Windows : Microsoft alerte les utilisateurs sur un certificat SSL irrégulièrement émis
Des mesures ont été prises pour protéger les systèmes vulnérables


La firme de Redmond a publié un avis de sécurité pour alerter les utilisateurs de Windows de l'émission irrégulière d'un certificat SSL pour l'un de ses domaines Windows Live, « live.fi ».

Les certificats SSL permettent de chiffrer les données entre vos appareils et le serveur hôte. Un certificat délivré frauduleusement signifierait donc qu'un tiers pourrait intercepter et manipuler vos données. C'est donc contre cette menace que Microsoft a mis en garde ses clients dans son avis de sécurité. Le certificat pourrait être utilisé pour « usurper le contenu, mener des attaques de phishing, ou mener des attaques man-in-the-middle, » la firme a-t-elle averti.

Le géant de l'IT a immédiatement révoqué le certificat qui affecte toutes les versions de Windows. Le certificat a été émis par Comodo - une société spécialisée dans la sécurité informatique - après qu'un tiers non autorisé ait réussi à enregistrer un compte de messagerie sur le domaine « live.fi » en utilisant un « nom d'utilisateur privilégié ». La personne aurait en fait utilisé une adresse email de type admin@, administrator@, postmaster@, hostmaster@ ou webmaster@ - généralement pas disponible pour le public - pour créer le certificat.

Fort heureusement, il y a eu plus de peur que de mal. Microsoft a déjà pris des mesures pour mettre à jour la liste de certificats de confiance (CTL) pour toutes les versions de Windows; et la plupart des systèmes affectés seront automatiquement pris en charge.

La société a en effet annoncé qu'une mise à jour automatique des certificats révoqués « est incluse dans les éditions de Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 et Windows Server 2012 R2, et pour les appareils fonctionnant sous Windows Phone 8 et Windows Phone 8.1 ». Ce qui signifie que « pour ces systèmes et dispositifs, les clients n'ont besoin d'entreprendre aucune action comme ces systèmes et dispositifs seront protégés automatiquement ».

De même, « pour les systèmes exécutant Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 qui utilisent la mise à jour automatique des certificats révoqués », a-t-elle ajouté, « les clients n'ont pas n'ont pas besoin de prendre une quelconque mesure. Ces systèmes seront automatiquement protégés. »

Les organisations qui exécutent Windows Server 2003 et tous ceux qui n'ont pas activé les mises à jour automatiques sur leurs appareils, n'ont pas non plus été oubliés. Microsoft a livré une mise à jour à installer manuellement pour révoquer le certificat irrégulièrement émis. La procédure d'installation manuelle de cette mise à jour est décrite sur le site de Microsoft.

Source: Microsoft Security TechCenter

Et vous ?

Que savez vous du processus d’émission des certificats de sécurité ? Qui peut émettre un certificat ? Et comment ?

Quels risques présente un certificat frauduleux ?