Sécurité : Microsoft corrige une faille critique

Cloud

Une nouvelle faille de sécurité permet de pirater les certificats numériques, ce qui permettrait à un hacker de détourner une transaction que le système croit pourtant sécurisée. Mais aussi d’envoyer de faux e-mails en certifiant l’identité du correspondant. Toutes les versions de Windows sont touchées ainsi que les logiciels Microsoft pour Mac. Les correctifs arrivent au compte-gouttes.

Vous croyiez avoir sécurisé votre ordinateur avec le dernier patch de Microsoft ? Il va falloir recommencer. L’éditeur nous informe d’une nouvelle faille de sécurité (référence MS02-050) jugée « critique » et, comme la précédente (référence MS02-048, voir édition du 30 août 2002), liée à l’authentification des certificats numériques.

Cette fois, la faille ne réside pas dans un contrôle ActiveX qui permet de supprimer les certificats d’une machine mais concerne le piratage du certificat lui-même. Le protocole x.509 de l’IETF (qui définit les spécifications d’implémentation des certificats) autorise l’emploi de champs optionnels. L’un deux s’intitule le « Basic Constraints ». Il permet notamment d’indiquer la longueur maximale d’une chaîne de caractères et d’approuver la validité du certificat (notamment de vérifier s’il provient d’une société de certification ou non). Or, l’API CryptoAPI qui construit et valide les chaînes de caractères en question ne vérifie pas le champs Basic Constraints. Exploité de façon malveillante, ce champs permet de construire un faux certificat (ou un certificat détourné), lequel sera pourtant considéré comme authentique par le système (OS, logiciel, etc.).

Autrement dit, si un pirate parvient à attirer un utilisateur sur un faux site marchand, par exemple, il peut lui faire croire que le paiement effectué est en mode sécurisé et certifié par le marchand (mode SSL). Le consommateur n’aura quasiment aucun moyen de constater que son paiement en ligne (notamment l’envoi du n° de carte bancaire) ne s’adresse pas au site marchand sur lequel il croit avoir effectué sa commande mais bien vers le serveur de la personne malintentionnée. La faille de sécurité peut également servir à usurper l’identité d’un correspondant. Autre risque, un faux certificat numérique pourra abuser l’utilisateur sur l’identité d’un expéditeur, dans le cadre d’un e-mail crypté par exemple (le fameux spoofing d’e-mail). De la même façon, grâce à un certificat numérique falsifié, le hacker pourra se faire passer pour une personne issue d’un tiers de confiance et pénétrer en toute impunité sur la machine de l’utilisateur en lui faisant télécharger un logiciel de prise de contrôle à distance. Certes, l’utilisateur peut éditer le contenu du certificat et le vérifier visuellement. Encore faut-il savoir ce qu’il doit contenir ou non, et avoir le temps de se plonger dedans.

Les applications Microsoft pour Mac également concernées

Cette nouvelle faille touche toutes les versions de Windows car l’API CryptoAPI est liée au système. Mais aussi des logiciels pour l’univers Macintosh d’Apple (Office, Internet Explorer et Outlook Express) qui sont livrés avec leur version propre de CryptoAPI. Cependant, les applications qui n’exploitent pas l’API échappent évidemment à la faille. C’est a priori le cas de Netscape et Mozilla qui gèrent eux-mêmes la vérification des champs. En revanche, Opera serait concerné, selon un porte-parole de Microsoft France. Quoi qu’il en soit, et même si la faille n’est pas exploitable par le premier venu, il est vivement conseillé de mettre à jour son système. A ce jour, seuls les correctifs pour Windows 9x/NT4/XP sont disponibles. Les correctifs pour Windows 2000 et les applications Mac seront livrés prochainement.