3097966 d’avis de sécurité Microsoft

Des certificats numériques divulgués par inadvertance pourraient autoriser l’usurpation d’identité

Publication : 24 septembre 2015 | Mise à jour : 13 octobre 2015

Version : 2.0

Résumé

Le 24 septembre 2015, Microsoft a publié cet avis pour informer les clients de quatre certificats numériques divulgués par inadvertance qui pourraient être utilisés pour usurper du contenu et fournir une mise à jour de la liste d’approbation de certificats (CTL) afin de supprimer l’approbation en mode utilisateur pour les certificats. Comme indiqué, les certificats d’entité finale divulgués ne peuvent pas être utilisés pour émettre d’autres certificats ou emprunter l’identité d’autres domaines, mais peuvent être utilisés pour signer du code. En outre, les autorités de certification émettrices respectives ont révoqué les quatre certificats.

Avec la révision du 13 octobre 2015 de cet avis, Microsoft annonce la disponibilité d’une mise à jour pour toutes les versions prises en charge de Windows qui modifie le composant Intégrité du code dans Windows afin d’étendre la suppression de l’approbation pour les certificats afin d’empêcher également la signature du code en mode noyau.

Recommandation. Consultez la section Actions suggérées de cet avis pour obtenir des instructions sur l’application des mises à jour pour des versions spécifiques de Microsoft Windows. Notez que la mise à jour CTL publiée le 24 septembre 2015 et la mise à jour Windows publiée le 13 octobre 2015 sont requises pour que les systèmes concernés soient protégés contre ce problème.

Problèmes connus. L’article de la Base de connaissances Microsoft 3097966 documente un problème actuellement connu que les clients peuvent rencontrer lors de l’installation de la mise à jour du 13 octobre 2015. L’article documente également une solution recommandée.

Détails de l’avis

Pour plus d’informations sur ce problème, consultez les références suivantes :

Informations de référence	Identification
Article de la Base de connaissances	3097966

Logiciels affectés

Cet avis s’applique aux systèmes d’exploitation suivants :

Windows Vista
Windows Vista Service Pack 2
Windows Vista x64 Édition Service Pack 2
Windows Server 2008
Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour systèmes Itanium Service Pack 2
Windows 7
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
Windows 8
Windows 8 pour systèmes 32 bits
Windows 8 pour systèmes x64
Windows Server 2012
Windows Server 2012
Windows RT
Windows RT[1]
Windows 8.1
Windows 8.1 pour les systèmes 32 bits
Windows 8.1 pour les systèmes x64
Windows Server 2012 R2
Windows Server 2012 R2
Windows RT 8.1
Windows RT 8.1[1]
Windows 10
Windows 10 pour les systèmes 32 bits[2]\ (3097617)
Windows 10 pour les systèmes x64[2]\ (3097617)
Option d’installation minimale
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
Windows Server 2008 R2 pour systèmes x64 (installation Server Core)
Windows Server 2012 (installation de Server Core)
Windows Server 2012 R2 (installation Server Core)
Appareils affectés
Windows Phone 8[1]
Windows Phone 8.1[1]

Notez Windows Server Technical Preview 3 est affecté. Les clients exécutant ce système d’exploitation sont encouragés à appliquer la mise à jour, qui est disponible via Windows Update.

^[1]Windows Phone 8 et Windows Phone appareils 8.1 ont reçu automatiquement la mise à jour de la CTL du 24 septembre 2015 ; toutefois, ces appareils n’autorisent pas l’installation de pilotes tiers, même s’ils sont signés, ils n’ont donc pas besoin de la mise à jour secondaire du 13 octobre 2015.

^[2]La mise à jour Windows 10 est cumulative. En plus de contenir des mises à jour non liées à la sécurité, il contient également tous les correctifs de sécurité pour toutes les vulnérabilités affectées par les Windows 10 avec la version de sécurité du mois donné. La mise à jour est disponible via le catalogue Windows Update. Pour plus d’informations et des liens de téléchargement, consultez l’article 3097617 de la Base de connaissances Microsoft .

FAQ sur les conseils

Pourquoi cet avis a-t-il été révisé le 13 octobre 2015?
L’avis a été révisé le 13 octobre 2015 pour informer les clients qu’une mise à jour Windows est disponible qui modifie le composant Intégrité du code dans Windows afin d’étendre la suppression de l’approbation pour les quatre certificats numériques afin d’empêcher également la signature de code en mode noyau. Pour plus d’informations et des liens de téléchargement, consultez l’article de la Base de connaissances Microsoft 3097966. Notez que la mise à jour de la CTL publiée le 24 septembre 2015 et la mise à jour Windows publiée le 13 octobre 2015 sont requises pour que les systèmes concernés soient protégés contre le problème abordé dans cet avis.

Quelle est l’étendue de l’avis? 
L’objectif de cet avis est d’informer les clients des mises à jour apportées à Windows et à la liste d’approbation des certificats (CTL) afin de supprimer l’approbation en mode utilisateur et l’approbation de signature de code en mode noyau pour quatre certificats numériques, et que les autorités de certification émettrices respectives ont révoqué les certificats.

Qu’est-ce qui a provoqué le problème ? 
Le problème a été provoqué par la publication par inadvertance des certificats par D-Link Corporation.

La mise à jour de la CTL traite-t-elle d’autres certificats numériques ?
Oui, en plus de traiter les certificats décrits dans cet avis, la mise à jour de la CTL publiée à l’origine le 24 septembre 2015 est cumulative et inclut les certificats numériques décrits dans les avis précédents :

• 3050995 d’avis de sécurité Microsoft
• 3046310 d’avis de sécurité Microsoft
• 2982792 d’avis de sécurité Microsoft
• 2916652 d’avis de sécurité Microsoft
• 2798897 d’avis de sécurité Microsoft
• 2728973 d’avis de sécurité Microsoft
• 2718704 d’avis de sécurité Microsoft
• 2641690 d’avis de sécurité Microsoft
• 2607712 d’avis de sécurité Microsoft
• 2524375 d’avis de sécurité Microsoft

Qu’est-ce que le chiffrement ? 
Le chiffrement est la science de la sécurisation des informations en les convertissant entre leur état normal et lisible (appelé texte en clair) et un état dans lequel les données sont masquées (connu sous le nom de texte chiffré).

Dans toutes les formes de chiffrement, une valeur appelée clé est utilisée conjointement avec une procédure appelée algorithme de chiffrement pour transformer des données en texte clair en texte chiffré. Dans le type de chiffrement le plus familier, le chiffrement à clé secrète, le texte de chiffrement est recondité en texte en clair à l’aide de la même clé. Toutefois, dans un deuxième type de chiffrement, le chiffrement à clé publique, une autre clé est utilisée pour transformer le texte de chiffrement en texte clair.

Qu’est-ce qu’un certificat numérique ?  
Dans le chiffrement à clé publique, l’une des clés, appelée clé privée, doit être gardée secrète. L’autre clé, appelée clé publique, est destinée à être partagée avec le monde entier. Cependant, il doit y avoir un moyen pour le propriétaire de la clé de dire au monde à qui appartient la clé. Les certificats numériques offrent un moyen d’effectuer cette opération. Un certificat numérique est un élément de données inviolable qui empaquette une clé publique avec des informations la concernant (qui en est propriétaire, ce pour quoi il peut être utilisé, quand il expire, etc.).

À quoi servent les certificats ? 
Les certificats servent principalement à vérifier l’identité d’une personne ou d'un périphérique, à authentifier un service ou à chiffrer des fichiers. Normalement, vous n’aurez pas à penser aux certificats du tout. Toutefois, vous pouvez voir un message vous indiquant qu’un certificat a expiré ou n’est pas valide. Dans ce cas, vous devez suivre les instructions du message.

Qu’est-ce qu’une autorité de certification ?  
Les autorités de certification sont les organisations qui émettent des certificats. Ils établissent et vérifient l’authenticité des clés publiques qui appartiennent à des personnes ou à d’autres autorités de certification, et vérifient l’identité d’une personne ou d’un organization qui demande un certificat.

Qu’est-ce qu’une liste d’approbation de certificats (CTL) ?  
Une approbation doit exister entre le destinataire d’un message signé et le signataire du message. Une méthode d’établissement de cette approbation consiste à utiliser un certificat, un document électronique qui vérifie que les entités ou les personnes sont bien celles qu’elles prétendent être. Un certificat est émis à une entité par un tiers approuvé par les deux autres parties. Ainsi, chaque destinataire d’un message signé décide si l’émetteur du certificat du signataire est digne de confiance. CryptoAPI a implémenté une méthodologie pour permettre aux développeurs d’applications de créer des applications qui vérifient automatiquement les certificats par rapport à une liste prédéfinie de certificats ou de racines approuvés. Cette liste d’entités approuvées (appelées sujets) est appelée liste de certificats d’approbation (CTL). Pour plus d’informations, consultez l’article MSDN Vérification de l’approbation de certificat.

Que peut faire un attaquant avec ces certificats ? 
Un attaquant peut utiliser les certificats pour signer du code de manière frauduleuse.

Que fait Microsoft pour résoudre ce problème ?  
Bien que ce problème ne résulte pas d’un problème dans un produit Microsoft, nous mettons néanmoins à jour la CTL et fournissons une mise à jour Windows pour aider à protéger les clients. Microsoft continuera à examiner ce problème et pourra apporter des modifications ultérieures à la CTL ou publier une mise à jour ultérieure pour aider à protéger les clients.

Après avoir appliqué la mise à jour de la CTL, comment puis-je vérifier que le certificat se trouve dans le magasin de certificats non approuvés Microsoft ?
Pour les systèmes Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2 qui utilisent la mise à jour automatique des certificats révoqués (voir l’article 2677070 de la Base de connaissances Microsoft) et pour Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 et Windows 10 vous pouvez case activée le journal des applications dans le observateur d'événements pour une entrée avec les valeurs suivantes :

• Source : CAPI2
• Niveau : Information
• ID d’événement : 4112
• Description : Mise à jour automatique réussie de la liste des certificats non autorisés avec date d’entrée en vigueur : mercredi 23 septembre 2015 (ou version ultérieure).

Pour les systèmes qui n’utilisent pas la mise à jour automatique des certificats révoqués, dans le composant logiciel enfichable MMC Certificats, vérifiez que le certificat suivant a été ajouté au dossier Certificats non approuvés :

Certificate	**Émis par **	Empreinte
DLINK CORPORATION	Symantec Corporation	3e b4 4e 5f fe 6d c7 2d ed 70 3e 99 90 27 22 db 38 ff d1 cb
Réseaux alpha	Symantec Corporation	73 11 e7 7e c4 00 10 9d 6a 53 26 d8 f6 69 62 04 fd 59 aa 3b
KEEBOX	GoDaddy.com, LLC	91 5a 47 8d b9 39 92 5d ae a1 2d 8b ba 14 0d 26 59 9c
Trendnet	GoDaddy.com, LLC	db 50 42 ed 25 6f f4 26 86 7b 33 28 87 ec ce 2d 95 e7 96 14

Note Pour plus d’informations sur l’affichage des certificats avec le composant logiciel enfichable MMC, consultez l’article MSDN How to: View Certificates with the MMC Snap-in.

Actions suggérées

• Appliquer la mise à jour 3097966 publiée le 13 octobre 2015

  La plupart des clients ont la mise à jour automatique activée et n’ont pas besoin d’effectuer d’action, car la mise à jour 3097966 sera téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques de la mise à jour automatique, consultez l’article 3097966 de la Base de connaissances Microsoft.

  Pour les administrateurs et les installations d’entreprise, ou les utilisateurs finaux qui souhaitent installer la mise à jour 3097966 manuellement, Microsoft recommande aux clients d’appliquer la mise à jour immédiatement à l’aide du logiciel de gestion des mises à jour ou en recherchant les mises à jour à l’aide du service Microsoft Update . Pour plus d’informations sur l’application manuelle de la mise à jour, consultez l’article 3097966 de la Base de connaissances Microsoft.

• Appliquer la mise à jour de la CTL publiée le 24 septembre 2015 (si elle n’est pas déjà appliquée)

  Une mise à jour automatique des certificats révoqués est incluse dans les éditions prises en charge de Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2 et Windows 10 et pour les appareils exécutant Windows Phone 8 et Windows Phone 8.1. Pour ces systèmes d’exploitation ou appareils, les clients n’ont pas besoin d’effectuer d’action, car la CTL sera mise à jour automatiquement.

  Pour les systèmes exécutant Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 qui utilisent la mise à jour automatique des certificats révoqués (voir l’article 2677070 de la Base de connaissances Microsoft pour plus d’informations), les clients n’ont pas besoin d’effectuer d’action, car ces systèmes seront automatiquement protégés.

  Pour les systèmes exécutant Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 qui n’ont pas installé la mise à jour automatique des certificats révoqués, cette mise à jour n’est pas disponible. Pour recevoir cette mise à jour, les clients doivent installer le programme de mise à jour automatique des certificats révoqués (pour plus d’informations, consultez l’article 2677070 de la Base de connaissances Microsoft ). Les clients dans des environnements déconnectés qui exécutent Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 peuvent installer la mise à jour 2813430 pour recevoir cette mise à jour (pour plus d’informations , voir l’article de la Base de connaissances Microsoft 2813430 ).

Actions suggérées supplémentaires

• Protéger votre PC

  Nous continuons d’encourager les clients à suivre nos conseils protéger votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Pour plus d’informations, consultez Microsoft Safety & Security Center.

• Maintenir les logiciels Microsoft à jour

  Les utilisateurs exécutant des logiciels Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour s’assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, recherchez les mises à jour disponibles sur votre ordinateur et installez les mises à jour de priorité qui vous sont proposées. Si la mise à jour automatique est activée et configurée pour fournir des mises à jour pour les produits Microsoft, les mises à jour vous sont remises lorsqu’elles sont publiées, mais vous devez vérifier qu’elles sont installées.

Déploiement des mises à jour de sécurité

Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article 3097966 de la Base de connaissances Microsoft.

Autres informations

Commentaires

• Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, Contactez-nous par le service clientèle.

Support

• Les clients du États-Unis et du Canada peuvent bénéficier d’un support technique du support de sécurité. Pour plus d’informations, consultez Aide et support Microsoft.
• Les clients internationaux peuvent bénéficier d’un support de la part de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
• Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Clause d'exclusion de responsabilité

Les informations fournies dans le présent avis sont fournies « telles quelles » sans garantie d’aucune sorte. Microsoft rejette toutes les garanties, expresses ou implicites, y compris les garanties de qualité marchande et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne peuvent être tenus responsables de quelque dommage que ce soit, y compris les dommages directs, indirects, accessoires, consécutifs, la perte de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas s’appliquer.

Révisions

• V1.0 (24 septembre 2015) : Avis publié.
• V2.0 (13 octobre 2015) : Avis révisé pour informer les clients qu’une mise à jour est disponible qui modifie le composant Intégrité du code dans Windows afin d’étendre la suppression de l’approbation pour les quatre certificats numériques traités par cet avis afin d’empêcher également la signature de code en mode noyau.

Page générée 2015-11-16 08:35-08:00.