Sept. 2012

ANS de septembre, plus une annonce importante concernant les certificats

 

Alors que nous préparons les deux mises à jour de sécurité prévues pour septembre, nous nous permettons de vous rappeler un changement important concernant les exigences en termes de certificat de Windows qui avait été mentionné dans l'Avis de sécurité 2661254 (Mise à jour concernant la longueur minimale pour les clés de certificat). En juin, nous avons commencé à communiquer autour de ce changement, qui aura pour effet d'améliorer la sécurité sur l'ensemble de la plate-forme Windows en portant la longueur de clé RSA minimale des certificats utilisés dans les infrastructures à clé publique (PKI) à 1024 bits. En renforçant les exigences en termes de certificat, dans le cadre de notre mission visant à évaluer les efforts de Microsoft en matière de sécurité et à introduire des améliorations, nous souhaitons contribuer à rendre Internet plus fiable et plus sûr, pour tous les utilisateurs.

 

Comme beaucoup d'entre vous le savent déjà, l'Avis de sécurité 2661254 a été diffusé pour la première fois en août par le Centre de téléchargement et le Catalogue Microsoft Update, sa distribution via Windows Update étant prévue pour octobre 2012. Pour faire en sorte que tous les clients soient prêts pour la mise à jour, nous faisons aujourd'hui une nouvelle annonce avant de publier ce changement en termes d'exigence dans le cadre de nos bulletins mensuels d'octobre. 9. Bien que de nombreux utilisateurs aient déjà cessé d'utiliser ces certificats, les clients pourront profiter de l'occasion pour revoir l'inventaire de leurs ressources, notamment pour ce qui est des systèmes et applications qui sont restés en place bien qu'ils ne soient plus utilisés au motif qu'ils « fonctionnaient toujours » et n'ont nécessité aucun travail depuis un certain temps.

 

Pour ceux qui utiliseraient encore des certificats dont la clé RSA a une longueur inférieure à 1024 bits, les certificats en question devront être réémis avec une longueur d'au moins 1024 bits. (Cette valeur de 1024 bits doit être considérée comme un strict minimum, les pratiques les plus récentes en matière de sécurité recommandant une longueur de 2048 bits, voire plus.) Nous vous recommandons d'évaluer vos environnements sur la base des informations fournies dans l'Avis de sécurité 2661254 et de faire en sorte que votre entreprise soit informée et prête à résoudre tout problème connu avant le mois d'octobre.

 

Parmi les problèmes connus susceptibles d'affecter les clients après cette mise à jour, citons :

  • ·         Des messages d'erreur lors de la navigation sur des sites Web utilisant des certificats SLL avec des clés d'une longueur inférieure à 1024 bits
  • ·         Des difficultés lors de l'inscription à des certificats lorsqu'une demande de certificat tente d'utiliser une clé d'une longueur inférieure à 1024 bits
  • ·         Des difficultés lors de la création ou de l'exploitation de messages électroniques (S/MIME) utilisant des clés d'une longueur inférieure à 1024 bits pour les signatures ou le chiffrement
  • ·         Des difficultés lors de l'installation de contrôles Active X ayant été signés avec des signatures d'une longueur inférieure à 1024 bits
  • ·         Des difficultés lors de l'installation d'applications ayant été signées avec des signatures d'une longueur inférieure à 1024 bits (sauf si elles ont été signées avant le 1er janvier 2010, car il n'y aura pas de blocage par défaut avant cette date)

 

Nous recherchons constamment des moyens d'améliorer la sécurité de l'entreprise, en interne mais aussi via une collaboration à l'échelle du secteur, dans un effort permanent visant à protéger les utilisateurs des menaces, connues ou non. Cette exigence de mise à jour de la longueur des clés de certificat constitue une mesure supplémentaire pour une protection totale et permettra de renforcer l'écosystème Windows.

 

Passons maintenant au Préavis des Bulletins de sécurité de septembre. Traditionnellement, le mois de septembre est assez calme pour ce qui est des mises à jour de sécurité ; toutefois, nous avons ce mois-ci deux bulletins de niveau Important visant à résoudre deux problèmes dans Visual Studio Team Foundation Server et System Center Configuration Manager. Comme toujours, la publication des bulletins est prévue pour le deuxième mardi du mois, soit le 11 septembre 2012, aux alentours de 10h00 PDT.

 

Pour accéder aux informations les plus récentes, vous pouvez également suivre l'équipe MSRC sur Twitter à l'adresse @MSFTSecResponse.

 

Merci,
Angela Gunn,

Senior Response Communications Manager
Microsoft Trustworthy Computing