Haro sur les certificats numériques sous Windows !
Toutes les versions de Windows sont touchées par une faille critique de sécurité située dans le contrôle ActiveX qui permet l’enregistrement sur un disque dur des certificats numériques en provenance du Web. Le risque va de la destruction des certificats jusqu’à la corruption des données qu’ils contiennent. Correctif à appliquer d’urgence.
Critique ! Tel est le qualificatif que Microsoft attribue à une nouvelle faille (référence MSO2-048) de sécurité qui touche toutes les versions de Windows à partir de 98 jusqu’à XP (y compris la version 64 bits) en passant par Me, NT/2000 et le navigateur Internet Explorer à partir de la version 5. Cette faille touche les certificats numériques indispensables aux transactions sécurisées (paiement en ligne, cryptage de courrier, certification d’identité, signature électronique, etc.). Le risque est de voir une personne malveillante supprimer les certificats stockés sur le disque dur de l’utilisateur afin de lui subtiliser des données personnelles confidentielles (n° de carte de paiement, notamment) ou d’abuser de sa confiance.
Concrètement, Windows dispose d’un contrôle ActiveX (le Certificate Enrollment Control) qui autorise l’enregistrement de certificats provenant d’un site Web. C’est cet ActiveX qui est exploité notamment lors de l’installation d’un logiciel qui identifie son expéditeur et soumet l’enregistrement à l’autorisation de l’utilisateur (les plug-ins Flash de Macromedia, par exemple). La faille se situe au niveau même du contrôle ActiveX. La faille ne permet pas, a priori, de s’emparer des certificats de l’utilisateur. Mais l’intrus peut les détruire (compliquant ainsi considérablement la vie de l’internaute qui se demandera bien pourquoi il ne parvient pas à passer en mode sécurisé SSL pour payer en ligne), voire corrompre les données qu’ils contiennent, dont les clés de chiffrement des e-mails. Ne plus pouvoir lire ses e-mails peut s’avérer extrêmement ennuyeux. Cela dit, une bien faible proportion des internautes crypte ses e-mails aujourd’hui.
Télécharger le correctif… ou changer de butineur
Pour exploiter la faille, le pirate doit amener l’internaute sur une page HTML dont le code contient un ActiveX piégé. Outre le site Web à ne surtout pas visiter, l’attaquant peut espérer piéger sa victime en lui envoyant un e-mail au format HTML. Le seul moyen de se prémunir contre ce risque est de désactiver les contrôles ActiveX (Outils >Options >Internet >Sécurité >Personnaliser le niveau, puis cocher Désactiver les ActiveX). Mais nombre de fonctionnalités, dont la lecture des fichiers Flash, disparaîtront. On peut également, plus simplement, télécharger le correctif que Microsoft a mis en ligne jeudi 29 août. Ou encore utiliser un autre navigateur qu’IE qui, par défaut, n’exploitera pas les ActiveX.