Avis de sécurité
Conseils de sécurité Microsoft 2728973
Les certificats numériques non autorisés pourraient autoriser l’usurpation d’identité
Publication : 10 juillet 2012 | Mise à jour : 05 septembre 2012
Version : 1.2
Informations générales
Résumé
Microsoft est conscient des autorités de certification Microsoft qui sont en dehors de nos pratiques de stockage sécurisée recommandées. Lors d’un examen de routine, nous placeons ces certificats dans le magasin de certificats non approuvé et nous les remplaçant par de nouvelles autorités de certification qui répondent à notre haute norme de gestion de l’infrastructure à clé publique (PKI). Nous ne sommes pas au courant des mauvaises utilisations des autorités de certification, mais nous prenons des mesures préventives pour protéger les clients. Ce problème affecte toutes les versions prises en charge de Microsoft Windows.
Microsoft fournit une mise à jour pour toutes les versions prises en charge de Microsoft Windows. La mise à jour place les certificats d’autorité de certification intermédiaire suivants dans le magasin de certificats non approuvé :
- Microsoft Genuine Windows Téléphone Public Preview CA01
- Microsoft IPTVe CA
- Microsoft Online CA001
- Microsoft Online Svcs BPOS APAC CA1
- Microsoft Online Svcs BPOS APAC CA2
- Microsoft Online Svcs BPOS APAC CA3
- CN=Microsoft Online Svcs BPOS APAC CA4
- Microsoft Online Svcs BPOS APAC CA5
- Microsoft Online Svcs BPOS APAC CA6
- Microsoft Online Svcs BPOS CA1
- Microsoft Online Svcs BPOS CA2
- Microsoft Online Svcs BPOS CA2 (2 certificats)
- Microsoft Online Svcs BPOS EMEA CA1
- Microsoft Online Svcs BPOS EMEA CA2
- Microsoft Online Svcs BPOS EMEA CA3
- Microsoft Online Svcs BPOS EMEA CA4
- Microsoft Online Svcs BPOS EMEA CA5
- Microsoft Online Svcs BPOS EMEA CA6
- Microsoft Online Svcs CA1 (2 certificats)
- Microsoft Online Svcs CA3 (2 certificats)
- Microsoft Online Svcs CA4 (2 certificats)
- Microsoft Online Svcs CA5 (2 certificats)
- Microsoft Online Svcs CA6
Recommandation. Pour les versions prises en charge de Microsoft Windows, Microsoft recommande aux clients d’appliquer immédiatement la mise à jour. Pour plus d’informations, consultez la section Actions suggérées de cet avis.
Problèmes connus.L’article de la Base de connaissances Microsoft 2728973 documente les problèmes actuellement connus rencontrés par les clients lors de l’installation de cette mise à jour.
Détails de l’avis
Références de problème
Pour plus d’informations sur ce problème, consultez les références suivantes :
| Références | Identification |
|---|---|
| Article de la Base de connaissances Microsoft | 2728973 |
Logiciels et appareils affectés
Cet avis traite des logiciels et appareils concernés suivants.
| Logiciel affecté |
|---|
| Système d’exploitation |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 |
| Windows 7 pour les systèmes 32 bits |
| Windows 7 pour systèmes 32 bits Service Pack 1 |
| Windows 7 pour les systèmes x64 |
| Windows 7 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour x64 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour les systèmes Itanium |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 |
| Option d’installation server Core |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (installation server Core) |
| Windows Server 2008 R2 pour systèmes x64 (installation Server Core) |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) |
| Appareils non affectés |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
Forums Aux Questions (FAQ)
Quelle est la portée de l’avis ?
L’objectif de cet avis est d’informer les clients que Microsoft est au courant des autorités de certification Microsoft qui ne sont pas en dehors de nos pratiques de stockage sécurisée recommandées. Lors d’un examen de routine et d’une grande prudence, nous mettons ces certificats dans le magasin de certificats non approuvé et en les remplaçant par de nouvelles autorités de certification qui répondent à notre haute norme de gestion de l’infrastructure à clé publique (PKI). Nous ne sommes pas au courant des mauvaises utilisations des autorités de certification, mais nous prenons des mesures préventives pour protéger les clients. Ce problème affecte toutes les versions prises en charge de Microsoft Windows.
Microsoft a publié une mise à jour pour toutes les versions prises en charge de Microsoft Windows qui résout le problème.
Cette mise à jour traite-t-elle d’autres certificats numériques non autorisés ?
Oui, outre les vingt-huit certificats non autorisés décrits dans cet avis, cette mise à jour est cumulative et traite les certificats numériques non autorisés décrits dans les avis précédents : Avis de sécurité Microsoft 2524375, Avis de sécurité Microsoft 2607712, Avis de sécurité Microsoft 2641690 et Conseils de sécurité Microsoft 2718704.
Notez que bien que cette mise à jour traite les certificats décrits dans les avis précédents, cette mise à jour ne contient pas toutes les fonctionnalités introduites dans les avis précédents. Pour plus d’informations, consultez les problèmes connus dans l’article de la Base de connaissances Microsoft 2728973.
Windows 8 Release Preview ou Windows Server 2012 Release Candidate est-il affecté par le problème résolu dans cet avis ?
Oui. La mise à jour est disponible pour Windows 8 Release Preview et Windows Server 2012 Release Candidate. Les clients avec Windows 8 Release Preview et Windows Server 2012 Release Candidate sont encouragés à appliquer les mises à jour à leurs systèmes. Pour plus d’informations sur l’application de la mise à jour pour Windows 8 Release Preview et Windows Server 2012 Release Preview, consultez la section Actions suggérées de cet avis.
Qu’est-ce que le chiffrement ?
Le chiffrement est la science de la sécurisation des informations en les convertissant entre son état normal et lisible (appelé texte en clair) et l’autre dans lequel les données sont masquées (appelées texte chiffré).
Dans toutes les formes de chiffrement, une valeur appelée clé est utilisée conjointement avec une procédure appelée algorithme de chiffrement pour transformer des données en texte brut en texte chiffré. Dans le type de chiffrement le plus familier, le chiffrement à clé secrète est transformé en texte brut à l’aide de la même clé. Toutefois, dans un deuxième type de chiffrement, chiffrement à clé publique, une autre clé est utilisée pour transformer le texte chiffré en texte clair.
Qu’est-ce qu’un certificat numérique ?
Dans le chiffrement à clé publique, l’une des clés, appelée clé privée, doit être conservée secrète. L’autre clé, connue sous le nom de clé publique, est destinée à être partagée avec le monde. Toutefois, il doit y avoir un moyen pour le propriétaire de la clé de dire au monde à qui appartient la clé. Les certificats numériques fournissent un moyen de le faire. Un certificat numérique est un élément de données inviolable qui empaquette une clé publique avec des informations sur celui-ci , qui le possède, ce qu’il peut être utilisé, quand il expire, etc.
Quels sont les certificats utilisés pour ?
Les certificats sont utilisés principalement pour vérifier l’identité d’une personne ou d’un appareil, authentifier un service ou chiffrer des fichiers. Normalement, vous n’aurez pas à réfléchir aux certificats du tout. Toutefois, vous pouvez voir un message indiquant qu’un certificat a expiré ou n’est pas valide. Dans ces cas, vous devez suivre les instructions du message.
Qu’est-ce qu’une autorité de certification (CA) ? Les autorités de certification sont les organisations qui émettent des certificats. Ils établissent et vérifient l’authenticité des clés publiques qui appartiennent à des personnes ou à d’autres autorités de certification, et vérifient l’identité d’une personne ou d’une organisation qui demande un certificat.
Qu’est-ce qu’une liste d’approbation de certificats (CTL) ? Une approbation doit exister entre le destinataire d’un message signé et le signataire du message. L’une des méthodes d’établissement de cette confiance consiste à utiliser un certificat, un document électronique vérifiant que les entités ou les personnes qui prétendent être. Un certificat est émis à une entité par un tiers approuvé par les deux parties. Ainsi, chaque destinataire d’un message signé décide si l’émetteur du certificat du signataire est fiable. CryptoAPI a implémenté une méthodologie permettant aux développeurs d’applications de créer des applications qui vérifient automatiquement les certificats par rapport à une liste prédéfinie de certificats ou de racines approuvés. Cette liste d’entités approuvées (appelées sujets) est appelée liste de confiance de certificat (CTL). Pour plus d’informations, consultez l’article MSDN, Vérification de l’approbation de certificat.
Qu’est-ce qui a provoqué le problème ?
Microsoft est conscient des autorités de certification Microsoft qui sont en dehors de nos pratiques de stockage sécurisée recommandées. Nous ne sommes pas au courant des mauvaises utilisations des autorités de certification, mais nous prenons des mesures préventives pour protéger les clients.
Qu’est-ce qu’un attaquant peut utiliser le problème pour le faire ?
Un attaquant peut utiliser ces certificats pour usurper du contenu, effectuer des attaques par hameçonnage ou effectuer des attaques man-in-the-middle.
Qu’est-ce qu’une attaque man-in-the-middle ?
Une attaque man-in-the-middle se produit lorsqu’un attaquant redirige la communication entre deux utilisateurs via l’ordinateur de l’attaquant sans connaître les deux utilisateurs communiquants. Chaque utilisateur de la communication envoie du trafic vers et reçoit le trafic de l’attaquant, tout en pensant qu’il communique uniquement avec l’utilisateur prévu.
Que fait Microsoft pour résoudre ce problème ?
Nous avons placé les autorités de certification Microsoft concernées dans le Magasin de certificats non approuvé et nous les avons remplacées par de nouvelles autorités de certification qui répondent à notre haute norme de gestion de l’infrastructure à clé publique (PKI).
Après avoir appliqué la mise à jour, comment puis-je vérifier les certificats dans le Microsoft Untrusted Certificates Store ?
Pour les systèmes utilisant le updater automatique de certificats révoqués (consultez l’article 2677070 de la Base de connaissances Microsoft pour plus d’informations), y compris Windows 8 Release Preview et Windows Server 2012 Release Candidate, vous pouvez case activée le journal des applications dans l’Observateur d’événements pour obtenir une entrée avec les valeurs suivantes :
- Source : CAPI2
- Niveau : Information
- ID d’événement : 4112
- Description : Mise à jour automatique réussie de la liste des certificats non autorisés avec date d’effet : jeudi 21 juin 2012 (ou version ultérieure).
Pour les systèmes qui n’utilisent pas le updater automatique de certificats révoqués, dans le composant logiciel enfichable MMC Certificats, vérifiez que les certificats suivants ont été ajoutés au dossier Certificats non approuvés :
| Certificat | Délivré par | Empreinte |
|---|---|---|
| Microsoft Genuine Windows Téléphone Public Preview CA01 | Microsoft Windows Téléphone PCA | e3 8a 2b 76 63 b8 67 96 43 6d 8d f5 89 8d 9f aa 68 35 b2 38 |
| Microsoft IPTVe CA | Microsoft Home Entertainment PCA | be d4 12 b1 33 4d 7d fc eb a3 01 5e 5f 9f 90 5d 57 1c 45 cf |
| Microsoft Online CA001 | Microsoft Services PCA | a1 50 5d 98 43 c8 26 dd 67 ed 4e a5 20 98 04 bd bb 0d f5 02 |
| Microsoft Online Svcs BPOS APAC CA1 | Microsoft Services PCA | d4 31 53 c8 c2 5f 00 41 28 79 87 25 0f 1e 3c ab ac 8c 21 77 |
| Microsoft Online Svcs BPOS APAC CA2 | Microsoft Services PCA | d8 ce 8d 07 f9 f1 9d 25 69 c2 fb 85 44 01 bc 99 c1 eb 7c 3b |
| Microsoft Online Svcs BPOS APAC CA3 | Microsoft Services PCA | e9 5d d8 6f 32 c7 71 f0 34 17 43 eb d7 5e c3 3c 74 a3 de d9 |
| CN=Microsoft Online Svcs BPOS APAC CA4 | Microsoft Services PCA | 3a 26 01 21 71 85 5d 40 20 c9 73 be c3 f4 f9 da 45 bd 2b 83 |
| Microsoft Online Svcs BPOS APAC CA5 | Microsoft Services PCA | d0 bb 3e 3d fb fb 86 c0 ee e2 a0 47 e3 28 60 9e 6e 1f 18 5e |
| Microsoft Online Svcs BPOS APAC CA6 | Microsoft Services PCA | 08 73 8a 96 a4 85 3a 52 ac ef 23 f7 82 e8 e1 fe a7 bc ed 02 |
| Microsoft Online Svcs BPOS CA1 | Microsoft Services PCA | 76 13 bf 0b a2 61 00 6c ac 3e d2 dd be f3 43 42 53 57 f1 8b |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | 58 7b 59 fb 52 d8 a6 83 cb e1 ca 00 e6 39 3d 7b b9 23 bc 92 |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | 4e d8 aa 06 d1 bc 72 ca 64 c4 7b 1d fe 05 ac c8 d5 1f c7 6f |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | f5 a8 74 f3 98 7e b0 a9 96 1a 56 4b 66 9a 90 50 f7 70 30 8a |
| Microsoft Online Svcs BPOS EMEA CA1 | Microsoft Services PCA | a3 5a 8c 72 7e 88 bc ca 40 a3 f9 67 9c e8 ca 00 c2 67 89 fd |
| Microsoft Online Svcs BPOS EMEA CA2 | Microsoft Services PCA | e9 80 9e 02 3b 45 12 aa 4d 4d 53 f4 05 69 c3 13 c1 d0 29 4d |
| Microsoft Online Svcs BPOS EMEA CA3 | Microsoft Services PCA | a7 b5 53 1d dc 87 12 9e 2c 3b b1 47 67 95 3d 67 45 fb 14 a6 |
| Microsoft Online Svcs BPOS EMEA CA4 | Microsoft Services PCA | 33 0d 8d 3f d3 25 a0 e5 fd dd a2 70 13 a2 e7 5e 71 30 16 5f |
| Microsoft Online Svcs BPOS EMEA CA5 | Microsoft Services PCA | 09 27 1d d6 21 eb d3 91 0c 2e a1 d0 59 f9 9b 81 81 40 5a 17 |
| Microsoft Online Svcs BPOS EMEA CA6 | Microsoft Services PCA | 83 8f fd 50 9d e8 68 f4 81 c2 98 19 99 2e 38 a4 f7 08 28 73 |
| Microsoft Online Svcs CA1 | Microsoft Services PCA | 23 ef 33 84 e2 1f 70 f0 34 c4 67 d4 cb a6 eb 61 42 9f 17 4e |
| Microsoft Online Svcs CA1 | Microsoft Services PCA | a2 21 d3 60 30 9b 5c 3c 40 97 c4 4c c7 79 ac c5 a9 84 5b 66 |
| Microsoft Online Svcs CA3 | Microsoft Services PCA | 89 77 e8 56 9d 2a 63 3a f0 1d 03 94 85 16 81 ce 12 26 83 a6 |
| Microsoft Online Svcs CA3 | Microsoft Services PCA | 37 4d 5b 92 5b 0b d8 34 94 e6 56 eb 80 87 12 72 75 db 83 ce |
| Microsoft Online Svcs CA4 | Microsoft Services PCA | 66 90 c0 2b 92 2c bd 3f f0 d0 a5 99 4d bd 33 65 92 88 7e 3f |
| Microsoft Online Svcs CA4 | Microsoft Services PCA | 5d 51 85 df 1e b7 dc 76 01 54 22 ec 81 38 a5 72 4b ee 28 86 |
| Microsoft Online Svcs CA5 | Microsoft Services PCA | a8 17 06 d3 1e 6f 5c 79 1c d9 d9 d3 b1 b9 c6 34 64 95 4b a4 f5 |
| Microsoft Online Svcs CA5 | Microsoft Services PCA | 4d f1 39 47 49 3c ff 69 cd e5 54 88 1c 5f 11 4e 97 c3 d0 3b |
| Microsoft Online Svcs CA6 | Microsoft Services PCA | 09 ff 2c c8 6c ee fa 8a 8b b3 f2 e3 e8 4d 6d a3 fa bb f6 3e |
Remarque Pour plus d’informations sur la façon d’afficher les certificats avec le composant logiciel enfichable MMC, consultez l’article MSDN : Afficher les certificats avec le composant logiciel enfichable MMC.
Actions suggérées
Pour les éditions prises en charge de Windows XP et Windows Server 2003
La majorité des clients ont activé la mise à jour automatique et n’auront pas besoin d’effectuer d’action, car la mise à jour Ko 2728973 sera téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article de la Base de connaissances Microsoft 294871.
Pour les administrateurs et les installations d’entreprise ou les utilisateurs finaux qui souhaitent installer la mise à jour Ko 2728973 manuellement, Microsoft recommande aux clients d’appliquer la mise à jour immédiatement à l’aide du logiciel de gestion des mises à jour, ou en case activée pour les mises à jour à l’aide du service Microsoft Update. Pour plus d’informations sur l’application manuelle de la mise à jour, consultez l’article de la Base de connaissances Microsoft 2728973.
Pour les éditions prises en charge de Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 Release Preview et Windows Server 2012 Release Preview
La majorité des clients ont activé la mise à jour automatique et n’auront pas besoin d’effectuer d’action, car un mettant à jour automatique des certificats révoqués résout le problème en ajoutant automatiquement les certificats au magasin de certificats non approuvé.
Le updater automatique des certificats révoqués est disponible pour Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 via le service Microsoft Update et est décrit dans l’article de la Base de connaissances Microsoft 2677070. Le updater automatique des certificats non approuvés est inclus dans Windows 8 Release Preview et Windows Server 2012 Release Candidate.
Pour les utilisateurs finaux qui n’ont pas la mise à jour automatique de certificats révoqués (2677070) ou pour les systèmes qui ne sont pas connectés à Internet, Microsoft recommande aux clients d’appliquer manuellement la mise à jour Ko 2728973 immédiatement. Pour plus d’informations sur l’application manuelle de la mise à jour manuellement, consultez l’article de la Base de connaissances Microsoft 2728973.
Pour les administrateurs et les installations d’entreprise, Microsoft recommande aux clients d’appliquer immédiatement la mise à jour à l’aide du logiciel de gestion des mises à jour. Pour plus d’informations sur la mise à jour, consultez l’article de la Base de connaissances Microsoft 2728973.
Actions suggérées supplémentaires
Protéger votre PC
Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Les clients peuvent en savoir plus sur ces étapes en visitant Protéger votre ordinateur.
Pour plus d’informations sur la sécurité sur Internet, visitez Microsoft Security Central.
Conserver les logiciels Microsoft mis à jour
Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées.
Autres informations
Programme Microsoft Active Protections (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.
Commentaires
- Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.
Support
- Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
- Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (10 juillet 2012) : avis publié.
- V1.1 (11 juillet 2012) : Correction de la date d’effet de la liste de certificats non autorisée à « Jeudi, 21 juin 2012 (ou version ultérieure) » dans l’entrée du FAQ , « Après l’application de la mise à jour, comment puis-je vérifier les certificats dans le Microsoft Untrusted Certificates Store ? »
- V1.2 (5 septembre 2012) : correction du nom commun pour le certificat « CN=Microsoft Online Svcs BPOS APAC CA4 » émis par microsoft Services PCA.
Construit à 2014-04-18T13 :49 :36Z-07 :00