• Article

Avis de sécurité

Conseils de sécurité Microsoft 2661254

Mise à jour pour la longueur minimale de la clé de certificat

Publication : 14 août 2012 | Mise à jour : 09 octobre 2012

Version : 2.0

Informations générales

Résumé

Microsoft annonce la disponibilité d’une mise à jour vers Windows qui restreint l’utilisation de certificats avec des clés RSA inférieures à 1024 bits. Les clés privées utilisées dans ces certificats peuvent être dérivées et peuvent permettre à un attaquant de dupliquer les certificats et de les utiliser frauduleusement pour usurper du contenu, d’effectuer des attaques par hameçonnage ou d’effectuer des attaques man-in-the-middle.

Notez que cette mise à jour a un impact sur les applications et services qui utilisent des clés RSA pour le chiffrement et appellent la fonction CertGetCertificateChain . Ces applications et services n’approuvent plus les certificats avec des clés RSA inférieures à 1 024 bits. Parmi les exemples d’applications et de services impactés, citons, mais pas limités aux canaux de chiffrement SSL/TLS, aux applications signées et aux environnements PKI privés. Les certificats qui utilisent des algorithmes de chiffrement autres que RSA ne sont pas affectés par cette mise à jour. Pour plus d’informations sur les applications et les services affectés par cette mise à jour, consultez l’article 2661254 de la Base de connaissances Microsoft.

La mise à jour est disponible dans le Centre de téléchargement ainsi que dans le catalogue Microsoft Update pour toutes les versions prises en charge de Microsoft Windows. De plus, à compter du 9 octobre 2012, cette mise à jour est proposée via la mise à jour automatique et via le service Microsoft Update .

Recommandation. Microsoft recommande aux clients d’appliquer la mise à jour au plus tôt. Pour plus d’informations, consultez la section Actions suggérées de cet avis.

Problèmes connus.L’article de la Base de connaissances Microsoft 2661254 documente les problèmes actuellement connus rencontrés par les clients lors de l’installation de cette mise à jour. L’article documente également les solutions recommandées pour ces problèmes.

Détails de l’avis

Références de problème

Pour plus d’informations sur ce problème, consultez les références suivantes :

Références Identification
Article de la Base de connaissances Microsoft 2661254 

Logiciels et appareils affectés

Cet avis traite du logiciel suivant.

Système d'exploitation
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 avec SP2 pour les systèmes Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour les systèmes Itanium Service Pack 2
Windows 7 pour systèmes 32 bits et Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 et Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes x64 et Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour les systèmes Itanium et Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1
Option d’installation server Core
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation server Core)
Windows Server 2008 R2 pour les systèmes x64 et Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation minimale)

 

Forums Aux Questions (FAQ)

Pourquoi cet avis a-t-il été révisé le 9 octobre 2012 ?
Microsoft a révisé cet avis pour les raisons suivantes :

  • Pour réécrire la mise à jour Ko 2661254 pour Windows XP afin de résoudre un problème impliquant des certificats numériques spécifiques générés par Microsoft sans attributs d’horodatage appropriés. Pour plus d’informations sur ce problème, consultez l’ avis de sécurité Microsoft 2749655. Les clients qui ont déjà installé cette mise à jour sur leurs systèmes Windows XP n’ont pas besoin d’effectuer d’action. En outre, les clients ne seront pas réoffrés cette mise à jour s’il est déjà installé sur leurs systèmes. La mise à jour réécritée s’applique uniquement aux systèmes Windows XP qui n’ont pas précédemment installé cette mise à jour.
  • Pour annoncer que la mise à jour Ko 2661254 pour toutes les versions prises en charge de Microsoft Windows est désormais proposée via la mise à jour automatique.

Pourquoi cet avis a-t-il été révisé le 11 septembre 2012 ?
Microsoft a révisé cet avis pour clarifier que les applications et services qui utilisent des clés RSA pour le chiffrement et l’appel à la fonction CertGetCertificateChain pourraient être affectés par cette mise à jour. Par exemple, ces applications et services incluent, mais ne sont pas limités aux canaux de chiffrement SSL/TLS, aux applications signées et aux environnements PKI privés.

Pour plus d’informations sur l’impact possible sur les clients et les problèmes connus que les clients peuvent rencontrer lors de l’installation de cette mise à jour, consultez l’article de la Base de connaissances Microsoft 2661254.

Quelle est la portée de l’avis ?
L’objectif de cet avis est d’informer les clients qu’une mise à jour est disponible pour toutes les versions prises en charge de Microsoft Windows qui exigeront que les certificats contiennent des clés RSA supérieures ou égales à 1 024 bits de longueur. Les certificats avec des clés RSA inférieures à 1024 bits peuvent être dérivés dans un court laps de temps et peuvent permettre à un attaquant de dupliquer les certificats et de les utiliser frauduleusement pour usurper du contenu, d’effectuer des attaques par hameçonnage ou d’effectuer des attaques man-in-the-middle. Cette mise à jour est entièrement testée et est de qualité suffisante pour la mise en production. La mise à jour a été publiée dans le centre de téléchargement pour permettre aux clients d’évaluer leur environnement et de fournir la possibilité de réécrire les certificats nécessaires avant une distribution plus large via Microsoft Update.

Comment un attaquant peut-il utiliser des certificats frauduleusement ?
Un attaquant peut dupliquer le certificat et l’utiliser pour usurper du contenu frauduleusement, effectuer des attaques par hameçonnage ou effectuer des attaques man-in-the-middle.

Comment un attaquant peut-il dupliquer un certificat ?
Un certificat numérique ne peut être créé que par la personne qui possède la clé privée du certificat. Un attaquant peut tenter de deviner la clé privée et d’utiliser des techniques mathématiques pour déterminer si une estimation est correcte. La difficulté de deviner avec succès la clé privée est proportionnelle au nombre de bits utilisés dans la clé. Par conséquent, plus la clé est grande, plus il faut à un attaquant pour deviner la clé privée. À l’aide du matériel moderne, les clés inférieures à 1 024 bits de longueur peuvent être devinées avec succès dans un court laps de temps. Une fois que l’attaquant a réussi à deviner la clé privée, l’attaquant peut dupliquer le certificat et l’utiliser frauduleusement pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques man-in-the-middle.

Qu’est-ce qu’une attaque man-in-the-middle ?
Une attaque man-in-the-middle se produit lorsqu’un attaquant redirige la communication entre deux utilisateurs via l’ordinateur de l’attaquant sans connaître les deux utilisateurs communiquants. Chaque utilisateur de la communication envoie du trafic vers et reçoit le trafic de l’attaquant, tout en pensant qu’il communique uniquement avec l’utilisateur prévu.

Qu’est-ce qu’un certificat numérique ?
Dans le chiffrement à clé publique, l’une des clés, appelée clé privée, doit être conservée secrète. L’autre clé, connue sous le nom de clé publique, est destinée à être partagée avec le monde. Toutefois, il doit y avoir un moyen pour le propriétaire de la clé de dire au monde à qui appartient la clé. Les certificats numériques fournissent un moyen de le faire. Un certificat numérique est un justificatif électronique utilisé pour certifier les identités en ligne des individus, des organisations et des ordinateurs. Les certificats numériques contiennent une clé publique empaquetée avec des informations sur celle-ci : qui le possède, ce qu’il peut être utilisé, quand il expire, et ainsi de suite.

Comment faire préparer cette version ?
Consultez la section Actions suggérées pour obtenir la liste des actions à effectuer en vue du déploiement de cette mise à jour.

Quand Microsoft publiera-t-il cette mise à jour vers Microsoft Update ?
Microsoft prévoit de publier cette mise à jour via Microsoft Update en octobre 2012.

Que fait la mise à jour Ko 2661254 ?
Sur toutes les versions prises en charge de Microsoft Windows, la mise à jour Ko 2661254 nécessite que les certificats avec des clés RSA utilisent une longueur de clé 1024 bits ou supérieure. Les certificats qui utilisent des algorithmes de chiffrement autres que RSA ne sont pas affectés par cette mise à jour. Les produits Microsoft ou les produits tiers qui appellent la fonction CertGetCertificateChain n’approuvent plus les certificats avec des clés RSA inférieures à 1024 longueurs de clé. Cette fonction génère un contexte de chaîne de certificats à partir du certificat de fin, si possible, vers un certificat racine approuvé. Lorsque la chaîne est validée, chaque certificat de la chaîne est inspecté pour s’assurer qu’il a une longueur de clé RSA d’au moins 1 024 bits. Si un certificat de la chaîne a une clé RSA inférieure à 1024 bits, le certificat final n’est pas approuvé.

En outre, la mise à jour peut être configurée pour journaliser lorsque les certificats sont bloqués par la mise à jour. Pour plus d’informations sur l’activation de cette fonctionnalité de journalisation, consultez la section Actions suggérées de cet avis. Pour obtenir la liste complète des scénarios sur la façon dont cette mise à jour bloque l’utilisation des clés RSA inférieures à 1024 bits, consultez l’article de la Base de connaissances Microsoft 2661254.

Cette mise à jour s’applique-t-elle à Windows 8 Release Preview ou à Windows Server 2012 Release Candidate ?
Non. Cette mise à jour ne s’applique pas à Windows 8 Release Preview ou à Windows Server 2012 Release Candidate, car ces systèmes d’exploitation incluent déjà la fonctionnalité pour exiger que les certificats avec des clés RSA utilisent une longueur de clé 1024 bits ou supérieure.

Que se passe-t-il si je trouve un certificat avec une clé RSA inférieure à 1 024 bits de longueur ?
Les clients qui identifient les certificats qui utilisent des longueurs de clé RSA inférieures à 1 024 bits dans leurs environnements devront demander des certificats plus longs auprès de leur autorité de certification. Les clients qui gèrent leurs propres environnements PKI devront créer de nouvelles paires de clés plus longues et émettre de nouveaux certificats à partir de ces nouvelles clés. Les clients doivent évaluer l’utilisation d’une longueur de clé suffisante pour répondre à leurs besoins en matière de chiffrement des données, ce qui peut dépasser le minimum requis par cette mise à jour.

Qu’est-ce qu’une autorité de certification (CA) ?
Une autorité de certification est chargée d'attester l'identité des utilisateurs, des ordinateurs et des organisations. Elle authentifie une entité et se porte garante de cette identité en émettant un certificat signé numériquement. Elle gère, révoque et renouvelle également les certificats.

Une autorité de certification peut faire référence aux éléments suivants :

  • une organisation qui se porte garante de l'identité d'un utilisateur final ;
  • un serveur utilisé par l'organisation pour émettre et gérer les certificats.

Actions suggérées

Pour les versions prises en charge de Microsoft Windows

La plupart des clients ont la mise à jour automatique activée et n’ont pas besoin d’effectuer d’action, car cette mise à jour de sécurité est téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article de la Base de connaissances Microsoft 294871.

Pour les administrateurs et les installations d’entreprise ou les utilisateurs finaux qui souhaitent installer la mise à jour Ko 2661254 manuellement, Microsoft recommande aux clients de télécharger la mise à jour et d’évaluer l’impact de l’exigence que les certificats avec des clés RSA utilisent une longueur de clé 1024 bits ou supérieure. Consultez l’article de la Base de connaissances Microsoft 2661254 pour télécharger des liens vers les packages de mise à jour ou rechercher dans le catalogue Microsoft Update les packages de mise à jour.

Administration istrators et les installations d’entreprise doivent évaluer leur environnement pour l’existence de certificats avec des clés RSA inférieures à 1024 bits et réécrire ces certificats. Pour plus d’informations sur les applications et les services affectés par cette mise à jour, consultez l’article 2661254 de la Base de connaissances Microsoft.

Actions suggérées supplémentaires

  • Identifier les certificats avec des longueurs de clé RSA inférieures à 1 024 bits en cours d’utilisation dans l’entreprise

    Consultez l’article de la Base de connaissances Microsoft 2661254 pour obtenir des instructions détaillées sur la façon de trouver des certificats RSA actuellement utilisés dans l’entreprise.

  • Examiner l’article de la Base de connaissances Microsoft 2661254 pour les scénarios où cette mise à jour bloque les certificats

    Examinez l’article de la Base de connaissances Microsoft 2661254 pour obtenir la liste des scénarios où cette mise à jour bloque les certificats avec des clés RSA inférieures à 1 024 bits.

  • Activer la journalisation des certificats pour identifier l’utilisation des clés RSA inférieures à 1024 bits

    Par défaut, la journalisation n’est pas activée. La journalisation peut être activée pour vous aider à identifier l’utilisation des clés RSA inférieures à 1 024 bits en définissant le répertoire de journalisation dans le Registre.

    Avertissement Si vous utilisez l’Éditeur du Registre de manière incorrecte, vous risquez de provoquer de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut pas vous garantir que vous pourrez résoudre les problèmes qui résulteront d'une mauvaise utilisation de l'éditeur du registre. Son utilisation est sous votre entière responsabilité.

    Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config] " WeakSignatureLogDir"

    Vous pouvez appliquer ce fichier .reg à des systèmes individuels en double-cliquant dessus. Vous pouvez également l’appliquer dans différents domaines à l’aide de la stratégie de groupe. Pour plus d’informations sur la stratégie de groupe, consultez Principaux outils de stratégie de groupe et Paramètres.

    Impact de la solution de contournement : l’activation de la journalisation sur un système de production peut entraîner des problèmes de performances et doit être utilisée avec précaution. Une attention particulière doit être accordée au répertoire sur lequel la journalisation est activée pour éviter de remplir le volume. Ce répertoire doit également être configuré pour permettre à tous les systèmes appropriés d’écrire dans cet emplacement. Les clients ne doivent jamais autoriser les utilisateurs anonymes à écrire dans des partages au sein de l’organisation.

  • Protéger votre PC

    Nous continuons à encourager les clients à suivre nos conseils sur la protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Pour plus d’informations, consultez Microsoft Coffre ty &Security Center.

  • Conserver les logiciels Microsoft mis à jour

    Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées.

Autres informations

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (14 août 2012) : avis publié.
  • V1.1 (14 août 2012) : Résumé exécutif corrigé pour clarifier qu’après l’application de cette mise à jour, les clients doivent utiliser des certificats avec des clés RSA supérieures ou égales à 1 024 bits de longueur.
  • V1.2 (11 septembre 2012) : précise que les applications et services qui utilisent des clés RSA pour le chiffrement et l’appel à la fonction CertGetCertificateChain peuvent être affectés par cette mise à jour. Par exemple, ces applications et services incluent, mais ne sont pas limités aux canaux de chiffrement SSL/TLS, aux applications signées et aux environnements PKI privés.
  • V2.0 (9 octobre 2012) : avis révisé pour réécrire la mise à jour Ko 2661254 pour Windows XP et annoncer que la mise à jour Ko 2661254 pour toutes les versions prises en charge de Microsoft Windows est désormais proposée par le biais de la mise à jour automatique. Les clients qui ont précédemment appliqué la mise à jour Ko 2661254 n’ont pas besoin d’effectuer d’action. Pour plus d’informations, consultez les questions fréquentes (FAQ) sur les conseils.

Construit à 2014-04-18T13 :49 :36Z-07 :00