Vous croyiez avoir sécurisé votre ordinateur avec le dernier patch de Microsoft ? Il va falloir recommencer. L’éditeur nous informe d’une nouvelle faille de sécurité (référence MS02-050) jugée « critique » et, comme la précédente (référence MS02-048, voir édition du 30 août 2002), liée à l’authentification des certificats numériques.
Cette fois, la faille ne réside pas dans un contrôle ActiveX qui permet de supprimer les certificats d’une machine mais concerne le piratage du certificat lui-même. Le protocole x.509 de l’IETF (qui définit les spécifications d’implémentation des certificats) autorise l’emploi de champs optionnels. L’un deux s’intitule le « Basic Constraints ». Il permet notamment d’indiquer la longueur maximale d’une chaîne de caractères et d’approuver la validité du certificat (notamment de vérifier s’il provient d’une société de certification ou non). Or, l’API CryptoAPI qui construit et valide les chaînes de caractères en question ne vérifie pas le champs Basic Constraints. Exploité de façon malveillante, ce champs permet de construire un faux certificat (ou un certificat détourné), lequel sera pourtant considéré comme authentique par le système (OS, logiciel, etc.).
Autrement dit, si un pirate parvient à attirer un utilisateur sur un faux site marchand, par exemple, il peut lui faire croire que le paiement effectué est en mode sécurisé et certifié par le marchand (mode SSL). Le consommateur n’aura quasiment aucun moyen de constater que son paiement en ligne (notamment l’envoi du n° de carte bancaire) ne s’adresse pas au site marchand sur lequel il croit avoir effectué sa commande mais bien vers le serveur de la personne malintentionnée. La faille de sécurité peut également servir à usurper l’identité d’un correspondant. Autre risque, un faux certificat numérique pourra abuser l’utilisateur sur l’identité d’un expéditeur, dans le cadre d’un e-mail crypté par exemple (le fameux spoofing d’e-mail). De la même façon, grâce à un certificat numérique falsifié, le hacker pourra se faire passer pour une personne issue d’un tiers de confiance et pénétrer en toute impunité sur la machine de l’utilisateur en lui faisant télécharger un logiciel de prise de contrôle à distance. Certes, l’utilisateur peut éditer le contenu du certificat et le vérifier visuellement. Encore faut-il savoir ce qu’il doit contenir ou non, et avoir le temps de se plonger dedans.
Les applications Microsoft pour Mac également concernées
Cette nouvelle faille touche toutes les versions de Windows car l’API CryptoAPI est liée au système. Mais aussi des logiciels pour l’univers Macintosh d’Apple (Office, Internet Explorer et Outlook Express) qui sont livrés avec leur version propre de CryptoAPI. Cependant, les applications qui n’exploitent pas l’API échappent évidemment à la faille. C’est a priori le cas de Netscape et Mozilla qui gèrent eux-mêmes la vérification des champs. En revanche, Opera serait concerné, selon un porte-parole de Microsoft France. Quoi qu’il en soit, et même si la faille n’est pas exploitable par le premier venu, il est vivement conseillé de mettre à jour son système. A ce jour, seuls les correctifs pour Windows 9x/NT4/XP sont disponibles. Les correctifs pour Windows 2000 et les applications Mac seront livrés prochainement.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…