Microsoft a diffusé une alerte concernant une vulnérabilité détectée dans l'implémentation des protocoles SSL / TLS, qui servent à chiffrer les communications en ligne. La majorité des systèmes d'exploitation de l'entreprise américaine est concernée, incluant Windows Vista, Windows 7 et Windows 8.

Les vulnérabilités liées à l'implémentation des protocoles Secure Sockets Layer (SSL) et Transport Layer Security (TLS) font l'objet de nombreuses découvertes, ces temps-ci. Ainsi pour la seule année 2014, il y a eu les affaires Goto Fail, Heartbleed et Poodle, mais aussi des alertes moins médiatisées – mais tout aussi graves – concernant la librairie GnuTLS sous Linux et OpenSSL.

La dernière alerte en date a été émise cette semaine par Microsoft. L'entreprise américaine a en effet découvert une faille dans l'implémentation des protocoles SSL / TLS qui affecte les dernières versions de son système d'exploitation. Jugée critique par l'éditeur, elle pourrait permettre à une personne mal intentionnée d'exécuter du code arbitraire à distance.

Pour assurer la confidentialité et l'intégrité des échanges de données sur le web, les sites et les applications utilisent les surcouches SSL ou TLS pour chiffrer les communications et les rendre illisibles en cas d'interception. Cependant, pour cette protection est efficace à condition que ces protocoles soient correctement déployés. L'histoire récente a montré que ce n'était pas toujours le cas.

Signe de son importance, cette vulnérabilité a fait l'objet d'une alerte publiée par le centre français de veille, d'alerte et de réponse aux attaques informatiques, qui est géré par l'agence nationale de la sécurité des systèmes d'information (ANSSI).

Dans son bulletin initial publié mardi, Microsoft indiquait n'avoir trouvé aucune solution permettant d'atténuer la gravité de cette brèche ou d'y échapper. Cependant, un correctif (MS14-066) est apparu sur Windows Update. Il concerne toutes les versions de Windows Vista, 7, 8, 8.1, RT, RT 8.1 mais aussi les versions Windows Server 2003, 2008, 2008 R2, 2012 et 2012 R2.

Windows XP et les systèmes d'exploitation antérieurs à Vista ne sont pas mentionnés dans le bulletin de Microsoft. Est-ce à dire qu'ils sont immunisés ? Probablement que non. Cependant, Microsoft ne s'occupe plus officiellement de leur maintenance, dans la mesure où leur période de support s'est achevée. Même si la faille est confirmée, aucun correctif ne devrait donc être proposé.

L'application de ce correctif est bien sûr évidemment recommandée.

Partager sur les réseaux sociaux

Articles liés