MD5 : Microsoft sonne l'hallali - Actualités RT Terminaux et Systèmes

MD5 : Microsoft sonne l'hallali

le 19/08/2013, par Véronique Arène avec IDG News Service, Terminaux et Systèmes, 503 mots

Des mises à jour de sécurité optionnelles pour Windows limitent l'utilisation des certificats basés sur MD5 et améliore l'authentification au niveau du réseau (RDP).

MD5 : Microsoft sonne l'hallali

Microsoft a publié deux mises à jour de sécurité optionnelles pour bloquer les certificats qui utilisent l'algorithme de hachage MD5 et améliorer l'authentification au niveau du réseau pour le protocole RDP (Remote Desktop Protocol). Ces deux mises à jour sont séparées des patchs de sécurité importants annoncés cette semaine pour Internet Explorer, Windows et Exchange Server, et ne sont pas encore accessibles via le mécanisme Windows Update.

La première, KB2862973, bloque les certificats utilisant les signatures MD5. La fonction de hachage cryptographique MD5 a longtemps été considérée comme peu sûre pour une utilisation dans les certificats SSL et les signatures numériques. En 2008, une équipe de chercheurs en sécurité avait fait la démonstration d'une attaque  impliquant l'exploitation d'une faille MD5 connue pour générer un faux certificat CA, reconnu par tous les navigateurs. Suit à cette attaque, l'Autorité de certification a accéléré l'élimination progressive des certificats basés sur MD5 et ces derniers ne sont plus émis aujourd'hui. Cependant, certains anciens certificats MD5 qui n'ont pas encore expiré pourraient encore être en cours d'utilisation et il existe également d'anciens programmes qui sont numériquement signés avec ces certificats non sécurisés.

« L'utilisation de l'algorithme de hachage MD5 dans les certificats pourrait permettre à un attaquant d'usurper du contenu, d'effectuer des attaques de phishing, ou de « Man-in-the-middle (intermédiaire) », a prévenu Microsoft dans une alerte de sécurité accompagnant la mise à jour KB2862973.

Des exceptions à cette restriction

Pour l'instant, cette mise à jour est disponible de façon optionnelle sur le centre de téléchargement de l'éditeur (DLC) pour les éditions tournant sous Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 et également Windows RT, mais il est prévu de fournir la mise à jour dans Windows Update le 11 février 2014. Il y a quelques exceptions à la restriction apportée par cette mise à jour. Parmi celles-ci, Microsoft va encore permettre à des fichiers binaires qui ont été signés avant mars 2009 avec des certificats basé sur MD5 de fonctionner. La société va également permettre à 4 certificats de VeriSign CA (maintenant détenue par Symantec) spécifiés dans le temps de fonctionner, ainsi qu'à tous les codes des certificats de signature qui renvoient à un certificat spécifique de Microsoft et à l'un de GeoTrust, également filiale de Symantec.

La seconde mise à jour, KB2861855, améliore la méthode d'authentification au niveau du réseau (NLA) dans le RDP. Le NLA exige que les utilisateurs soient authentifiés RDP à un serveur RDP avant qu'une connexion de bureau à distance soit établie et que l'écran d'identification ne s'affiche.

Cette update ajoute plusieurs couches de défense - appelées mesures de défense en profondeur - à la technologie NLA afin d'empêcher les attaquants de compromettre sa sécurité, a précisé Microsoft dans son bulletin d'alerte.  Elle est disponible à partir du Centre de téléchargement de Microsoft et sur Microsoft Update Catalog pour toutes les versions  tournant sous Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.

 

BlackBerry envisage de céder son activité messagerie

Le 12 août dernier, BlackBerry annonçait la création d'un comité spécial pour trouver une stratégie de survie. Vente 

le 28/08/2013, par D.B., 125 mots

Le clavier reste exigé avec les tablettes tactiles

Selon le cabinet Forrester, deux tiers des professionnels veulent un vrai clavier avec leurs tablettes tactiles. La tablette tactile comporte normalement un clavier virtuel sur l'écran lorsqu'il est nécessaire...

le 26/08/2013, par Bertrand LEMAIRE, 207 mots

Smartphone sous Ubuntu : échec du financement du projet

La campagne de levée de fonds pour produire le smartphone Edge sous Ubuntu n'a pas abouti Canonical n'a pu réunir que 13 millions de dollars auprès des internautes alors qu'il  comptait sur 32 millions de...

le 23/08/2013, par Véronique Arène avec IDG News Service, 339 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »