Avis de sécurité

Conseils de sécurité Microsoft 2868725

Mise à jour pour la désactivation de RC4

Publication : 12 novembre 2013

Version : 1.0

Informations générales

Résumé

Microsoft annonce la disponibilité d’une mise à jour pour les éditions prises en charge de Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 et Windows RT pour résoudre les faiblesses connues de RC4. La mise à jour prend en charge la suppression de RC4 en tant que chiffrement disponible sur les systèmes affectés via les paramètres du Registre. Il permet également aux développeurs de supprimer RC4 dans des applications individuelles à l’aide de l’indicateur de SCH_USE_STRONG_CRYPTO dans la structure SCHANNEL_CRED. Ces options ne sont pas activées par défaut.

Recommandation. Microsoft recommande aux clients de télécharger et d’installer la mise à jour immédiatement, puis de tester les nouveaux paramètres dans leurs environnements. Pour plus d’informations, consultez la section Actions suggérées de cet avis.

Détails de l’avis

Références de problème

Pour plus d’informations sur ce problème, consultez les références suivantes :

Références Identification
Article de la Base de connaissances Microsoft 2868725 

Logiciel affecté

Cet avis traite du logiciel suivant.

Système d'exploitation
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1
Windows 8 pour les systèmes 32 bits
Windows 8 pour systèmes x64
Windows Server 2012
Windows RT
Option d’installation server Core
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core)
Windows Server 2012 (installation minimale)

 

Faq sur les conseils

Cette mise à jour s’applique-t-elle à Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1 ?
Non. Cette mise à jour ne s’applique pas à Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1, car ces systèmes d’exploitation incluent déjà les fonctionnalités permettant de restreindre l’utilisation de RC4.

Quelle est la portée de l’avis ?
L’objectif de cet avis est d’informer les clients qu’une mise à jour est disponible pour les éditions prises en charge de Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 et Windows RT qui fournit des options supplémentaires pour restreindre l’utilisation de RC4. L’utilisation de RC4 dans TLS et SSL peut permettre à un attaquant d’effectuer des attaques man-in-the-middle et de récupérer du texte en clair à partir de sessions chiffrées.

Qu’est-ce qu’une attaque man-in-the-middle ?
Une attaque man-in-the-middle se produit lorsqu’un attaquant redirige la communication entre deux utilisateurs via l’ordinateur de l’attaquant sans connaître les deux utilisateurs communiquants. Chaque utilisateur de la communication envoie du trafic vers et reçoit le trafic de l’attaquant, tout en pensant qu’il communique uniquement avec l’utilisateur prévu.

Que fait la mise à jour 2868725 ?
La mise à jour prend en charge la suppression de RC4 en tant que chiffrement disponible sur les systèmes affectés via les paramètres du Registre. Il permet également aux développeurs de supprimer RC4 dans des applications individuelles à l’aide de l’indicateur de SCH_USE_STRONG_CRYPTO dans la structure SCHANNEL_CRED. Ces options ne sont pas activées par défaut. Microsoft recommande aux clients de tester les nouveaux paramètres pour désactiver RC4 avant de les implémenter dans leurs environnements.

La mise à jour aura-t-elle un impact sur l’expérience utilisateur pour Internet Explorer ou d’autres applications entrantes ?
Non. Les modifications implémentées avec la mise à jour sont transparentes pour l’utilisateur et n’affectent pas l’expérience utilisateur pour Internet Explorer ou d’autres applications in-box. Toutefois, il est possible que les modifications ultérieures apportées aux paramètres de désactivation de RC4 puissent avoir un impact sur l’expérience utilisateur pour Internet Explorer ou d’autres applications qui utilisent TLS. Pour cette raison, il est vivement recommandé aux clients de tester soigneusement les nouveaux paramètres relatifs à la désactivation de RC4.

Comment faire préparer cette version ?
Consultez la section Actions suggérées de cet avis pour obtenir la liste des actions à effectuer en vue du déploiement de cette mise à jour.

Qu’est-ce que Schannel ?
Secure Channel, également appelé Schannel, est un fournisseur de support de sécurité (SSP) qui contient un ensemble de protocoles de sécurité qui fournissent l’authentification d’identité et la communication privée sécurisée par le biais du chiffrement. Schannel est principalement utilisé pour les applications Internet qui nécessitent des communications HTTP (Hypertext Transfer Protocol) sécurisées. Pour plus d’informations, consultez Canal sécurisé.

Qu’est-ce que TLS ?
Tls (Transport Layer Security) est un protocole standard utilisé pour fournir des communications web sécurisées sur Internet ou intranets. Il permet aux clients d’authentifier des serveurs ou, éventuellement, des serveurs pour authentifier les clients. Il fournit également un canal sécurisé en chiffrant les communications. TLS est la dernière version du protocole SSL (Secure Sockets Layer).

Qu’est-ce que RC4 ?
RC4 est un chiffrement de flux utilisé à la fois dans le chiffrement et le déchiffrement.

Actions suggérées

Appliquer la mise à jour pour les versions affectées de Microsoft Windows

La majorité des clients ont activé la mise à jour automatique et n’auront pas besoin d’agir, car la mise à jour 2868725 sera téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article de la Base de connaissances Microsoft 294871.

Pour les administrateurs et les installations d’entreprise, ou les utilisateurs finaux qui souhaitent installer la mise à jour 2868725 manuellement, Microsoft recommande aux clients d’appliquer la mise à jour immédiatement à l’aide du logiciel de gestion des mises à jour, ou en case activée pour les mises à jour à l’aide du service Microsoft Update. Pour plus d’informations sur l’application manuelle de la mise à jour, consultez l’article de la Base de connaissances Microsoft 2868725.

Testez soigneusement les nouveaux paramètres avant de les implémenter dans votre environnement

Après avoir appliqué la mise à jour, Microsoft recommande aux clients de tester les nouveaux paramètres pour désactiver RC4 avant de les implémenter dans leurs environnements. L’échec du test des nouveaux paramètres peut avoir un impact sur l’expérience utilisateur pour Internet Explorer ou d’autres applications qui utilisent TLS.

Autres informations

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (12 novembre 2013) : Avis publié.

Construit à 2014-04-18T13 :49 :36Z-07 :00