Conseils de sécurité Microsoft 3097966

  • Article

Les certificats numériques divulgués par inadvertance pourraient autoriser l’usurpation d’identité

Publication : 24 septembre 2015 | Mise à jour : 13 octobre 2015

Version : 2.0

Résumé

Le 24 septembre 2015, Microsoft a publié cet avis pour informer les clients de quatre certificats numériques par inadvertance qui pourraient être utilisés pour usurper du contenu et fournir une mise à jour de la liste d’approbations de certificats (CTL) pour supprimer l’approbation en mode utilisateur pour les certificats. Comme indiqué, les certificats d’entité finale divulguées ne peuvent pas être utilisés pour émettre d’autres certificats ou emprunter l’identité d’autres domaines, mais peuvent être utilisés pour signer du code. En outre, les autorités de certification émettrices respectives ont révoqué les quatre certificats.

Avec la révision du 13 octobre 2015 de cet avis, Microsoft annonce la disponibilité d’une mise à jour pour toutes les versions prises en charge de Windows qui modifie le composant Intégrité du code dans Windows afin d’étendre la suppression d’approbation pour les certificats afin d’empêcher également la signature de code en mode noyau.

Recommandation. Consultez la section Actions suggérées de cet avis pour obtenir des instructions sur l’application des mises à jour pour des versions spécifiques de Microsoft Windows. Notez que la mise à jour CTL publiée le 24 septembre 2015 et la mise à jour Windows publiée le 13 octobre 2015 sont requises pour que les systèmes concernés soient protégés contre ce problème.

Problèmes connus. L’article de la Base de connaissances Microsoft 3097966 documente un problème connu que les clients peuvent rencontrer lors de l’installation de la mise à jour du 13 octobre 2015. L’article documente également une solution recommandée.

Détails de l’avis

Pour plus d’informations sur ce problème, consultez les références suivantes :

Informations de référence Identification
Article de la base de connaissances 3097966

Logiciel affecté

Cet avis s’applique aux systèmes d’exploitation suivants :

Windows Vista
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008
Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour les systèmes Itanium Service Pack 2
Windows 7
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1
Windows 8
Windows 8 pour les systèmes 32 bits
Windows 8 pour systèmes x64
Windows Server 2012
Windows Server 2012
Windows RT
Windows RT[1]
Windows 8.1
Windows 8.1 pour les systèmes 32 bits
Windows 8.1 pour les systèmes x64
Windows Server 2012 R2
Windows Server 2012 R2
Windows RT 8.1
Windows RT 8.1[1]
Windows 10
Windows 10 pour systèmes 32 bits[2]\ (3097617)
Windows 10 pour systèmes x64[2]\ (3097617)
Option d’installation server Core
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation server Core)
Windows Server 2008 R2 pour systèmes x64 (installation Server Core)
Windows Server 2012 (installation minimale)
Windows Server 2012 R2 (installation minimale)
Appareils affectés
Windows Téléphone 8[1]
Windows Téléphone 8.1[1]

Notez que Windows Server Technical Preview 3 est affecté. Les clients exécutant ce système d’exploitation sont encouragés à appliquer la mise à jour, disponible via Windows Update.

[1]Les appareils Windows Téléphone 8 et Windows Téléphone 8.1 ont reçu automatiquement la mise à jour de la durée de vie du 24 septembre 2015. Toutefois, ces appareils n’autorisent pas l’installation de pilotes tiers, même s’ils sont signés, de sorte qu’ils ne nécessitent pas la mise à jour secondaire du 13 octobre 2015.

[2]La mise à jour de Windows 10 est cumulative. En plus de contenir des mises à jour non liées à la sécurité, il contient également tous les correctifs de sécurité pour toutes les vulnérabilités affectées par Windows 10 avec la version de sécurité du mois donné. La mise à jour est disponible via le catalogue Windows Update. Consultez l’article de la Base de connaissances Microsoft 3097617 pour plus d’informations et télécharger des liens.

Faq sur les conseils

Pourquoi cet avis a-t-il été révisé le 13 octobre 2015 ?
L’avis a été révisé le 13 octobre 2015 pour informer les clients qu’une mise à jour Windows est disponible qui modifie le composant Intégrité du code dans Windows afin d’étendre la suppression d’approbation pour les quatre certificats numériques afin d’empêcher également la signature de code en mode noyau. Pour plus d’informations et télécharger des liens, consultez l’article de la Base de connaissances Microsoft 3097966. Notez que la mise à jour de la durée de vie publiée le 24 septembre 2015 et la mise à jour Windows publiée le 13 octobre 2015 sont requises pour que les systèmes concernés soient protégés contre le problème abordé dans cet avis.

Quelle est la portée de l’avis ? 
L’objectif de cet avis est d’informer les clients des mises à jour apportées à Windows et à la liste de confiance des certificats (CTL) pour supprimer l’approbation de signature de code en mode utilisateur et en mode noyau pour quatre certificats numériques et que les autorités de certification émettrices respectives ont révoqué les certificats.

Qu’est-ce qui a provoqué le problème ? 
Le problème a été provoqué par D-Link Corporation publiant par inadvertance les certificats.

La mise à jour de la durée de vie est-elle l’adresse d’autres certificats numériques ?
Oui, en plus de traiter les certificats décrits dans cet avis, la mise à jour de la durée de vie publiée à l’origine le 24 septembre 2015 est cumulative et inclut des certificats numériques décrits dans les avis précédents :

Qu’est-ce que le chiffrement ? 
Le chiffrement est la science de la sécurisation des informations en les convertissant entre son état normal et lisible (appelé texte en clair) et l’autre dans lequel les données sont masquées (appelées texte chiffré).

Dans toutes les formes de chiffrement, une valeur appelée clé est utilisée conjointement avec une procédure appelée algorithme de chiffrement pour transformer des données en texte brut en texte chiffré. Dans le type de chiffrement le plus familier, le chiffrement à clé secrète est transformé en texte brut à l’aide de la même clé. Toutefois, dans un deuxième type de chiffrement, chiffrement à clé publique, une autre clé est utilisée pour transformer le texte chiffré en texte clair.

Qu’est-ce qu’un certificat numérique ?  
Dans le chiffrement à clé publique, l’une des clés, appelée clé privée, doit être conservée secrète. L’autre clé, connue sous le nom de clé publique, est destinée à être partagée avec le monde. Toutefois, il doit y avoir un moyen pour le propriétaire de la clé de dire au monde à qui appartient la clé. Les certificats numériques fournissent un moyen de le faire. Un certificat numérique est un élément de données inviolable qui empaquet une clé publique avec des informations sur celui-ci (qui le possède, ce qu’il peut être utilisé, quand il expire, etc.).

Quels sont les certificats utilisés pour ? 
Les certificats sont utilisés principalement pour vérifier l’identité d’une personne ou d’un appareil, authentifier un service ou chiffrer des fichiers. Normalement, vous n’aurez pas à réfléchir aux certificats du tout. Toutefois, vous pouvez voir un message indiquant qu’un certificat a expiré ou n’est pas valide. Dans ces cas, vous devez suivre les instructions du message.

Qu’est-ce qu’une autorité de certification (CA) ?  
Les autorités de certification sont les organisations qui émettent des certificats. Ils établissent et vérifient l’authenticité des clés publiques qui appartiennent à des personnes ou à d’autres autorités de certification, et vérifient l’identité d’une personne ou d’une organisation qui demande un certificat.

Qu’est-ce qu’une liste d’approbation de certificats (CTL) ?  
Une approbation doit exister entre le destinataire d’un message signé et le signataire du message. L’une des méthodes d’établissement de cette confiance consiste à utiliser un certificat, un document électronique vérifiant que les entités ou les personnes qui prétendent être. Un certificat est émis à une entité par un tiers approuvé par les deux parties. Ainsi, chaque destinataire d’un message signé décide si l’émetteur du certificat du signataire est fiable. CryptoAPI a implémenté une méthodologie permettant aux développeurs d’applications de créer des applications qui vérifient automatiquement les certificats par rapport à une liste prédéfinie de certificats ou de racines approuvés. Cette liste d’entités approuvées (appelées sujets) est appelée liste de confiance de certificat (CTL). Pour plus d’informations, consultez l’article MSDN, Vérification de l’approbation de certificat.

Qu’est-ce qu’un attaquant peut faire avec ces certificats ? 
Un attaquant peut utiliser les certificats pour signer frauduleusement le code.

Que fait Microsoft pour résoudre ce problème ?  
Bien que ce problème ne résulte pas d’un problème dans un produit Microsoft, nous mettons néanmoins à jour la durée de vie et fournissons une mise à jour Windows pour aider à protéger les clients. Microsoft continuera d’examiner ce problème et peut apporter des modifications ultérieures à la durée de vie ou publier une prochaine mise à jour pour protéger les clients.

Après avoir appliqué la mise à jour de la durée de vie, comment puis-je vérifier que le certificat se trouve dans le Magasin de certificats non approuvés Microsoft ?
Pour Windows Vista, Windows 7, Windows Server 2008, et les systèmes Windows Server 2008 R2 qui utilisent le updater automatique des certificats révoqués (consultez l’article 2677070 de la Base de connaissances Microsoft) et pour les systèmes Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 et Windows 10, vous pouvez case activée le journal des applications dans l’Observateur d’événements pour obtenir les valeurs suivantes :

  • Source : CAPI2
  • Niveau : Information
  • ID d’événement : 4112
  • Description : Mise à jour automatique réussie de la liste des certificats non autorisés avec date d’effet : mercredi 23 septembre 2015 (ou version ultérieure).

Pour les systèmes qui n’utilisent pas le correctif automatique des certificats révoqués, dans le composant logiciel enfichable MMC Certificats, vérifiez que le certificat suivant a été ajouté au dossier Certificats non approuvés :

Certificate **Émis par ** Empreinte
DLINK CORPORATION Symantec Corporation 3e b4 4e 5f fe 6d c7 2d ed 70 3e 99 90 27 22 db 38 ff d1 cb
Réseaux alpha Symantec Corporation 73 11 e7 7e c4 00 10 9d 6a 53 26 d8 f6 69 62 04 fd 59 aa 3b
KEEBOX GoDaddy.com, LLC 91 5a 47 8d b9 39 92 5d ae ae a1 2d 8b ba 14 0d 26 59 9c
Trendnet GoDaddy.com, LLC db 50 42 ed 25 6f f4 26 86 7b 33 28 87 ec ce 2d 95 e7 96 14

Remarque Pour plus d’informations sur la façon d’afficher les certificats avec le composant logiciel enfichable MMC, consultez l’article MSDN : Afficher les certificats avec le composant logiciel enfichable MMC.

Actions suggérées

  • Appliquer la mise à jour 3097966 publiée le 13 octobre 2015

    La majorité des clients ont la mise à jour automatique activée et n’ont pas besoin d’effectuer d’action, car la mise à jour 3097966 sera téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article 3097966 de la Base de connaissances Microsoft.

    Pour les administrateurs et les installations d’entreprise ou les utilisateurs finaux qui souhaitent installer la mise à jour 3097966 manuellement, Microsoft recommande aux clients d’appliquer la mise à jour immédiatement à l’aide du logiciel de gestion des mises à jour, ou en case activée pour les mises à jour à l’aide du service Microsoft Update. Pour plus d’informations sur l’application manuelle de la mise à jour, consultez l’article de la Base de connaissances Microsoft 3097966.

  • Appliquer la mise à jour de la durée de vie publiée le 24 septembre 2015 (si elle n’est pas déjà appliquée)

    Un updater automatique de certificats révoqués est inclus dans les éditions prises en charge de Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2 et Windows 10, et pour les appareils exécutant Windows Téléphone 8 et Windows Téléphone 8.1. Pour ces systèmes d’exploitation ou appareils, les clients n’ont pas besoin d’effectuer d’action, car la durée de vie est mise à jour automatiquement.

    Pour les systèmes exécutant Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 qui utilisent la mise à jour automatique des certificats révoqués (voir l’article de la Base de connaissances Microsoft 2677070 pour plus d’informations), les clients n’ont pas besoin d’effectuer d’action, car ces systèmes seront automatiquement protégés.

    Pour les systèmes exécutant Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 qui n’ont pas la mise à jour automatique des certificats révoqués installés, cette mise à jour n’est pas disponible. Pour recevoir cette mise à jour, les clients doivent installer le programme de mise à jour automatique des certificats révoqués (consultez l’article de la Base de connaissances Microsoft 2677070 pour plus d’informations). Les clients dans des environnements déconnectés exécutant Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 peuvent installer la mise à jour 2813430 pour recevoir cette mise à jour (voir l’article de la Base de connaissances Microsoft 2813430 pour plus d’informations).

Actions suggérées supplémentaires

  • Protéger votre PC

    Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Pour plus d’informations, consultez Microsoft Coffre ty &Security Center.

  • Conserver les logiciels Microsoft mis à jour

    Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées.

Déploiement des mises à jour de sécurité

Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article 3097966 de la Base de connaissances Microsoft.

Autres informations

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (24 septembre 2015) : avis publié.
  • V2.0 (13 octobre 2015) : avis révisé pour informer les clients qu’une mise à jour est disponible qui modifie le composant Intégrité du code dans Windows afin d’étendre la suppression d’approbation pour les quatre certificats numériques traités par cet avis afin d’empêcher également la signature de code en mode noyau.

Page générée 2015-11-16 08 :35-08 :00.