Avis de sécurité Microsoft 3033929

  • Article
  • 10 minutes de lecture

Disponibilité de la prise en charge de la signature de code SHA-2 pour Windows 7 et Windows Server 2008 R2

Date de publication : 10 mars 2015

Version : 1.0

Informations générales

Synthèse

Microsoft annonce la réédition d'une mise à jour pour toutes les éditions prises en charge de Windows 7 et Windows Server 2008 R2 afin d'ajouter la prise en charge de la fonctionnalité de signature et de vérification SHA-2. Cette mise à jour remplace la mise à jour 2949927 annulée du 17 octobre 2014 pour résoudre des problèmes rencontrés par certains clients après l'installation. Comme pour la version d'origine, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT et Windows RT 8.1 ne nécessitent pas cette mise à jour, car la fonctionnalité de signature et de vérification SHA-2 est déjà incluse dans ces systèmes d'exploitation. Cette mise à jour n'est pas disponible pour Windows Server 2003, Windows Vista ni Windows Server 2008.

Recommandation Les clients ayant activé les mises à jour automatiques et configuré la vérification en ligne de la disponibilité de mises à jour sur Microsoft Update n'ont généralement pas besoin d'entreprendre de nouvelle action, car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Nos clients chez lesquels les mises à jour automatiques ne sont pas activées doivent rechercher les mises à jour et les installer manuellement. Pour plus d'informations sur les options de configuration spécifiques des mises à jour automatiques, voir l'article 294871 de la Base de connaissances Microsoft.

Pour les clients qui installent les mises à jour manuellement (notamment les clients qui n'ont pas activé les mises à jour automatiques), Microsoft recommande d'appliquer cette mise à jour dès que possible à l'aide d'un logiciel de gestion des mises à jour ou en recherchant les mises à jour à l'aide du service Microsoft Update. Les mises à jour sont également disponibles via les liens de téléchargement du tableau « Logiciels concernés » dans ce même Avis.

Détails de l'Avis

Références sur le problème

Pour plus d'informations sur ce problème, consultez les références suivantes :

Références Identification
Article de la Base de connaissances Microsoft 3033929  (remplace 2949927
Logiciels concernés ------------------- Cet Avis porte sur les logiciels suivants.

Système d'exploitation Mises à jour remplacées    
Windows 7 pour systèmes 32 bits Service Pack 1
(3033929)(1)		 3035131 dans le Bulletin MS15-025
Windows 7 pour systèmes x64 Service Pack 1
(3033929)(1)		 3035131 dans le Bulletin MS15-025
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(3033929)(1)		 3035131 dans le Bulletin MS15-025
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(3033929)(1)		 3035131 dans le Bulletin MS15-025
Option d'installation Server Core 3035131 dans le Bulletin MS15-025
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) 
(3033929)(1)		 3035131 dans le Bulletin MS15-025
[1]La mise à jour 3033929 contient en partie les mêmes fichiers binaires affectés que la mise à jour 3035131 publiée simultanément via le Bulletin de sécurité [MS15-025](http://go.microsoft.com/fwlink/?linkid=526462). Les clients qui téléchargent et installent des mises à jour manuellement et qui prévoient d'installer les deux mises à jour doivent installer la mise à jour 3035131 avant la mise à jour 3033929. Pour plus d'informations, consultez le Forum aux questions de cet Avis. Forum aux questions de cet Avis ------------------------------- **Quelle est la portée de cet Avis ?**  Le but de cet Avis est d'informer nos clients d'une mise à jour qui ajoute la fonctionnalité de l'algorithme de hachage SHA-2 pour toutes les éditions prises en charge de Windows 7 et Windows Server 2008 R2. **S'agit-il d'une vulnérabilité dans la sécurité qui nécessite que Microsoft publie une mise à jour de sécurité ?** Non. Une alternative au mécanisme de signature SHA-1 est disponible depuis un certain temps et l'utilisation de SHA-1 en tant qu'algorithme de hachage à des fins de signature est désormais déconseillée et n'est plus une méthode recommandée. Microsoft recommande d'utiliser plutôt l'algorithme de hachage SHA-2 et publie cette mise à jour pour permettre aux clients de migrer les clés de certificats numériques vers l'algorithme de hachage SHA-2, qui est plus sécurisé. **Quelle est la cause du problème rencontré avec l'algorithme de hachage SHA-1 ?** La cause principale de ce problème est une faiblesse connue de l'algorithme de hachage SHA-1, qui l'expose à des attaques par collision. Ces attaques pourraient permettre à un attaquant de générer des certificats supplémentaires présentant la même signature numérique qu'un original. Ces problèmes sont bien connus et l'utilisation de certificats SHA-1 à des fins spécifiques qui nécessitent une résistance contre ces attaques a été déconseillée. Chez Microsoft, Security Development Lifecycle a exigé de Microsoft de ne plus utiliser l'algorithme de hachage SHA-1 en tant que fonctionnalité par défaut dans les logiciels Microsoft. Pour plus d'informations, consultez l'[Avis de sécurité Microsoft 2880823](https://technet.microsoft.com/fr-fr/library/security/2880823) et l'entrée de blog PKI Windows consacrée à la [politique d'obsolescence de SHA1](http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx) (en anglais). **Que fait cette mise à jour ?**  Cette mise à jour ajoute la prise en charge de la signature et de la vérification de l'algorithme de hachage SHA-2 sur les systèmes d'exploitation affectés, qui inclut les éléments suivants : - Prise en charge de plusieurs signatures sur les [fichiers Cab](https://msdn.microsoft.com/fr-fr/library/aa367841(v=vs.85).aspx) ; - prise en charge de plusieurs signatures pour les [fichiers PE Windows](https://msdn.microsoft.com/fr-fr/library/ms940812(v=winembedded.5).aspx) ; - modifications de l'interface utilisateur qui permettent l'affichage de plusieurs signatures numériques ; - possibilité de vérifier l'horodatage RFC3161 sur le composant d'intégrité de code qui vérifie les signatures dans le noyau ; - prise en charge de diverses API, y compris [CertIsStrongHashToSign](https://msdn.microsoft.com/fr-fr/library/windows/desktop/hh870260(v=vs.85).aspx), [CryptCATAdminAcquireContext2](https://msdn.microsoft.com/fr-fr/library/windows/desktop/aa379889(v=vs.85).aspx) et [CryptCATAdminCalcHashFromFileHandle2](https://msdn.microsoft.com/fr-fr/library/windows/desktop/hh968151(v=vs.85).aspx). **Qu'est-ce que l'algorithme de hachage sécurisé (SHA-1) ?**  L'algorithme de hachage sécurisé (SHA) a été conçu pour être utilisé avec l'algorithme de signature numérique (DSA) ou la norme de signature numérique (DSS) et génère une valeur de hachage 160 bits. SHA-1 présente des vulnérabilités connues qui l'exposent à des attaques par collision. Ces attaques pourraient permettre à un attaquant de générer des certificats supplémentaires présentant la même signature numérique qu'un original. Pour plus d'informations sur SHA-1, consultez la page consacrée aux [algorithmes de hachage et de signature](https://msdn.microsoft.com/fr-fr/library/windows/desktop/aa382459(v=vs.85).aspx) (en anglais). **Qu'est-ce que RFC3161 ?** RFC3161 définit le protocole d'horodatage (TSP) d'infrastructure de clés publiques Internet X.509 décrivant le format des requêtes et des réponses à une autorité d'horodatage (TSA). La TSA peut être utilisée pour prouver qu'une signature numérique a bien été générée pendant la période de validité d'un certificat de clé publique. Voir la page consacrée à l'[infrastructure de clés publiques X.509](http://www.ietf.org/rfc/rfc3161.txt) (en anglais). **Qu'est-ce qu'un certificat numérique ?**  Dans le cas du chiffrement à clé publique, l'une des clés, appelée clé privée, doit être gardée secrète. L'autre clé, ou clé publique, est destinée à être partagée. Toutefois, le propriétaire de la clé doit être en mesure d'indiquer à qui la clé appartient. Les certificats numériques permettent de le faire. Un certificat numérique est un ensemble d'informations d'identification électroniques utilisées pour identifier les identités en ligne des individus, des organisations et des ordinateurs. Les certificats numériques contiennent une clé publique, ainsi que des informations la concernant (qui en est le propriétaire, à quoi elle peut servir, quand elle expire, etc.). Pour plus d'informations, consultez l'article [Cryptographie à clé publique](https://technet.microsoft.com/fr-fr/library/aa998077) ainsi que l'article relatif aux [certificats numériques](https://technet.microsoft.com/fr-fr/library/cc962029.aspx) (en anglais). **Quel est le but d'un certificat numérique ?**  Les certificats numériques sont principalement utilisés pour vérifier l'identité d'une personne ou d'un appareil, pour authentifier un service ou encore pour chiffrer des fichiers. Normalement, il n'est pas nécessaire de se soucier des certificats, en dehors d'un message occasionnel indiquant qu'un certificat a expiré ou n'est pas valide. Dans de tels cas, vous devez suivre les instructions figurant dans le message. **Comment cette mise à jour (3033929) liée à la mise à jour 3035131 est-elle traitée dans le Bulletin MS15-025 ?** Cette mise à jour (3033929) partage des fichiers binaires avec la mise à jour 3035131 publiée simultanément via [MS15-025](http://go.microsoft.com/fwlink/?linkid=526462). En raison de ce chevauchement, une mise à jour devait remplacer l'autre et, dans ce cas, la mise à jour 3033929 de l'Avis remplace la mise à jour 3035131. Les clients chez qui les mises à jour automatiques sont activées doivent connaître un comportement d'installation inhabituel. Les deux mises à jour doivent s'installer automatiquement et toutes deux doivent figurer dans la liste des mises à jour installées. Toutefois, pour les clients qui téléchargent et installent les mises à jour manuellement, l'ordre d'installation des mises à jour détermine le comportement observé de la manière suivante : Scénario 1 (recommandé) : Le client installe d'abord la mise à jour 3035131, puis installe la mise à jour 3033929 de l'Avis. Résultat : Les deux mises à jour s'installent normalement et toutes deux doivent figurer dans la liste des mises à jour installées.    Scénario 2 : Le client installe d'abord la mise à jour 3033929 de l'Avis et tente d'installer la mise à jour 3035131. Résultat : Le programme d'installation avertit l'utilisateur que la mise à jour 3035131 est déjà installée sur le système et que la mise à jour 3035131 n'est PAS ajoutée à la liste des mises à jour installées. Actions suggérées ----------------- - **Appliquez la mise à jour pour les versions de Microsoft Windows prises en charge** La majorité de nos clients chez lesquels les mises à jour automatiques sont activées n'auront pas besoin d'entreprendre de nouvelle action, car la mise à jour sera téléchargée et installée automatiquement. Nos clients chez lesquels les mises à jour automatiques ne sont pas activées doivent rechercher les mises à jour et les installer manuellement. Pour plus d'informations sur les options de configuration spécifiques des mises à jour automatiques, voir [l'article 294871 de la Base de connaissances Microsoft](https://support.microsoft.com/kb/294871/fr). Pour les administrateurs et les installations d'entreprise ou pour les utilisateurs souhaitant installer cette mise à jour de sécurité manuellement (y compris les clients chez lesquels les mises à jour automatiques ne sont pas activées), Microsoft recommande à ses clients d'appliquer cette mise à jour dès que possible à l'aide d'un logiciel de gestion des mises à jour ou en recherchant les mises à jour à l'aide du service [Microsoft Update](http://update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=fr-fr). Les mises à jour sont également disponibles via les liens de téléchargement du tableau « **Logiciels concernés** » dans ce même Avis. ### Actions supplémentaires suggérées - **Protégez votre ordinateur** Nous encourageons nos clients à suivre les conseils de la section Protégez votre ordinateur concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour plus d'informations, voir [Sécurité et Vie privée Microsoft](http://www.microsoft.com/fr-fr/security/default.aspx). - **Mettez régulièrement à jour vos logiciels Microsoft** Nous recommandons aux utilisateurs de logiciels Microsoft d'installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum leur ordinateur. Si vous n'êtes pas sûr que vos logiciels sont à jour, rendez-vous sur [Microsoft Update](http://update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=fr-fr), effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé et configuré les mises à jour automatiques de façon à les recevoir pour les produits Microsoft, celles-ci vous sont fournies au moment de leur publication, mais nous vous conseillons de vérifier qu'elles sont bien installées. Autres informations ------------------- ### Microsoft Active Protections Program (MAPP) Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page [Microsoft Active Protections Program (MAPP) Partners](http://technet.microsoft.com/fr-fr/security/dn467918) (en anglais). ### Commentaires - Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire [de contact du service clientèle](http://support.microsoft.com/kb/?scid=sw;en;1257&showpage=1&ws=technet&sd=tech) disponible sur le site web Aide et Support Microsoft. ### Support technique - En cas de problème, contactez les [services de support sécurité Microsoft](https://consumersecuritysupport.microsoft.com/default.aspx?mkt=fr-fr&scrx=1). Pour plus d'informations, consultez le [site web Aide et Support Microsoft](http://support.microsoft.com/?ln=fr). - Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour plus d'informations, consultez le site de [Support international](http://support2.microsoft.com/common/international.aspx). - [TechCenter sur la sécurité](http://technet.microsoft.com/fr-fr/security/default.aspx) fournit des informations supplémentaires sur la sécurité dans les produits Microsoft. ### Dédit de responsabilité Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner. ### Révisions - V1.0 (10 mars 2015) : Avis publié. *Page générée le 04/03/2015 14:52Z-08:00.*