Avis de sécurité Microsoft 2661254

Mise à jour relative à la longueur minimale de clé de certificat

Paru le: mardi 14 août 2012 | Mis(e) à jour: mardi 9 octobre 2012

Version: 2.0

Informations générales

Synthèse

Microsoft annonce la disponibilité d'une mise à jour de Windows qui limite l'utilisation de certificats dont la longueur de clé RSA est inférieure à 1 024 bits. Les clés privées utilisées dans ces certificats peuvent être dérivées et pourraient permettre à un attaquant de dupliquer les certificats et de les utiliser de manière frauduleuse afin d'usurper du contenu, d'exécuter des attaques d'hameçonnage ou d'exécuter des attaques d'interception.

Remarque : Cette mise à jour a un impact sur les applications et les services qui utilisent des clés RSA pour le chiffrement et appellent la fonction CertGetCertificateChain. Ces applications et ces services ne feront plus confiance aux certificats dont la longueur de clé RSA est inférieure à 1 024 bits Les applications et services concernés comprennent (sans s'y limiter) la messagerie électronique chiffrée, les canaux de chiffrement SSL/TLS, les applications signées et les environnements PKI privés. Les certificats qui utilisent des algorithmes de chiffrement autres que RSA ne sont pas affectés par cette mise à jour. Pour plus d'informations à propos des applications et des services concernés par cette mise à jour, consultez l'Article 2661254 de la Base de connaissances Microsoft.

Cette mise à jour est disponible sur le Centre de téléchargement ainsi que dans le Catalogue Microsoft Update pour toutes les versions en cours de support de Microsoft Windows. De plus, à partir du 9 octobre 2012, cette mise à jour est proposée via les mises à jour automatiques et via le service Microsoft Update.

Recommandation. Microsoft recommande à ses clients d'installer cette mise à jour dès que possible. Veuillez consulter la section « Actions suggérées » de cet Avis pour plus d'informations.

Problèmes connus. L'Article 2661254 de la Base de connaissances Microsoft décrit les problèmes connus auxquels les clients peuvent être confrontés lors de l'installation de cette mise à jour. Cet article documente également les solutions palliatives recommandées.

Détails de l'Avis

Références sur le problème

Pour plus d'informations sur ce problème, consultez les références suivantes :

Références Identification
Article de la Base de connaissances Microsoft 2661254

Logiciels et périphériques concernés

Cet Avis porte sur les logiciels suivants.

Système d'exploitation
Windows XP Service Pack 3
Windows XP Professionnel Édition x64 Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 Édition x64 Service Pack 2
Windows Server 2003 avec SP2 pour systèmes Itanium
Windows Vista Service Pack 2
Windows Vista Édition x64 Service Pack 2
Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour systèmes Itanium Service Pack 2
Windows 7 pour systèmes 32 bits et Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 et Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes x64 et Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes Itanium et Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
Option d'installation Server Core
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
Windows Server 2008 R2 pour systèmes x64 et Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)

Forum aux questions

Pourquoi cet Avis a-t-il été mis à jour le 9 octobre 2012 ?
Microsoft a mis à jour cet Avis pour les raisons suivantes :

  • Pour rééditer la mise à jour KB2661254 pour Windows XP afin de corriger un problème concernant des certificats numériques spécifiques générés par Microsoft sans attributs d'horodatage corrects. Pour plus d'informations à propos de ce problème, consultez l'Avis de sécurité Microsoft 2749655. Les clients ayant déjà installé cette mise à jour sur leurs systèmes Windows XP n'ont pas besoin d'entreprendre de nouvelle action. De plus, cette mise à jour ne sera pas de nouveau proposée aux clients si elle est déjà installée sur leurs systèmes. La mise à jour rééditée s'applique uniquement aux systèmes Windows XP sur lesquels cette mise à jour n'est pas encore installée.
  • Pour annoncer que la mise à jour KB2661254 pour toutes les versions en cours de support de Microsoft Windows est désormais proposée via les mises à jour automatiques.

Pourquoi cet Avis a-t-il été mis à jour le 11 septembre 2012?
Microsoft a mis à jour cet Avis pour clarifier le fait que les applications et services qui utilisent des clés RSA pour le chiffrement et l'appel de la fonction CertGetCertificateChain pourraient être concernés par cette mise à jour. Les applications et services concernés comprennent (sans s'y limiter) la messagerie électronique chiffrée, les canaux de chiffrement SSL/TLS, les applications signées et les environnements PKI privés.

Pour plus d'informations sur l'impact possible sur les clients et sur les problèmes connus que les clients peuvent rencontrer lors de l'installation de cette mise à jour, consultez l'Article 2661254 de la Base de connaissances Microsoft.

Quelle est la portée de cet Avis?
Le but de cet Avis est d'avertir les clients qu'une mise à jour est disponible pour toutes les versions en cours de support de Microsoft Windows, qui rendra obligatoire l'utilisation de certificats dont la longueur de clé RSA est supérieure ou égale à 1 024 bits. Les certificats ayant des clés RSA dont la longueur est inférieure à 1 024 bits peuvent être dérivés rapidement et peuvent permettre à un attaquant de dupliquer les certificats, puis de les utiliser de manière frauduleuse pour usurper du contenu, exécuter des attaques d'hameçonnage ou exécuter des attaques d'interception. Cette mise à jour est entièrement testée et est de qualité suffisante pour être publiée. Cette mise à jour a été publiée sur le Centre de téléchargement pour permettre aux clients d'évaluer leur environnement et de rééditer les certificats nécessaires avant une plus large distribution via Microsoft Update.

Comment un attaquant pourrait-il utiliser des certificats de manière frauduleuse ?
Un attaquant pourrait dupliquer le certificat et l'utiliser de manière frauduleuse pour usurper du contenu, exécuter des attaques d'hameçonnage ou exécuter des attaques d'interception.

Comment un attaquant peut-il dupliquer un certificat?
Un certificat numérique peut uniquement être créé par la personne qui possède la clé privée du certificat. Un attaquant peut tenter de deviner la clé privée et utiliser des techniques mathématiques pour déterminer si sa supposition est correcte. La difficulté à deviner la clé privée correcte est proportionnelle au nombre de bits utilisés dans la clé. Par conséquent, plus la clé est longue, plus il est long pour l'attaquant de deviner la clé privée. Avec du matériel moderne, les clés inférieures à 1 024 bits de longueur peuvent être devinées en peu de temps. Si l'attaquant devine la clé privée, il peut alors dupliquer le certificat et l'utiliser de manière frauduleuse pour usurper du contenu, exécuter des attaques d'hameçonnage ou exécuter des attaques d'interception.

Qu'est-ce qu'une attaque d'interception?
Une attaque d'interception survient lorsqu'un attaquant détourne la communication entre deux utilisateurs via son ordinateur sans connaître ces deux utilisateurs. Chaque utilisateur prenant part à la communication envoie sans le savoir du trafic à l'attaquant et en reçoit, tout en continuant de penser qu'il ne communique qu'avec l'utilisateur souhaité.

Qu'est-ce qu'un certificat numérique?
Dans le cas du chiffrement à clé publique, l'une des clés, appelée clé privée, doit être gardée secrète. L'autre clé, ou clé publique, est destinée à être partagée. Toutefois, le propriétaire de la clé doit être en mesure d'indiquer à qui la clé appartient. Les certificats numériques permettent de le faire. Un certificat numérique est un ensemble d'informations d'identification électroniques utilisées pour identifier les identités en ligne des individus, des organisations et des ordinateurs. Les certificats numériques contiennent une clé publique ainsi que des informations la concernant (qui en est le propriétaire, à quoi elle peut servir, quand elle expire, etc.).

Comment me préparer à la mise à disposition de cette version ?
Veuillez consulter la section « Actions suggérées » pour obtenir une liste des actions à effectuer en préparation au déploiement de cette mise à jour.

Quand Microsoft publiera-t-il cette mise à jour sur le site Microsoft Update ?
Microsoft a l'intention de publier cette mise à jour via Microsoft Update au mois d'octobre 2012.

Que fait la mise à jour KB2661254?
Sur toutes les versions en cours de support de Microsoft Windows, la mise à jour KB2661254 rend obligatoire l'utilisation de certificats dont la longueur de clé RSA est supérieure ou égale à 1 024 bits. Les certificats qui utilisent des algorithmes de chiffrement autres que RSA ne sont pas concernés par cette mise à jour. Les produits Microsoft ou tiers qui appellent la fonction CertGetCertificateChain ne feront plus confiance aux certificats dont la longueur de clé RSA est inférieure à 1 024 bits. Cette fonction crée un contexte de chaîne de certificat commençant par le certificat final et revenant, si possible, vers un certificat racine de confiance. Lorsque la chaîne est validée, chaque certificat de la chaîne est vérifié pour s'assurer que sa longueur de clé RSA est d'au moins 1 024 bits. Si un certificat de la chaîne possède une clé RSA dont la longueur est inférieure à 1 024 bits, le certificat final ne sera plus considéré comme fiable.

De plus, cette mise à jour peut être configurée pour consigner dans un fichier journal les événements de blocage de certificats par la mise à jour. Pour plus d'informations sur l'activation de cette fonctionnalité de journalisation, veuillez consulter la section « Actions suggérées » de cet Avis. Pour obtenir une liste complète des façons dont cette mise à jour bloquera l'utilisation des clés RSA dont la longueur est inférieure à 1 024 bits, veuillez consulter l'Article 2661254 de la Base de connaissances Microsoft.

Cette mise à jour s'applique-t-elle à Windows 8 Release Preview ou Windows Server 2012 Release Candidate ?
Non. Cette mise à jour ne s'applique pas à Windows 8 Release Preview ni à Windows Server 2012 Release Candidate car ces systèmes d'exploitation incluent déjà la fonctionnalité qui exige que les certificats présentent des clés RSA dont la longueur est supérieure ou égale à 1 024 bits.

Que dois-je faire si je trouve un certificat dont la longueur de clé RSA est inférieure à 1 024 bits ?
Les clients qui identifient des certificats dont la longueur de clé RSA est inférieure à 1 024 bits dans leurs environnements doivent demander des certificats plus longs à leur autorité de certification. Les clients qui gèrent leurs propres environnements PKI doivent créer de nouvelles paires de clés plus longues et publier de nouveaux certificats à partir de ces nouvelles clés. Les clients doivent envisager d'utiliser une longueur de clé suffisante pour correspondre à leurs exigences de chiffrement de données qui peuvent dépasser le minimum requis par cette mise à jour.

Qu'est-ce qu'une autorité de certification (CA)?
Une autorité de certification (CA) est chargée d'attester l'identité des utilisateurs, des ordinateurs et des organisations. L'autorité de certification authentifie une entité et se porte garante de cette identité en publiant un certificat signé numériquement. L'autorité de certification peut également gérer, révoquer et renouveler des certificats.

Une autorité de certification peut être :

  • Une organisation qui se porte garante de l'identité d'un utilisateur final
  • Un serveur utilisé par l'organisation pour publier et gérer des certificats

Actions suggérées

Pour les versions en cours de support de Microsoft Windows

La majorité de nos clients chez lesquels les mises à jour automatiques sont activées n'auront pas besoin d'entreprendre de nouvelle action car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Nos clients chez lesquels les mises à jour automatiques ne sont pas activées doivent rechercher les mises à jour et les installer manuellement. Pour plus d'informations sur les options de configuration spécifiques des mises à jour automatiques, consultez l'Article 294871 de la Base de connaissances Microsoft.

Pour les administrateurs et les installations d'entreprise, ou pour les utilisateurs finaux souhaitant installer la mise à jour KB2661254 manuellement, Microsoft recommande de télécharger la mise à jour et d'évaluer l'impact de l'obligation d'utilisation de certificats dont la longueur de clé RSA est supérieure ou égale à 1 024 bits. Consultez l'Article 2661254 de la Base de connaissances Microsoft pour obtenir les liens de téléchargement des packages de mise à jour ou recherchez les packages de mise à jour dans le Catalogue Microsoft Update.

Les administrateurs et les installations d'entreprise doivent rechercher les éventuels certificats dont la longueur de clé RSA est inférieure à 1 024 bits dans leur environnement et rééditer ces certificats. Pour plus d'informations à propos des applications et des services concernés par cette mise à jour, consultez l'Article 2661254 de la Base de connaissances Microsoft.

Les clients ayant appliqué la mise à jour KB2661254 d'origine, c'est-à-dire avant le 9 octobre 2012, doivent appliquer les packages de mise à jour réédités pour éviter tout problème lié aux certificats numériques, comme décrit dans l'Avis de sécurité Microsoft 2749655. Pour plus d'informations, consultez le Forum aux questions de cet Avis.

Actions supplémentaires suggérées

  • Identifier les certificats dont la longueur de clé RSA est inférieure à 1 024 bits utilisés dans l'entreprise

    Veuillez consulter l'Article 2661254 de la Base de connaissances Microsoft pour obtenir des instructions détaillées sur la façon de rechercher les certificats RSA actuellement utilisés dans l'entreprise.

  • Étudier l'Article 2661254 de la Base de connaissances Microsoft pour connaître les scénarios dans lesquels cette mise à jour bloquera les certificats

    Consultez l'Article 2661254 de la Base de connaissances Microsoft pour obtenir une liste des scénarios dans lesquels cette mise à jour bloquera les certificats dont la longueur de clé RSA est inférieure à 1 024 bits.

  • Activer la journalisation des certificats pour contribuer à identifier l'utilisation de clés RSA dont la longueur est inférieure à 1 024 bits

    Par défaut, la journalisation n'est pas activée. La journalisation peut être activée pour contribuer à identifier l'utilisation de clés RSA inférieures à 1 024 bits de longueur en définissant le répertoire de journalisation dans le Registre.

    Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité.

    Windows Registry Editor Version 5.00 
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config]
    " WeakSignatureLogDir"
    

    Vous pouvez double-cliquer sur ce fichier .reg pour l'appliquer à des systèmes individuels. Vous pouvez également l'appliquer dans plusieurs domaines à l'aide de la Stratégie de groupe. Pour plus d'informations à propos de la stratégie de groupe, consultez l'article consacré aux principaux outils et paramètres de stratégie de groupe (en anglais).

    Impact de cette solution de contournement : L'activation de la journalisation sur un système de production peut entraîner des problèmes de performances et doit être utilisée avec prudence. Une attention particulière doit être accordée au répertoire dans lequel la journalisation est activée afin d'éviter de remplir le volume. Ce répertoire doit également être configuré pour permettre à tous les systèmes appropriés d'écrire à cet emplacement. Les clients ne doivent jamais autoriser des utilisateurs anonymes à écrire sur des partages au sein de l'organisation.

  • Protégez votre PC

    Nous encourageons nos clients à suivre les conseils de la section Protégez votre ordinateur concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour plus d'informations, consultez le Centre de sécurité Microsoft.

  • Veillez à mettre à jour régulièrement vos logiciels Microsoft

    Nous recommandons aux utilisateurs de logiciels Microsoft d'installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum leur ordinateur. Pour ce faire, rendez-vous sur Microsoft Update, effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé et configuré les mises à jour automatiques de façon à recevoir les mises à jour pour les produits Microsoft, les mises à jour vous sont fournies à leur publication, mais nous vous conseillons de vérifier qu'elles sont installées.

Autres informations

Commentaires

  • Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et Support Microsoft : Customer Service Contact Us (en anglais).

Support technique

Dédit de responsabilité

Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (14 août 2012) : Avis publié.
  • V1.1 (14 août 2012) : Synthèse corrigée pour clarifier le fait qu'après avoir appliqué cette mise à jour, les clients doivent utiliser des certificats dont la longueur de clé RSA doit être supérieure ou égale à 1 024 bits.
  • V1.2 (11 septembre 2012) : Clarification afin d'indiquer que les applications et services utilisant des clés RSA pour le chiffrement et l'appel de la fonction CertGetCertificateChain pourraient être concernés par cette mise à jour. Les applications et services concernés comprennent (sans s'y limiter) la messagerie électronique chiffrée, les canaux de chiffrement SSL/TLS, les applications signées et les environnements PKI privés.
  • V2.0 (9 octobre 2012) : Avis mis à jour pour rééditer la mise à jour KB2661254 pour Windows XP et pour annoncer que la mise à jour KB2661254 pour toutes les versions en cours de support de Microsoft Windows est désormais proposée via les mises à jour automatiques. Nos clients ayant déjà appliqué la mise à jour KB2661254 n'ont pas besoin d'entreprendre de nouvelle action. Pour plus d'informations, consultez le Forum aux questions de l'Avis.

Built at 2014-04-18T13:49:36Z-07:00