Avis de sécurité Microsoft 2916652
Des certificats numériques publiés de façon incorrecte pourraient permettre une usurpation de contenu
Paru le: lundi 9 décembre 2013 | Mis(e) à jour: mercredi 15 janvier 2014
Version: 2.1
Informations générales
Synthèse
Microsoft a connaissance d'un certificat d'une autorité de certification secondaire publié de façon incorrecte qui pourrait être utilisé pour tenter d'usurper du contenu, d'exécuter des attaques d'hameçonnage ou d'exécuter des attaques d'interception. Ce certificat d'une autorité de certification secondaire a été publié de façon incorrecte par la Direction Générale du Trésor, subordonnée à l'ANSSI, qui est une autorité de certification française présente dans le magasin d'autorités de certification racine de confiance. Ce problème affecte toutes les versions en cours de support de Microsoft Windows. À ce jour, Microsoft n'a pas connaissance d'attaques liées à ce problème.
Le certificat d'une autorité de certification secondaire publié de façon incorrecte a été détourné afin de publier des certificats SSL pour plusieurs sites, y compris des sites Web appartenant à Google. Ces certificats SSL pourraient être utilisés pour usurper du contenu, exécuter des attaques d'hameçonnage ou exécuter des attaques d'interception contre plusieurs sites Web Google. Ce certificat d'une autorité de certification secondaire pourrait également avoir été utilisé pour publier des certificats pour d'autres sites, actuellement inconnus, qui pourraient subir des attaques similaires.
Pour protéger les clients de l'utilisation potentiellement frauduleuse de ce certificat numérique, Microsoft met à jour la liste de certificats de confiance (CTL) pour toutes les versions en cours de support de Microsoft Windows, afin de révoquer la confiance accordée aux certificats qui génèrent ce problème. Pour plus d'informations à propos de ces certificats, consultez la section « Forum aux questions » de cet Avis.
Recommandation. Un programme de mise à jour automatique des certificats révoqués est inclus dans les éditions en cours de support de Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 et Windows Server 2012 R2, ainsi que pour les périphériques exécutant Windows Phone 8. Les clients n'ont pas besoin d'entreprendre de nouvelle action pour ces systèmes d'exploitation et périphériques étant donné qu'ils seront automatiquement protégés.
Pour les systèmes exécutant Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 qui utilisent le programme de mise à jour automatique des certificats révoqués (consultez l'Article 2677070 de la Base de connaissances Microsoft pour plus d'informations), les clients n'ont pas besoin d'entreprendre de nouvelle action étant donné que ces systèmes seront automatiquement protégés.
Pour les clients utilisant Windows XP ou Windows Server 2003 ou ceux ayant choisi de ne pas installer le programme de mise à jour automatique des certificats révoqués, Microsoft recommande l'application immédiate de la mise à jour 2917500 à l'aide du logiciel de gestion des mises à jour, en vérifiant la disponibilité de mises à jour à l'aide du service Microsoft Update ou en téléchargeant et en appliquant la mise à jour manuellement. Consultez la section « Actions suggérées » de cet Avis de sécurité pour plus d'informations.
Détails de l'Avis
Références sur le problème
Pour plus d'informations sur ce problème, consultez les références suivantes :
| Références | Identification |
|---|---|
| Article de la Base de connaissances Microsoft | 2917500 |
Logiciels concernés
Cet Avis porte sur les logiciels suivants.
| Logiciels concernés |
|---|
| Système d'exploitation |
| Windows XP Service Pack 3 |
| Windows XP Professionnel Édition x64 Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 Édition x64 Service Pack 2 |
| Windows Server 2003 avec SP2 pour systèmes Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista Édition x64 Service Pack 2 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 |
| Windows Server 2008 pour systèmes Itanium Service Pack 2 |
| Windows 7 pour systèmes 32 bits Service Pack 1 |
| Windows 7 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour systèmes Itanium Service Pack 1 |
| Windows 8 pour systèmes 32 bits |
| Windows 8 pour systèmes x64 |
| Windows 8.1 pour systèmes 32 bits |
| Windows 8.1 pour systèmes x64 |
| Windows RT |
| Windows RT 8.1 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Option d'installation Server Core |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core) |
| Windows Server 2008 R2 pour systèmes x64 (installation Server Core) |
| Windows Server 2012 (installation Server Core) |
| Windows Server 2012 R2 (installation Server Core) |
| Périphériques concernés |
| Windows Phone 8 |
Forum aux questions relatif à cet Avis
Quelle est la portée de cet Avis?
Le but de cet Avis est d'avertir les clients que la Direction Générale du Trésor a publié de façon incorrecte un certificat d'une autorité de certification secondaire, qui a été détourné pour publier des certificats SSL pour plusieurs sites, y compris des sites Web appartenant à Google. Ces certificats SSL pourraient être utilisés pour usurper du contenu, exécuter des attaques d'hameçonnage ou exécuter des attaques d'interception contre plusieurs sites Web Google. Ce certificat d'une autorité de certification secondaire pourrait également avoir été utilisé pour publier des certificats pour d'autres sites, actuellement inconnus, qui pourraient subir des attaques similaires.
Qu'est-ce qui a causé le problème?
Un certificat d'une autorité de certification secondaire a été publié de façon incorrecte par la Direction Générale du Trésor, subordonnée à l'ANSSI, qui est une autorité de certification française présente dans le magasin d'autorités de certification racine de confiance.
Cette mise à jour corrige-t-elle d'autres certificats numériques?
Oui, en plus de corriger les certificats non autorisés décrits dans cet Avis, cette mise à jour est cumulative et inclut les certificats numériques décrits dans les Avis précédents :
- Avis de sécurité Microsoft 2524375
- Avis de sécurité Microsoft 2607712
- Avis de sécurité Microsoft 2641690
- Avis de sécurité Microsoft 2718704
- Avis de sécurité Microsoft 2728973
- Avis de sécurité Microsoft 2798897
Qu'est-ce que le chiffrement?
Le chiffrement est la science consistant à sécuriser des informations en les convertissant de leur état normal et lisible (texte brut) à un état où elles sont chiffrées (texte chiffré).
Dans tous les types de chiffrement, une valeur appelée clé est utilisée conjointement avec une procédure appelée algorithme de chiffrement afin de convertir en texte chiffré les données en texte brut. Dans le cas du type de chiffrement le plus courant, le chiffrement à clé secrète, le texte chiffré est reconverti en texte brut à l'aide de la même clé. Toutefois, dans le cas d'un autre type de chiffrement, le chiffrement à clé publique, une clé différente est utilisée pour reconvertir le texte chiffré en texte brut.
Qu'est-ce qu'un certificat numérique?
Dans le cas du chiffrement à clé publique, l'une des clés, appelée clé privée, doit être gardée secrète. L'autre clé, ou clé publique, est destinée à être partagée. Toutefois, le propriétaire de la clé doit être en mesure d'indiquer à qui la clé appartient. Les certificats numériques permettent de le faire. Un certificat numérique est un ensemble de données inviolable contenant une clé publique ainsi que des informations la concernant (qui en est le propriétaire, à quoi elle peut servir, quand elle expire, etc.).
À quoi servent les certificats?
Les certificats sont principalement utilisés pour vérifier l'identité d'une personne ou d'un périphérique, pour authentifier un service ou encore pour chiffrer des fichiers. Normalement vous n'avez pas à vous soucier des certificats. Toutefois, il est possible que vous voyiez un message indiquant qu'un certificat a expiré ou n'est pas valide. Dans ces cas de figure, vous devez suivre les instructions figurant dans le message.
Qu'est-ce qu'une autorité de certification (CA)?
Les autorités de certification sont les organisations qui publient les certificats. Elles établissent et vérifient l'authenticité de clés publiques appartenant à des particuliers ou à d'autres autorités de certification et vérifient l'identité de toute personne ou organisation qui demande un certificat.
Qu'est-ce qu'une liste de certificats de confiance (CTL)?
Une relation de confiance doit exister entre le destinataire d'un message signé et le signataire du message. L'une des façons d'établir cette confiance est par le biais d'un certificat, c'est-à-dire un document électronique qui vérifie que des entités ou des personnes sont bien ce qu'elles prétendent être. Un certificat est émis pour une entité par un tiers en qui les deux autres partis ont confiance. Ainsi, chaque destinataire d'un message signé décide si l'émetteur du certificat du signataire est digne de confiance. CryptoAPI a implémenté une méthodologie pour permettre aux développeurs d'applications de créer des applications qui vérifient automatiquement la présence de certificats sur une liste prédéfinie de certificats ou de racines de confiance. Cette liste d'entités de confiance (appelés sujets) est ce que l'on appelle une liste de certificats de confiance (CTL). Pour plus d'informations, consultez l'article MSDN consacré à la vérification des certificats de confiance (en anglais).
Que pourrait faire un attaquant avec ces certificats?
Un attaquant pourrait utiliser ces certificats pour usurper du contenu, exécuter des attaques d'hameçonnage ou exécuter des attaques d'interception sur les sites Web suivants :
- *.google.com
- *.android.com
- *.appengine.google.com
- *.cloud.google.com
- *.google-analytics.com
- *.google.ca
- *.google.cl
- *.google.co.in
- *.google.co.jp
- *.google.co.uk
- *.google.com.ar
- *.google.com.au
- *.google.com.br
- *.google.com.co
- *.google.com.mx
- *.google.com.tr
- *.google.com.vn
- *.google.de
- *.google.es
- *.google.fr
- *.google.hu
- *.google.it
- *.google.nl
- *.google.pl
- *.google.pt
- *.googleapis.cn
- *.googlecommerce.com
- *.gstatic.com
- *.urchin.com
- *.url.google.com
- *.youtube-nocookie.com
- *.youtube.com
- *.ytimg.com
- android.com
- g.co
- goo.gl
- google-analytics.com
- google.com
- googlecommerce.com
- urchin.com
- youtu.be
- youtube.com
Qu'est-ce qu'une attaque d'interception?
Une attaque d'interception survient lorsqu'un attaquant détourne la communication entre deux utilisateurs via son ordinateur sans connaître ces deux utilisateurs. Chaque utilisateur prenant part à la communication envoie sans le savoir du trafic à l'attaquant et en reçoit, tout en continuant de penser qu'il ne communique qu'avec l'utilisateur souhaité.
Que fait Microsoft pour faciliter la résolution du problème?
Bien que ce problème ne provienne pas d'un produit Microsoft, nous mettons néanmoins à jour la CTL et fournissons une mise à jour pour contribuer à la protection de nos clients. Microsoft continuer d'étudier ce problème et pourra effectuer des modifications de la CTL ou publier une mise à jour pour contribuer à la protection de ses clients.
Après avoir appliqué la mise à jour, comment puis-je vérifier les certificats dans le magasin de certificats non fiables Microsoft?
Pour les systèmes exécutant Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2 qui utilisent le programme de mise à jour automatique des certificats révoqués (consultez l'Article 2677070 de la Base de connaissances Microsoft pour plus d'informations), ainsi que pour les systèmes exécutant Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 et Windows Server 2012 R2, vous pouvez chercher dans le journal d'application de l'observateur d'événements une entrée avec les valeurs suivantes :
- Source : CAPI2
- Niveau : Informations
- Référence d'événement : 4112
- Description : Mise à jour automatique réussie de la liste de certificats rejetés à compter du : Lundi 5 décembre 2013 (au plus tôt).
Pour les systèmes qui n'utilisent pas le programme de mise à jour automatique des certificats révoqués, dans le composant logiciel enfichable MMC Certificats, vérifiez que le certificat suivant a été ajouté au dossier de certificats non fiables :
| Certificat | Publié par | Thumbprint |
|---|---|---|
| AC DG Trésor SSL | AC DGTPE Signature Authentification | 5c e3 39 46 5f 41 a1 e4 23 14 9f 65 54 40 95 40 4d e6 eb e2 |
Remarque : Pour plus d'informations sur la façon d'afficher des certificats avec le composant logiciel enfichable MMC, consultez l'article MSDN « Comment : afficher des certificats à l'aide du composant logiciel enfichable MMC ».
Actions suggérées
Appliquer la mise à jour pour les versions en cours de support de Microsoft Windows
Un programme de mise à jour automatique des certificats révoqués est inclus dans les éditions en cours de support de Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 et Windows Server 2012 R2, ainsi que pour les périphériques exécutant Windows Phone 8. Les clients n'ont pas besoin d'entreprendre de nouvelle action pour ces systèmes d'exploitation et périphériques étant donné que la CTL sera automatiquement mise à jour.
Pour les systèmes exécutant Windows Vista, Windows 7, Windows Server 2008, ou Windows Server 2008 R2 qui utilisent le programme de mise à jour automatique des certificats révoqués (consultez l'Article 2677070 de la Base de connaissances Microsoft pour plus d'informations), les clients n'ont pas besoin d'entreprendre de nouvelle action étant donné que la CTL sera automatiquement mise à jour.
Pour les clients utilisant Windows XP ou Windows Server 2003 ou ceux ayant choisi de ne pas installer le programme de mise à jour automatique des certificats révoqués, Microsoft recommande l'application immédiate de la mise à jour 2917500 à l'aide du logiciel de gestion des mises à jour, en vérifiant la disponibilité de mises à jour à l'aide du service Microsoft Update ou en téléchargeant et en appliquant la mise à jour manuellement. Consultez l'Article 2917500 de la Base de connaissances Microsoft pour obtenir les liens de téléchargement.
Actions supplémentaires suggérées
Protégez votre PC
Nous encourageons nos clients à suivre les conseils de la section Protégez votre ordinateur concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour plus d'informations, consultez le Centre de sécurité Microsoft.
Veillez à mettre à jour régulièrement vos logiciels Microsoft
Nous recommandons aux utilisateurs de logiciels Microsoft d'installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum leur ordinateur. Pour ce faire, rendez-vous sur Microsoft Update, effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé et configuré les mises à jour automatiques de façon à recevoir les mises à jour pour les produits Microsoft, les mises à jour vous sont fournies à leur publication, mais nous vous conseillons de vérifier qu'elles sont installées.
Autres informations
Remerciements
Microsoft remercie les organismes ci-dessous pour avoir contribué à la protection de ses clients :
- Adam Langley et l'équipe de sécurité Google Chrome pour avoir attiré notre attention sur cet incident et avoir collaboré avec nous sur sa résolution.
Microsoft Active Protections Program (MAPP)
Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites Web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page Microsoft Active Protections Program (MAPP) Partners (en anglais).
Commentaires
- Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et Support Microsoft : Customer Service Contact Us (en anglais).
Support technique
- En cas de problème, contactez les services de support sécurité Microsoft. Pour plus d'informations, consultez lesite Web Aide et Support Microsoft.
- Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour plus d'informations, consultez le site de Support international.
- TechNet sécurité fournit des informations complémentaires sur la sécurité dans les produits Microsoft.
Dédit de responsabilité
Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.
Révisions
- V1.0 (9 décembre 2013) : Avis publié.
- V2.0 (12 décembre 2013) : Avis mis à jour pour annoncer la disponibilité de la mise à jour 2917500 pour les clients qui exécutent Windows XP ou Windows Server 2003, ou pour les clients qui ont choisi de ne pas installer le programme de mise à jour automatique des certificats révoqués. La mise à jour 2917500 est disponible via le service Microsoft Update et le Centre de téléchargement. Consultez la section « Actions suggérées » de cet Avis de sécurité pour plus d'informations.
- V2.1 (15 janvier 2015) : Avis mis à jour pour annoncer une modification de la logique de détection pour la mise à jour 2917500. Cette modification ne concerne que la logique de détection. Nos clients ayant déjà mis à jour leur système n'ont pas besoin d'entreprendre de nouvelle action.
Built at 2014-04-18T13:49:36Z-07:00