Developpez.com

Une très vaste base de connaissances en informatique avec
plus de 100 FAQ et 10 000 réponses à vos questions

Faille SSL/TLS : Microsoft publie des correctifs et recommandations
L'algorithme de chiffrement RC4 est préconisé

Le , par Idelways, Expert éminent sénior
BEAST mobilise les éditeurs de solutions logicielles. Après Google, c'est au tour de Microsoft de proposer recommandations et solutions pour la faille critique de sécurité du protocole SSL 3.0, présente sur son premier successeur TLS 1.0.

Microsoft s'était contenté jusqu'à aujourd'hui de recommander le passage pur et simple à TLS 1.1.

Dans un bulletin de sécurité, l'entreprise propose maintenant à ceux qui doivent faire avec les versions vulnérables d'utiliser l'algorithme de chiffrement de flux RC4.
Ce dernier serait d'après Microsoft non vulnérable à l'attaque par récupération de texte clair, pressenti depuis longtemps, et enfin matérialisé, PoC à la clé la semaine passée.

Une faille qui, rappelons-le, affecte le mode d'opération d'enchaînement des blocs (Cipher Block Chaining, CBC), utilisé en combinaison avec le standard de chiffrement avancé AES.

Pour substituer l'algorithme RC4 à AES, Microsoft recommande de modifier les priorités des suites de chiffrement, et de déplacer en haut de la liste les suites semblables à TLS_RSA_WITH_RC4_128_SHA.

Il convient de signaler que cette nouvelle réorganisation ne forcera pas l'utilisation de cet algorithme. Elle ne fait que le proposer en premier aux clients qui le supportent. Les risques demeurent donc intacts pour les autres.

Microsoft publie par ailleurs deux correctifs pour mettre fin au règne du TLS 1.0 sur ses produits. Sur Internet Explorer, seul TLS 1.0 est activé par défaut bien que le navigateur supporte les versions 1.1 et 1.2.

Le premier correctif y remédie, sachant que tout utilisateur peut inverser la donne sans patch, en allant simplement sur l'onglet Avancé des « Options internet ».

Le deuxième correctif s'adresse quant à lui aux éditions Serveur de Windows. Il peut être appliqué manuellement, mais implique des manipulations délicates de la base de registres et de changer quelques clés de Secure Channel (schannel).

L'équipe de développement de Firefox peine quant à elle depuis des mois à trouver une solution à ce problème. Le panda roux ne supporte que SSL 3.0 et TLS 1.0, soit uniquement les versions vulnérables. Thai Duong, l'un des découvreurs de la faille, affirme qu'elle peut y être exploitée sur Websockets et les Applets Java.

Les instructions pour appliquer ces recommandations sont disponibles sur cette page
Télécharger les correctifs

Source : Microsoft Technet

Et vous ?

Que pensez-vous des solutions proposées par Microsoft ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Flaburgan Flaburgan - Modérateur https://www.developpez.com
le 28/09/2011 à 13:35
Citation Envoyé par Idelways  Voir le message
L'équipe de développement de Firefox peine quant à elle depuis des mois à trouver une solution à ce problème.

Pourquoi ne pas faire comme les autres et gérer TLS 1.1 et 1.2 ?
Offres d'emploi IT
Développeur magento
TREPIA - Ile de France - Paris (75000)
Architecte technique h/f
Sogeti - Pays de la Loire - Rennes (35000)
Ingénieur(e) responsable systèmes radar et IFF H/F
DCNS - Provence Alpes Côte d'Azur - Toulon (83000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil