14 juin 2012

Réponse à Flame : Changement de gestion des certificats SSL chez Microsoft

Pour le mois de juin, Microsoft a annoncé que la mise à jour mensuelle pour la sécurité, aussi connue sous le nom de « Patch Tuesday », inclura un changement de la gestion des certificats sous Windows.

Réaction vive de Microsoft après l'attaque Flame


Il semble que la découverte du virus Flame, qui a utilisé des faux certificats Microsoft pour piéger Windows, ne soit pas sans lien avec cette modification. Elle va, en effet, clairement  augmenter la sécurité, afin de prévenir ce genre d’attaque pour le futur. Dans les prochains jours, nous observerons un impact certain et non négligeable sur les entreprises et les fournisseurs de logiciels qui utilisent Microsoft PKI dans le cadre leur authentification et pour la distribution de logiciels ; surtout si elles n'ont pas suivi les bonnes pratiques et recommandations associées à l’utilisation et l’installation des certificats dans le passé.


La liste des certificats SSL non fiables enfin automatisée


En effet, d’après la déclaration d'Angela Gunn, porte parole de Microsoft Trustworthy Computing, Windows 7 et Windows Vista seront dorénavant équipés d’un système d’identification des certificats répertoriés dans une liste de « Disallowed Certificate Trust List » (traduire Certificats non fiables rejetés)  gérée par Microsoft. Cette liste quotidiennement mise à jour contiendra les certificats connus pour avoir été volés ou contrefaits.
Précédemment, la liste des certificats non fiables devait être rafraîchie manuellement. L’automatisation est donc une nouveauté qui va donner toute sa puissance à la mise à jour de la marque.


Le renforcement de la sécurité ne fait que commencer


Microsoft a profité de cette déclaration pour ajouter que très prochainement, davantage de certificats seront marqués comme invalides, si ils ne répondent pas aux normes de sécurité :
  •       Les certificats SSL ayant expirés
  •        Les certificats SSL avec une clé RSA inférieure à 1024 bits, à ce sujet la porte parole de la marque précise que « (…) même émis par une autorité de certification reconnue, et non expirés, ces certificats seront sans exception marqués comme non fiables. »

N'hésitez pas à partager vos retours sur les impacts de ces mises à jours !

Aucun commentaire:

Enregistrer un commentaire