Conseils de sécurité Microsoft 3050995
Des certificats numériques émis de manière incorrecte pourraient autoriser l’usurpation d’identité
Publication : 24 mars 2015 | Mise à jour : 26 mars 2015
Version : 2.0
Résumé
Microsoft est conscient des certificats numériques qui ont été émis de manière incorrecte par l’autorité de certification subordonnée, MCS Holdings, qui peut être utilisé dans les tentatives d’usurpation de contenu, d’effectuer des attaques par hameçonnage ou d’effectuer des attaques man-in-the-middle. Les certificats émis de manière incorrecte ne peuvent pas être utilisés pour émettre d’autres certificats, emprunter l’identité d’autres domaines ou signer du code. Ce problème affecte toutes les versions prises en charge de Microsoft Windows.
Pour protéger les clients contre l’utilisation potentiellement frauduleuse de ces certificats mal émis, Microsoft met à jour la liste de confiance des certificats (CTL) pour supprimer l’approbation du certificat d’autorité de certification subordonnée. L’autorité de certification racine approuvée, le China Internet Network Information Center (CNNIC), a également révoqué le certificat de l’autorité de certification subordonnée. Pour plus d’informations sur ces certificats, consultez la section Forum aux questions de cet avis.
Recommandation. Consultez la section Actions suggérées de cet avis pour obtenir des instructions sur l’application d’une mise à jour pour des versions spécifiques de Microsoft Windows.
Détails de l’avis
Pour plus d’informations sur ce problème, consultez les références suivantes :
| Informations de référence | Identification |
|---|---|
| Article de la Base de connaissances Microsoft | 3050995 |
Logiciel affecté
Cet avis traite du logiciel suivant.
| Système d’exploitation |
|---|
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 |
| Windows 7 pour systèmes 32 bits Service Pack 1 |
| Windows 7 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 |
| Windows 8 pour les systèmes 32 bits |
| Windows 8 pour systèmes x64 |
| Windows Server 2012 |
| Windows RT |
| Windows 8.1 pour les systèmes 32 bits |
| Windows 8.1 pour les systèmes x64 |
| Windows Server 2012 R2 |
| Windows RT 8.1 |
| Option d’installation server Core |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (installation server Core) |
| Windows Server 2008 R2 pour systèmes x64 (installation Server Core) |
| Windows Server 2012 (installation minimale) |
| Windows Server 2012 R2 (installation minimale) |
| Appareils affectés |
| Windows Phone 8 |
| Windows Phone 8.1 |
Faq sur les conseils
Quelle est la portée de l’avis ?
L’objectif de cet avis est d’informer les clients que MCS Holdings a émis de manière incorrecte des certificats SSL pour plusieurs sites, y compris les propriétés web Google. Ces certificats SSL peuvent être utilisés pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques de type man-in-the-middle contre les propriétés web. L’autorité de certification subordonnée peut également avoir été utilisée pour émettre des certificats pour d’autres sites actuellement inconnus, qui pourraient être soumis à des attaques similaires.
Qu’est-ce qui a provoqué le problème ?
Le problème a été provoqué par MCS Holdings, une autorité de certification subordonnée, qui émet incorrectement des certificats de domaine à des entités autres que leurs propriétaires. L’autorité MCS Holdings est subordonnée au China Internet Network Information Center (CNNIC), qui est une autorité de certification présente dans le magasin des autorités de certification racines approuvées.
Cette mise à jour traite-t-elle d’autres certificats numériques ?
Oui, en plus de traiter les certificats décrits dans cet avis, cette mise à jour est cumulative et inclut des certificats numériques décrits dans les avis précédents :
- Conseils de sécurité Microsoft 3046310
- Conseils de sécurité Microsoft 2982792
- Conseils de sécurité Microsoft 2916652
- Conseils de sécurité Microsoft 2798897
- Conseils de sécurité Microsoft 2728973
- Conseils de sécurité Microsoft 2718704
- Conseils de sécurité Microsoft 2641690
- Conseils de sécurité Microsoft 2607712
- Conseils de sécurité Microsoft 2524375
Qu’est-ce que le chiffrement ?
Le chiffrement est la science de la sécurisation des informations en les convertissant entre son état normal et lisible (appelé texte en clair) et l’autre dans lequel les données sont masquées (appelées texte chiffré).
Dans toutes les formes de chiffrement, une valeur appelée clé est utilisée conjointement avec une procédure appelée algorithme de chiffrement pour transformer des données en texte brut en texte chiffré. Dans le type de chiffrement le plus familier, le chiffrement à clé secrète est transformé en texte brut à l’aide de la même clé. Toutefois, dans un deuxième type de chiffrement, chiffrement à clé publique, une autre clé est utilisée pour transformer le texte chiffré en texte clair.
Qu’est-ce qu’un certificat numérique ?
Dans le chiffrement à clé publique, l’une des clés, appelée clé privée, doit être conservée secrète. L’autre clé, connue sous le nom de clé publique, est destinée à être partagée avec le monde. Toutefois, il doit y avoir un moyen pour le propriétaire de la clé de dire au monde à qui appartient la clé. Les certificats numériques fournissent un moyen de le faire. Un certificat numérique est un élément de données inviolable qui empaquet une clé publique avec des informations sur celui-ci (qui le possède, ce qu’il peut être utilisé, quand il expire, etc.).
Quels sont les certificats utilisés pour ?
Les certificats sont utilisés principalement pour vérifier l’identité d’une personne ou d’un appareil, authentifier un service ou chiffrer des fichiers. Normalement, vous n’aurez pas à réfléchir aux certificats du tout. Toutefois, vous pouvez voir un message indiquant qu’un certificat a expiré ou n’est pas valide. Dans ces cas, vous devez suivre les instructions du message.
Qu’est-ce qu’une autorité de certification (CA) ?
Les autorités de certification sont les organisations qui émettent des certificats. Ils établissent et vérifient l’authenticité des clés publiques qui appartiennent à des personnes ou à d’autres autorités de certification, et vérifient l’identité d’une personne ou d’une organisation qui demande un certificat.
Qu’est-ce qu’une liste d’approbation de certificats (CTL) ?
Une approbation doit exister entre le destinataire d’un message signé et le signataire du message. L’une des méthodes d’établissement de cette confiance consiste à utiliser un certificat, un document électronique vérifiant que les entités ou les personnes qui prétendent être. Un certificat est émis à une entité par un tiers approuvé par les deux parties. Ainsi, chaque destinataire d’un message signé décide si l’émetteur du certificat du signataire est fiable. CryptoAPI a implémenté une méthodologie permettant aux développeurs d’applications de créer des applications qui vérifient automatiquement les certificats par rapport à une liste prédéfinie de certificats ou de racines approuvés. Cette liste d’entités approuvées (appelées sujets) est appelée liste de confiance de certificat (CTL). Pour plus d’informations, consultez l’article MSDN, Vérification de l’approbation de certificat.
Qu’est-ce qu’un attaquant peut faire avec ces certificats ?
Un attaquant peut utiliser ces certificats pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques de type man-in-the-middle contre les propriétés web suivantes :
- *.google.com
- *.google.com.eg
- *.g.doubleclick.net
- *.gstatic.com
- www.google.com
- www.gmail.com
- *.googleapis.com
Qu’est-ce qu’une attaque man-in-the-middle ?
Une attaque man-in-the-middle se produit lorsqu’un attaquant redirige la communication entre deux utilisateurs via l’ordinateur de l’attaquant sans connaître les deux utilisateurs communiquants. Chaque utilisateur de la communication envoie du trafic vers et reçoit le trafic de l’attaquant, tout en pensant qu’il communique uniquement avec l’utilisateur prévu.
Que fait Microsoft pour résoudre ce problème ?
Bien que ce problème ne résulte pas d’un problème dans n’importe quel produit Microsoft, nous mettons néanmoins à jour la durée de vie et fournissons une mise à jour pour aider à protéger les clients. Microsoft continuera d’examiner ce problème et peut apporter des modifications ultérieures à la durée de vie ou publier une prochaine mise à jour pour protéger les clients.
Après avoir appliqué la mise à jour, comment puis-je vérifier les certificats dans le Microsoft Untrusted Certificates Store ?
Pour Windows Vista, Windows 7, Windows Server 2008, et les systèmes Windows Server 2008 R2 qui utilisent le updater automatique des certificats révoqués (voir l’article 2677070 de la Base de connaissances Microsoft) et pour les systèmes Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 et Windows Server 2012 R2, vous pouvez case activée le journal des applications dans l’Observateur d’événements pour une entrée avec les valeurs suivantes :
- Source : CAPI2
- Niveau : Information
- ID d’événement : 4112
- Description : Mise à jour automatique réussie de la liste des certificats non autorisés avec date d’effet : lundi 23 mars 2015 (ou version ultérieure).
Pour les systèmes qui n’utilisent pas le correctif automatique des certificats révoqués, dans le composant logiciel enfichable MMC Certificats, vérifiez que le certificat suivant a été ajouté au dossier Certificats non approuvés :
| Certificate | Émis par | Empreinte |
|---|---|---|
| MCSHOLDING TEST | RACINE CNNIC | e1 f3 59 1e 76 98 65 c4 e4 47 ac c3 7e af c9 e2 bf e4 c5 76 |
Remarque Pour plus d’informations sur la façon d’afficher les certificats avec le composant logiciel enfichable MMC, consultez l’article MSDN : Afficher les certificats avec le composant logiciel enfichable MMC.
Actions suggérées
Appliquer la mise à jour pour les versions prises en charge de Microsoft Windows
Un updater automatique de certificats révoqués est inclus dans les éditions prises en charge de Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows RT 8.1 et Windows Server 2012 R2, et pour les appareils exécutant Windows Téléphone 8 et Windows Téléphone 8.1. Pour ces systèmes d’exploitation ou appareils, les clients n’ont pas besoin d’effectuer d’action, car la durée de vie est mise à jour automatiquement.
Pour les systèmes exécutant Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 qui utilisent la mise à jour automatique des certificats révoqués (voir l’article de la Base de connaissances Microsoft 2677070 pour plus d’informations), les clients n’ont pas besoin d’effectuer d’action, car ces systèmes seront automatiquement protégés.
Pour les clients exécutant Windows Server 2003, Microsoft recommande d’appliquer la mise à jour 3050995 immédiatement à l’aide du logiciel de gestion des mises à jour, en case activée pour les mises à jour à l’aide du service Microsoft Update ou en téléchargeant et en appliquant la mise à jour manuellement (consultez l’article de la Base de connaissances Microsoft 3050995 pour plus d’informations).
Actions suggérées supplémentaires
Protéger votre PC
Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Pour plus d’informations, consultez Microsoft Coffre ty &Security Center.
Conserver les logiciels Microsoft mis à jour
Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées.
Autres informations
Commentaires
- Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.
Support
- Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
- Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (24 mars 2015) : Avis publié.
- V2.0 (26 mars 2015) : avis relégé pour annoncer que la mise à jour pour les éditions prises en charge de Windows Server 2003 est désormais disponible. Consultez l’article de la Base de connaissances Microsoft 3050995 pour plus d’informations et télécharger des liens.
Page générée 2015-03-26 10 :03Z-07 :00.