Avis de sécurité Microsoft 2868725

Mise à jour permettant la désactivation de RC4

Paru le: mardi 12 novembre 2013

Version: 1.0

Informations générales

Synthèse

Microsoft annonce la disponibilité d'une mise à jour pour les éditions en cours de support de Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 et Windows RT pour corriger des vulnérabilités connues dans RC4. Cette mise à jour prend en charge la suppression de RC4 en tant que chiffrement disponible sur les systèmes concernés, par le biais des paramètres du Registre. Elle permet également aux développeurs de supprimer RC4 dans des applications individuelles à l'aide de l'indicateur SCH_USE_STRONG_CRYPTO dans la structure SCHANNEL_CRED. Ces options ne sont pas activées par défaut.

Recommandation. Microsoft recommande à ses clients de télécharger et d'installer la mise à jour immédiatement, puis de tester les nouveaux paramètres dans leurs environnements. Veuillez consulter la section « Actions suggérées » de cet Avis pour plus d'informations.

Détails de l'Avis

Références sur le problème

Pour plus d'informations sur ce problème, consultez les références suivantes :

Références Identification
Article de la Base de connaissances Microsoft 2868725

Logiciels concernés

Cet Avis porte sur les logiciels suivants.

Système d'exploitation
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
Windows 8 pour systèmes 32 bits
Windows 8 pour systèmes x64
Windows Server 2012
Windows RT
Option d'installation Server Core
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
Windows Server 2012 (installation Server Core)

Forum aux questions relatif à cet Avis

Cette mise à jour s'applique-t-elle à Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1 ?
Non. Cette mise à jour ne s'applique pas à Windows 8.1, Windows Server 2012 R2 ni Windows RT 8.1 car ces systèmes d'exploitation incluent déjà une fonctionnalité limitant l'utilisation de RC4.

Quelle est la portée de cet Avis ?
Le but de cet Avis est d'avertir nos clients de l'existence d'une mise à jour pour les éditions en cours de support de Windows (Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 et Windows RT) qui fournit des options supplémentaires pour limiter l'utilisation de RC4. L'utilisation de RC4 dans TLS et SSL pourrait permettre à un attaquant d'exécuter des attaques d'interception et de récupérer de texte brut à partir de sessions chiffrées.

Qu'est-ce qu'une attaque d'interception ?
Une attaque d'interception survient lorsqu'un attaquant détourne la communication entre deux utilisateurs via son ordinateur sans connaître ces deux utilisateurs. Chaque utilisateur prenant part à la communication envoie sans le savoir du trafic à l'attaquant et en reçoit, tout en continuant de penser qu'il ne communique qu'avec l'utilisateur souhaité.

Que fait la mise à jour 2868725 ?
Cette mise à jour prend en charge la suppression de RC4 en tant que chiffrement disponible sur les systèmes concernés, par le biais des paramètres du Registre. Elle permet également aux développeurs de supprimer RC4 dans des applications individuelles à l'aide de l'indicateur SCH_USE_STRONG_CRYPTO dans la structure SCHANNEL_CRED. Ces options ne sont pas activées par défaut. Microsoft recommande à ses clients de tester les nouveaux paramètres de désactivation de RC4 avant de les implémenter dans leurs environnements.

Cette mise à jour affectera-t-elle l'expérience utilisateur pour Internet Explorer ou d'autres applications installées par défaut ? 
Non. Les modifications mises en œuvre par cette mise à jour sont transparentes à l'utilisateur et n'affecteront pas l'expérience utilisateur pour Internet Explorer ni aucune autre application installée par défaut. Toutefois, il est possible que des modifications futures des paramètres de désactivation de RC4 affectent l'expérience utilisateur pour Internet Explorer ou d'autres applications qui utilisent TLS. Pour cette raison, nous recommandons fortement à nos clients de tester soigneusement tous les nouveaux paramètres liés à la désactivation de RC4.

Comment me préparer à la mise à disposition de cette version ?
Veuillez consulter la section « Actions suggérées » de cet Avis pour obtenir une liste d'actions à exécuter avant de déployer cette mise à jour.

Qu'est-ce que Schannel ?
Secure Channel, également appelé Schannel, est un fournisseur de prise en charge de sécurité (SSP-Security Support Provider), contenant un ensemble de protocoles de sécurité qui fournissent une authentification d'identité et des communications sécurisées et privées par le chiffrement. Schannel est principalement utilisé pour les applications Internet qui nécessitent des communications HTTP (Hypertext Transfer Protocol) sécurisées. Pour plus d'informations, consultez l'article consacré à Secure Channel (en anglais).

Qu'est-ce que TLS ?
TLS (Transport Layer Security) est un protocole standard utilisé pour fournir des communications Web sécurisées sur Internet ou des réseaux intranet. Il permet à des clients d'authentifier des serveurs, ou, éventuellement, à des serveurs d'authentifier des clients. Il fournit également un canal sécurisé en chiffrant les communications. TLS est la version la plus récente du protocole Secure Sockets Layer (SSL).

Qu'est-ce que RC4 ?
RC4 est un chiffrement de flux utilisé à la fois pour le chiffrement et le déchiffrement.

Actions suggérées

Appliquer la mise à jour pour les versions concernées de Microsoft Windows

La majorité de nos clients chez lesquels les mises à jour automatiques sont activées n'auront pas besoin d'entreprendre de nouvelle action car la mise à jour 2868725 sera téléchargée et installée automatiquement. Nos clients chez lesquels les mises à jour automatiques ne sont pas activées doivent rechercher les mises à jour et les installer manuellement. Pour plus d'informations sur les options de configuration spécifiques des mises à jour automatiques, consultez l'Article 294871 de la Base de connaissances Microsoft.

Pour les administrateurs et les installations d'entreprise, ou pour les utilisateurs souhaitant installer la mise à jour 2868725 manuellement, Microsoft recommande d'appliquer cette mise à jour immédiatement à l'aide d'un logiciel de gestion des mises à jour ou en recherchant les mises à jour à l'aide du service Microsoft Update. Pour plus d'informations sur la façon d'appliquer manuellement la mise à jour, consultez l'Article 2868725 de la Base de connaissances Microsoft.

Tester soigneusement les nouveaux paramètres avant de les implémenter dans votre environnement

Après avoir appliqué la mise à jour, Microsoft recommande à ses clients de tester tout nouveau paramètre de désactivation de RC4 avant de l'implémenter dans leurs environnements. Si les nouveaux paramètres ne sont pas testés, cela risque d'avoir un impact sur l'expérience utilisateur pour Internet Explorer ou d'autres applications qui utilisent TLS.

Autres informations

Commentaires

  • Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et Support Microsoft : Customer Service Contact Us (en anglais).

Support technique

Dédit de responsabilité

Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (12 novembre 2013) : Avis publié.

Built at 2014-04-18T13:49:36Z-07:00