Passer au contenu

Sécurité : Microsoft corrige une faille qui touche tous les Windows existants

Le géant américain a échappé à son Heartbleed sur mesure ! La firme de Redmond vient de publier un correctif pour une faille critique qui touche potentiellement toutes les version de Windows.

Ils ne mourraient pas tous, mais tous étaient frappés ! ». Jean de la Fontaine s’y connaissait certainement assez peu en sécurité informatique, pour autant sa célèbre formule s’applique parfaitement à la faille critique qui a frappé virtuellement tous les Windows existants… et qui vient d’être à la fois dévoilée et corrigée par Microsoft. Si les risques pour les systèmes d’exploitation grand public existent, ils ne sont en rien comparables à celui que courent les éditions pour serveurs.

Un Heartbleed sous Windows

Cette vulnérabilité touche le secure channel ou SChannel de Microsoft, soit le composant qui implémente les protocoles SSL et TLS dans Windows – si vous pensez à Heartbleed, la faille qui a touché le monde Unix, vous êtes dans le vrai, car il y a en termes de potentiel dévastateur une très forte similitude.

Les experts en sécurité de Microsoft (ou ceux qui ont communiqué son existence à la société américaine) ont déterminé que le secure channel n’arrive pas à filtrer certains paquets particuliers, ce qui permettrait à des attaquants d’exécuter le code qu’ils souhaitent en envoyant du trafic sur tous les serveurs fonctionnant sous Windows et qui ne seraient pas mis à jour avec le correctif qui vient d’être publié.

Une faille pour tous

La faille est qualifiée de critique par Microsoft, pour toutes les versions de Windows, clients et serveurs, sans distinction. Car pour que les machines particulières soient des cibles potentielles, il suffit qu’elles acceptent des connexions chiffrées et qu’elles « écoutent » certains ports dédiés au trafic Internet. Ainsi, il suffit d’avoir un serveur FTP ou Web opérationnel sur son ordinateur pour être exposé. Les quelques geeks qui utilisent par exemple un ordi sous Windows comme serveur domestique… peuvent donc se sentir concernés.

La sécurité ébranlée

L’année 2014 a été une année noire pour les protocoles de sécurisation de connexions. Les principales piles TLS ont été touchées par des failles conséquentes, qu’il s’agisse de NSS, Apple SecureTransport, GNUTLS, OpenSSL, donc, et maintenant SChannel.
Il est désormais essentiel que les administrateurs de serveurs sous Windows mettent à jour leur OS. Heartbleed, faille d’OpenSSL qui a frappé le Web en avril dernier, avait été exploitée contre Yahoo! en moins de douze heures après sa découverte.

A lire aussi :
Arrestation du premier « Heartbleed hacker »
– 17/04/2014

Source :
Microsoft

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre Fontaine