MD5 : Microsoft sonne l'hallali
Des mises à jour de sécurité optionnelles pour Windows limitent l'utilisation des certificats basés sur MD5 et améliore l'authentification au niveau du réseau (RDP).
Microsoft a publié deux mises à jour de sécurité optionnelles pour bloquer les certificats qui utilisent l'algorithme de hachage MD5 et améliorer l'authentification au niveau du réseau pour le protocole RDP (Remote Desktop Protocol). Ces deux mises à jour sont séparées des patchs de sécurité importants annoncés cette semaine pour Internet Explorer, Windows et Exchange Server, et ne sont pas encore accessibles via le mécanisme Windows Update.
La première, KB2862973, bloque les certificats utilisant les signatures MD5. La fonction de hachage cryptographique MD5 a longtemps été considérée comme peu sûre pour une utilisation dans les certificats SSL et les signatures numériques. En 2008, une équipe de chercheurs en sécurité avait fait la démonstration d'une attaque impliquant l'exploitation d'une faille MD5 connue pour générer un faux certificat CA, reconnu par tous les navigateurs. Suit à cette attaque, l'Autorité de certification a accéléré l'élimination progressive des certificats basés sur MD5 et ces derniers ne sont plus émis aujourd'hui. Cependant, certains anciens certificats MD5 qui n'ont pas encore expiré pourraient encore être en cours d'utilisation et il existe également d'anciens programmes qui sont numériquement signés avec ces certificats non sécurisés.
« L'utilisation de l'algorithme de hachage MD5 dans les certificats pourrait permettre à un attaquant d'usurper du contenu, d'effectuer des attaques de phishing, ou de « Man-in-the-middle (intermédiaire) », a prévenu Microsoft dans une alerte de sécurité accompagnant la mise à jour KB2862973.
Des exceptions à cette restriction
Pour l'instant, cette mise à jour est disponible de façon optionnelle sur le centre de téléchargement de l'éditeur (DLC) pour les éditions tournant sous Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 et également Windows RT, mais il est prévu de fournir la mise à jour dans Windows Update le 11 février 2014. Il y a quelques exceptions à la restriction apportée par cette mise à jour. Parmi celles-ci, Microsoft va encore permettre à des fichiers binaires qui ont été signés avant mars 2009 avec des certificats basé sur MD5 de fonctionner. La société va également permettre à 4 certificats de VeriSign CA (maintenant détenue par Symantec) spécifiés dans le temps de fonctionner, ainsi qu'à tous les codes des certificats de signature qui renvoient à un certificat spécifique de Microsoft et à l'un de GeoTrust, également filiale de Symantec.
La seconde mise à jour, KB2861855, améliore la méthode d'authentification au niveau du réseau (NLA) dans le RDP. Le NLA exige que les utilisateurs soient authentifiés RDP à un serveur RDP avant qu'une connexion de bureau à distance soit établie et que l'écran d'identification ne s'affiche.
Cette update ajoute plusieurs couches de défense - appelées mesures de défense en profondeur - à la technologie NLA afin d'empêcher les attaquants de compromettre sa sécurité, a précisé Microsoft dans son bulletin d'alerte. Elle est disponible à partir du Centre de téléchargement de Microsoft et sur Microsoft Update Catalog pour toutes les versions tournant sous Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.