pour systèmes 32 bits Service Pack 1 |
| Windows 7 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 |
| Windows 8 pour les systèmes 32 bits |
| Windows 8 pour systèmes x64 |
| Windows 8.1 pour les systèmes 32 bits |
| Windows 8.1 pour les systèmes x64 |
| Windows RT |
| Windows RT 8.1 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Option d’installation server Core |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (installation server Core) |
| Windows Server 2008 R2 pour systèmes x64 (installation Server Core) |
| Windows Server 2012 (installation minimale) |
| Windows Server 2012 R2 (installation minimale) |
| Appareils affectés |
| Windows Phone 8 |
| Windows Phone 8.1 |
Faq sur les conseils
Pourquoi ce conseil a-t-il été mis à jour le 17 juillet 2014 ?
L’avis a été mis à jour le 17 juillet 2014 pour annoncer la disponibilité des 2982792 de mise à jour pour les éditions prises en charge de Windows Server 2003. Pour plus d’informations, consultez la section Actions suggérées de cet avis.
Quelle est la portée de l’avis ?
L’objectif de cet avis est d’informer les clients que le Centre informatique national (NIC) a émis de manière incorrecte des certificats SSL pour plusieurs sites, y compris les propriétés web Google. Ces certificats SSL peuvent être utilisés pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques de type man-in-the-middle contre les propriétés web. L’autorité de certification subordonnée peut également avoir été utilisée pour émettre des certificats pour d’autres sites actuellement inconnus, qui pourraient être soumis à des attaques similaires.
Qu’est-ce qui a provoqué le problème ?
Un certificat d’autorité de certification subordonné a été émis de manière incorrecte par le Centre national d’informatique (NIC), subordonné à l’autorité de certification du gouvernement de l’Inde, qui est une autorité de certification présente dans le magasin des autorités de certification racines approuvées.
Cette mise à jour traite-t-elle d’autres certificats numériques ?
Oui, en plus de traiter les certificats décrits dans cet avis, cette mise à jour est cumulative et inclut des certificats numériques décrits dans les avis précédents :
- Conseils de sécurité Microsoft 2524375
- Conseils de sécurité Microsoft 2607712
- Conseils de sécurité Microsoft 2641690
- Conseils de sécurité Microsoft 2718704
- Conseils de sécurité Microsoft 2728973
- Conseils de sécurité Microsoft 2798897
- Conseils de sécurité Microsoft 2961552
Qu’est-ce que le chiffrement ?
Le chiffrement est la science de la sécurisation des informations en les convertissant entre son état normal et lisible (appelé texte en clair) et l’autre dans lequel les données sont masquées (appelées texte chiffré).
Dans toutes les formes de chiffrement, une valeur appelée clé est utilisée conjointement avec une procédure appelée algorithme de chiffrement pour transformer des données en texte brut en texte chiffré. Dans le type de chiffrement le plus familier, le chiffrement à clé secrète est transformé en texte brut à l’aide de la même clé. Toutefois, dans un deuxième type de chiffrement, chiffrement à clé publique, une autre clé est utilisée pour transformer le texte chiffré en texte clair.
Qu’est-ce qu’un certificat numérique ?
Dans le chiffrement à clé publique, l’une des clés, appelée clé privée, doit être conservée secrète. L’autre clé, connue sous le nom de clé publique, est destinée à être partagée avec le monde. Toutefois, il doit y avoir un moyen pour le propriétaire de la clé de dire au monde à qui appartient la clé. Les certificats numériques fournissent un moyen de le faire. Un certificat numérique est un élément de données inviolable qui empaquet une clé publique avec des informations sur celui-ci (qui le possède, ce qu’il peut être utilisé, quand il expire, etc.).
Quels sont les certificats utilisés pour ?
Les certificats sont utilisés principalement pour vérifier l’identité d’une personne ou d’un appareil, authentifier un service ou chiffrer des fichiers. Normalement, vous n’aurez pas à réfléchir aux certificats du tout. Toutefois, vous pouvez voir un message indiquant qu’un certificat a expiré ou n’est pas valide. Dans ces cas, vous devez suivre les instructions du message.
Qu’est-ce qu’une autorité de certification (CA) ?
Les autorités de certification sont les organisations qui émettent des certificats. Ils établissent et vérifient l’authenticité des clés publiques qui appartiennent à des personnes ou à d’autres autorités de certification, et vérifient l’identité d’une personne ou d’une organisation qui demande un certificat.
Qu’est-ce qu’une liste d’approbation de certificats (CTL) ?
Une approbation doit exister entre le destinataire d’un message signé et le signataire du message. L’une des méthodes d’établissement de cette confiance consiste à utiliser un certificat, un document électronique vérifiant que les entités ou les personnes qui prétendent être. Un certificat est émis à une entité par un tiers approuvé par les deux parties. Ainsi, chaque destinataire d’un message signé décide si l’émetteur du certificat du signataire est fiable. CryptoAPI a implémenté une méthodologie permettant aux développeurs d’applications de créer des applications qui vérifient automatiquement les certificats par rapport à une liste prédéfinie de certificats ou de racines approuvés. Cette liste d’entités approuvées (appelées sujets) est appelée liste de confiance de certificat (CTL). Pour plus d’informations, consultez l’article MSDN, Vérification de l’approbation de certificat.
Qu’est-ce qu’un attaquant peut faire avec ces certificats ?
Un attaquant peut utiliser ces certificats pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques de type man-in-the-middle contre les propriétés web suivantes :
- google.com
- mail.google.com
- gmail.com
- www.gmail.com
- m.gmail.com
- smtp.gmail.com
- pop.gmail.com
- imap.gmail.com
- googlemail.com
- www.googlemail.com
- smtp.googlemail.com
- pop.googlemail.com
- imap.googlemail.com
- gstatic.com
- ssl.gstatic.com
- www.static.com
- encrypted-tbn1.gstatic.com
- encrypted-tbn2.gstatic.com
- login.yahoo.com
- mail.yahoo.com
- mail.yahoo-inc.com
- fb.member.yahoo.com
- login.korea.yahoo.com
- api.reg.yahoo.com
- edit.yahoo.com
- watchlist.yahoo.com
- edit.india.yahoo.com
- edit.korea.yahoo.com
- edit.europe.yahoo.com
- edit.singapore.yahoo.com
- edit.tpe.yahoo.com
- legalredirect.yahoo.com
- me.yahoo.com
- open.login.yahooapis.com
- subscribe.yahoo.com
- edit.secure.yahoo.com
- edit.client.yahoo.com
- bt.edit.client.yahoo.com
- verizon.edit.client.yahoo.com
- na.edit.client.yahoo.com
- au.api.reg.yahoo.com
- au.reg.yahoo.com
- profile.yahoo.com
- static.profile.yahoo.com
- openid.yahoo.com
Qu’est-ce qu’une attaque man-in-the-middle ?
Une attaque man-in-the-middle se produit lorsqu’un attaquant redirige la communication entre deux utilisateurs via l’ordinateur de l’attaquant sans connaître les deux utilisateurs communiquants. Chaque utilisateur de la communication envoie du trafic vers et reçoit le trafic de l’attaquant, tout en pensant qu’il communique uniquement avec l’utilisateur prévu.
Que fait Microsoft pour résoudre ce problème ?
Bien que ce problème ne résulte pas d’un problème dans n’importe quel produit Microsoft, nous mettons néanmoins à jour la durée de vie et fournissons une mise à jour pour aider à protéger les clients. Microsoft continuera d’examiner ce problème et peut apporter des modifications ultérieures à la durée de vie ou publier une prochaine mise à jour pour protéger les clients.
Après avoir appliqué la mise à jour, comment puis-je vérifier les certificats dans le Microsoft Untrusted Certificates Store ?
Pour Windows Vista, Windows 7, Windows Server 2008, et les systèmes Windows Server 2008 R2 qui utilisent le updater automatique des certificats révoqués (voir l’article 2677070 de la Base de connaissances Microsoft) et pour les systèmes Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 et Windows Server 2012 R2, vous pouvez case activée le journal des applications dans l’Observateur d’événements pour une entrée avec les valeurs suivantes :
- Source : CAPI2
- Niveau : Information
- ID d’événement : 4112
- Description : Mise à jour automatique réussie de la liste des certificats non autorisés avec date d’effet : jeudi 3 juillet 2014 (ou version ultérieure).
Pour les systèmes qui n’utilisent pas le correctif automatique des certificats révoqués, dans le composant logiciel enfichable MMC Certificats, vérifiez que le certificat suivant a été ajouté au dossier Certificats non approuvés :
| Certificate | Émis par | Empreinte |
|---|---|---|
| Autorité de certification de carte réseau | CCA Inde 2007 | 48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf |
| Autorité de certification de carte réseau 2011 | CCA Inde 2011 | c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2 |
| Autorité de certification de carte réseau 2014 | CCA Inde 2014 | d2 db f7 18 23 b2 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a |
Remarque Pour plus d’informations sur la façon d’afficher les certificats avec le composant logiciel enfichable MMC, consultez l’article MSDN : Afficher les certificats avec le composant logiciel enfichable MMC.
Actions suggérées
Appliquer la mise à jour pour les versions prises en charge de Microsoft Windows
Un updater automatique de certificats révoqués est inclus dans les éditions prises en charge de Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 et Windows Server 2012 R2, et pour les appareils exécutant Windows Téléphone 8 ou Windows Téléphone 8.1. Pour ces systèmes d’exploitation ou appareils, les clients n’ont pas besoin d’effectuer d’action, car la durée de vie est mise à jour automatiquement.
Pour les systèmes exécutant Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 qui utilisent le updater automatique des certificats révoqués (voir l’article de la Base de connaissances Microsoft 2677070 pour plus d’informations), les clients n’ont pas besoin d’effectuer d’action, car la durée de vie est mise à jour automatiquement.
Pour les systèmes exécutant Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 et qui n’ont pas le updater automatique des certificats révoqués installés, cette mise à jour n’est pas disponible. Pour recevoir cette mise à jour, les clients doivent installer le programme de mise à jour automatique des certificats révoqués (consultez l’article de la Base de connaissances Microsoft 2677070 pour plus d’informations). Les clients dans des environnements déconnectés et qui exécutent Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 peuvent installer la mise à jour 2813430 pour recevoir cette mise à jour (voir l’article de la Base de connaissances Microsoft 2813430 pour plus d’informations).
Pour les clients exécutant Windows Server 2003, Microsoft recommande que la mise à jour 2982792 soit appliquée immédiatement à l’aide du logiciel de gestion des mises à jour, en case activée pour les mises à jour à l’aide du service Microsoft Update, ou en téléchargeant et en appliquant la mise à jour manuellement. Consultez l’article de la Base de connaissances Microsoft 2982792 pour obtenir des liens de téléchargement.
Actions suggérées supplémentaires
Protéger votre PC
Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Pour plus d’informations, consultez Microsoft Coffre ty &Security Center.
Conserver les logiciels Microsoft mis à jour
Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées.
Remerciements
Microsoft remercie ce qui suit pour nous aider à protéger les clients :
- Adam Langley et l’équipe de sécurité Google Chrome pour attirer l’attention sur l’incident et travailler avec nous sur la réponse
Autres informations
Programme Microsoft Active Protections (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.
Commentaires
- Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.
Support
- Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
- Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (10 juillet 2014) : avis publié.
- V2.0 (17 juillet 2014) : avis révisé pour annoncer la disponibilité des 2982792 de mise à jour pour les éditions prises en charge de Windows Server 2003. Pour plus d’informations, consultez la section Actions suggérées de cet avis.
Page générée 2014-07-31 13 :34Z-07 :00.