IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Faille SSL/TLS : Microsoft publie des correctifs et recommandations
L'algorithme de chiffrement RC4 est préconisé

Le , par Idelways
1 commentaire

169PARTAGES

3  1 
BEAST mobilise les éditeurs de solutions logicielles. Après Google, c'est au tour de Microsoft de proposer recommandations et solutions pour la faille critique de sécurité du protocole SSL 3.0, présente sur son premier successeur TLS 1.0.

Microsoft s'était contenté jusqu'à aujourd'hui de recommander le passage pur et simple à TLS 1.1.

Dans un bulletin de sécurité, l'entreprise propose maintenant à ceux qui doivent faire avec les versions vulnérables d'utiliser l'algorithme de chiffrement de flux RC4.
Ce dernier serait d'après Microsoft non vulnérable à l'attaque par récupération de texte clair, pressenti depuis longtemps, et enfin matérialisé, PoC à la clé la semaine passée.

Une faille qui, rappelons-le, affecte le mode d'opération d'enchaînement des blocs (Cipher Block Chaining, CBC), utilisé en combinaison avec le standard de chiffrement avancé AES.

Pour substituer l'algorithme RC4 à AES, Microsoft recommande de modifier les priorités des suites de chiffrement, et de déplacer en haut de la liste les suites semblables à TLS_RSA_WITH_RC4_128_SHA.

Il convient de signaler que cette nouvelle réorganisation ne forcera pas l'utilisation de cet algorithme. Elle ne fait que le proposer en premier aux clients qui le supportent. Les risques demeurent donc intacts pour les autres.

Microsoft publie par ailleurs deux correctifs pour mettre fin au règne du TLS 1.0 sur ses produits. Sur Internet Explorer, seul TLS 1.0 est activé par défaut bien que le navigateur supporte les versions 1.1 et 1.2.

Le premier correctif y remédie, sachant que tout utilisateur peut inverser la donne sans patch, en allant simplement sur l'onglet Avancé des « Options internet ».

Le deuxième correctif s'adresse quant à lui aux éditions Serveur de Windows. Il peut être appliqué manuellement, mais implique des manipulations délicates de la base de registres et de changer quelques clés de Secure Channel (schannel).

L'équipe de développement de Firefox peine quant à elle depuis des mois à trouver une solution à ce problème. Le panda roux ne supporte que SSL 3.0 et TLS 1.0, soit uniquement les versions vulnérables. Thai Duong, l'un des découvreurs de la faille, affirme qu'elle peut y être exploitée sur Websockets et les Applets Java.

Les instructions pour appliquer ces recommandations sont disponibles sur cette page
Télécharger les correctifs

Source : Microsoft Technet

Et vous ?

Que pensez-vous des solutions proposées par Microsoft ?

Une erreur dans cette actualité ? Signalez-nous-la !

1 commentaire
Commenter Signaler un problème
Flaburgan
Avatar de Flaburgan
Modérateur https://www.developpez.com
Le 28/09/2011 à 13:35
Citation Envoyé par Idelways Voir le message
L'équipe de développement de Firefox peine quant à elle depuis des mois à trouver une solution à ce problème.
Pourquoi ne pas faire comme les autres et gérer TLS 1.1 et 1.2 ?
1  0