Les vulnérabilités liées à l'implémentation des protocoles Secure Sockets Layer (SSL) et Transport Layer Security (TLS) font l'objet de nombreuses découvertes, ces temps-ci. Ainsi pour la seule année 2014, il y a eu les affaires Goto Fail, Heartbleed et Poodle, mais aussi des alertes moins médiatisées – mais tout aussi graves – concernant la librairie GnuTLS sous Linux et OpenSSL.
La dernière alerte en date a été émise cette semaine par Microsoft. L'entreprise américaine a en effet découvert une faille dans l'implémentation des protocoles SSL / TLS qui affecte les dernières versions de son système d'exploitation. Jugée critique par l'éditeur, elle pourrait permettre à une personne mal intentionnée d'exécuter du code arbitraire à distance.
Pour assurer la confidentialité et l'intégrité des échanges de données sur le web, les sites et les applications utilisent les surcouches SSL ou TLS pour chiffrer les communications et les rendre illisibles en cas d'interception. Cependant, pour cette protection est efficace à condition que ces protocoles soient correctement déployés. L'histoire récente a montré que ce n'était pas toujours le cas.
Signe de son importance, cette vulnérabilité a fait l'objet d'une alerte publiée par le centre français de veille, d'alerte et de réponse aux attaques informatiques, qui est géré par l'agence nationale de la sécurité des systèmes d'information (ANSSI).
Dans son bulletin initial publié mardi, Microsoft indiquait n'avoir trouvé aucune solution permettant d'atténuer la gravité de cette brèche ou d'y échapper. Cependant, un correctif (MS14-066) est apparu sur Windows Update. Il concerne toutes les versions de Windows Vista, 7, 8, 8.1, RT, RT 8.1 mais aussi les versions Windows Server 2003, 2008, 2008 R2, 2012 et 2012 R2.
Windows XP et les systèmes d'exploitation antérieurs à Vista ne sont pas mentionnés dans le bulletin de Microsoft. Est-ce à dire qu'ils sont immunisés ? Probablement que non. Cependant, Microsoft ne s'occupe plus officiellement de leur maintenance, dans la mesure où leur période de support s'est achevée. Même si la faille est confirmée, aucun correctif ne devrait donc être proposé.
L'application de ce correctif est bien sûr évidemment recommandée.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !