INTRODUCTION

Microsoft a publié le bulletin de sécurité MS12-006. Pour consulter la totalité du bulletin de sécurité, reportez-vous au site Web de Microsoft à l'une des adresses suivantes :

Procédure pour obtenir de l'aide et un support pour cette mise à jour de sécurité

Aide à l'installation des mises à jour : Support pour Microsoft UpdateSolutions de sécurité pour les professionnels de l'informatique : Résolution des problèmes de sécurité TechNet et supportAide pour la protection d'un ordinateur exécutant Windows contre les virus et les logiciels malveillants : Centre de sécurité et de solutions antivirusSupport local selon votre pays : Support international

Aidez-moi

Deux solutions de réparation sont disponibles.

  • Solution de réparation pour TLS (Transport Layer Security) 1.1 dans Internet Explorer : Cette solution active TLS 1.1 (qui n'est pas affecté par cette vulnérabilité) dans Windows Internet Explorer. La plupart des utilisateurs moyens doivent installer cette solution de réparation.

  • Solution de réparation pour TLS 1.1 sur des serveurs Windows : Cette solution active TLS 1.1, qui n'est pas affecté par cette vulnérabilité.

Les solutions de réparation décrites dans cette section ne doivent pas être utilisées en remplacement d'une mise à jour de sécurité. Nous vous recommandons de toujours installer les dernières mises à jour de sécurité. Nous proposons toutefois ces solutions pour contourner le problème dans certains cas. Pour plus d'informations sur les solutions de contournement, consultez le bulletin de sécurité MS12-006 :

http://technet.microsoft.com/fr-fr/security/bulletin/ms12-006 Le bulletin fournit des informations supplémentaires sur le problème et traite des éléments suivants :

  • Scénarios dans lesquels vous pouvez appliquer ou désactiver la solution de contournement

  • Facteurs atténuants

  • Solutions de contournement

  • Forum Aux Questions (FAQ)

Pour consulter ces informations, recherchez la section Informations sur les vulnérabilités, puis développez le paragraphe Solutions de contournement sous le paragraphe Vulnérabilité des protocoles SSL et TLS - CVE-2011-3389.

Solution de réparation pour TLS 1.1 sur Internet Explorer

Pour activer ou désactiver cette solution, cliquez sur le bouton Fix it ou sur le lien sous l'en-tête Activer ou Désactiver. Cliquez sur Exécuter dans la boîte de dialogue Téléchargement de fichier, puis suivez la procédure indiquée par l'Assistant Résolution.

Activer

Désactiver

Remarques

  • Ces Assistants peuvent n'exister qu'en anglais. Toutefois, les résolutions automatiques fonctionnent aussi pour d'autres versions linguistiques de Windows.

  • Si vous n'êtes pas sur l'ordinateur concerné par le problème, vous pouvez enregistrer la résolution automatique sur un lecteur flash ou sur un CD-ROM et ensuite l'exécuter sur l'ordinateur concerné par le problème.

Solution de réparation pour TLS 1.1 sur des serveurs Windows

Pour activer ou désactiver cette solution, cliquez sur le bouton Fix it ou sur le lien sous l'en-tête Activer ou Désactiver. Cliquez sur Exécuter dans la boîte de dialogue Téléchargement de fichier, puis suivez la procédure indiquée par l'Assistant Résolution.

Activer

Désactiver

Remarques

  • Ces Assistants peuvent n'exister qu'en anglais. Toutefois, les résolutions automatiques fonctionnent aussi pour d'autres versions linguistiques de Windows.

  • Si vous n'êtes pas sur l'ordinateur concerné par le problème, vous pouvez enregistrer la résolution automatique sur un lecteur flash ou sur un CD-ROM et ensuite l'exécuter sur l'ordinateur concerné par le problème.

Problèmes connus concernant cette mise à jour de sécurité

Après avoir installé cette mise à jour de sécurité, vous pourriez être confronté à un échec d'authentification ou à une perte de connectivité à certains serveurs HTTPS. Ce problème se produit, car cette mise à jour de sécurité modifie la façon dont les enregistrements sont envoyés aux serveurs HTTPS. Pour désactiver temporairement ou réactiver cette mise à jour de sécurité, cliquez sur le bouton Fix it ou sur le lien situé sous l'en-tête Désactiver la mise à jour de sécurité ou Réactiver la mise à jour de sécurité. Cliquez sur Exécuter dans la boîte de dialogue Téléchargement de fichier, puis suivez la procédure indiquée par l'Assistant de résolution.

Désactiver la mise à jour de sécurité

Réactiver la mise à jour de sécurité

Remarques

  • Ces Assistants peuvent n'exister qu'en anglais. Toutefois, les résolutions automatiques fonctionnent aussi pour d'autres versions linguistiques de Windows.

  • Si vous n'êtes pas sur l'ordinateur concerné par le problème, vous pouvez enregistrer la résolution automatique sur un lecteur flash ou sur un CD-ROM et ensuite l'exécuter sur l'ordinateur concerné par le problème.

Le tableau suivant indique les valeurs appliquées par ces solutions de réparation à l'entrée DWORD du Registre SendExtraRecord :

En-tête

Valeur appliquée à l'entrée SendExtraRecord

Désactiver la mise à jour de sécurité

2

Réactiver la mise à jour de sécurité

0

Remarque Le paramètre SendExtraRecord sera inclus dans les versions ultérieures de Windows.

Problèmes connus et informations supplémentaires concernant cette mise à jour de sécurité

Les articles suivants contiennent des informations supplémentaires sur cette mise à jour de sécurité car elle concerne des versions de produits individuels. Les articles peuvent contenir des informations sur les problèmes connus. Si c'est le cas, le problème connu est indiqué en dessous de chaque lien d'article.

  • 2585542 MS12-006 : Description de la mise à jour de sécurité pour Webio, Winhttp et schannel dans Windows datée du 10 janvier 2012

  • 2638806 MS12-006 : Description de la mise à jour de sécurité pour Winhttp dans Windows Server 2003 et Windows XP Professionnel Édition x 64 datée du 10 janvier 2012

Informations sur le Registre

Non recommandé Nous ne recommandons pas la procédure suivante pour désactiver la mise à jour de sécurité. Toutefois, nous vous l'indiquons pour les cas où vous utilisez des applications incompatibles avec cette mise à jour de sécurité ; elle permet le fractionnement d'enregistrements SSL pour toutes les applications. Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

322756Procédure de sauvegarde et de restauration du Registre dans WindowsPar défaut, cette mise à jour de sécurité définit le mode Opt-in au niveau schannel, en raison de problèmes de compatibilité des applications. Pour désactiver cette mise à jour de sécurité pour toutes les applications sur l'ensemble du système, vous devez ajouter une valeur DWORD qui est appelée SendExtraRecord et qui a une valeur de 2 sur la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL Pour ajouter cette entrée de Registre schannel, procédez comme suit :

  1. Cliquez sur Démarrer, puis sur Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.

  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.

  4. Entrez SendExtraRecord comme nom pour la valeur DWORD, puis appuyez sur ENTRÉE.

  5. Cliquez avec le bouton droit sur SendExtraRecord, puis cliquez sur Modifier.

  6. Dans le champ Données de la valeur, entrez 2 pour désactiver l'enregistrement fractionné dans schannel, puis cliquez sur OK.

  7. Quittez l'Éditeur du Registre.

Cette entrée de Registre peut avoir trois valeurs qui offrent chacune différents modes de fonctionnement :

Valeur de clé de Registre

Description

0

Par défaut, schannel est inclus en « Mode Optin ». Cela signifie que cette mise à jour de sécurité fonctionne pour tous les appelants qui envoient l'indicateur de sécurité à schannel. L'entrée de Registre schannel « SendExtraRecord » ne sera pas créée par le package de sécurité. Par conséquent, s'il n'y a pas d'entrée de Registre schannel, cela signifie que le système exécute ce mode. Si quelqu'un crée cette clé de Registre et définit la valeur sur 0, schannel exécutera à nouveau ce mode. Ce paramètre a le même effet que ne pas créer cette entrée de Registre du tout. Les applications qui envoient un indicateur de sécurité à schannel au cours de l'initialisation de la session n'exercent que le chemin de code sécurisé défini. Pour les autres applications, il n'y aura aucun changement de comportement de schannel. Cette mise à jour de sécurité corrige également les couches Application impliquées dans la navigation Web à l'aide d'Internet Explorer pour l'envoi de l'indicateur de sécurité, afin de contribuer à la sécurisation des scénarios d'utilisation du navigateur. Remarque Sous Windows Server 2003, la mise à jour de sécurité 2638806 doit être installée pour contribuer à sécuriser les applications clientes HTTP qui utilisent les API WinHTTP. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

2638806 MS12-006 : Description de la mise à jour de sécurité pour Winhttp dans Windows Server 2003 et Windows XP Professionnel Édition x 64 datée du 10 janvier 2012

1

Définir la valeur sur 1 signifie « activé pour tous ». Cela signifie que les appelants ne doivent pas envoyer l'indicateur et que schannel fractionne tous les enregistrements SSL. Si cette valeur est définie, les applications ne doivent subir aucune modification. Un client inquiet quant à la sécurité système peut en améliorer la qualité en activant cette clé de Registre.

2

Définir la valeur sur 2 signifie « désactivé pour tous ». Cela implique que schannel ne fractionne pas les enregistrements pour les appels de chiffrement effectués par l'application. Ce mode ne tient pas compte de l'indicateur de sécurité envoyé par une application.

D'après des tests conduits en interne, il ressort que vous ne pouvez pas facilement définir la valeur de Registre sur 1, car cette opération interrompt un nombre trop important de scénarios au sein d'une entreprise. Par conséquent, nous déconseillons aux utilisateurs de l'utiliser.

Problèmes connus liés à l'activation de l'entrée de Registre SendExtraRecord

  • Définir la valeur de Registre SendExtraRecord sur 1 applique le fractionnement d'enregistrement pour chaque appel afin de crypter les données dans schannel. Cela se produit indépendamment du fait que l'appelant ait ou non envoyé l'indicateur de sécurité lors de l'initialisation de la session.

  • De nombreuses applications utilisant schannel sont écrites de façon à ce que le récepteur suppose que les données de l'application sont rassemblées en un seul paquet. Cela se produit même si l'application appelle schannel pour le déchiffrement. Les applications ignorent un indicateur défini par schannel. L'indicateur signale à l'application qu'il y a d'autres données à déchiffrer et à récupérer par le récepteur. Cette procédure ne respecte pas la méthode prescrite par MSDN pour l'utilisation de schannel. Le fait que la mise à jour de sécurité applique le fractionnement d'enregistrement interrompt ces applications.

  • Les applications interrompues comprennent les produits Microsoft et les composants fournis. Voici des exemples de scénarios susceptibles d'être interrompus si la valeur de Registre SendExtraRecord est définie sur 1 :

    • Tous les produits SQL et les applications qui reposent sur SQL.

    • Les serveurs Terminal Server dont l'authentification au niveau du réseau (NLA) est activée. Par défaut, NLA est activée dans Windows Vista et les versions ultérieures de Windows.

    • Certains scénarios du service Routage et accès distant (RRAS).

Définir la valeur de Registre SendExtraRecord sur 1 applique le fractionnement d'enregistrement sécurisé pour toutes les applications qui utilisent Windows TLS/SSL. Toutefois, ce paramètre est susceptible d'entraîner des problèmes de compatibilité des applications. Par conséquent, nous recommandons aux clients de configurer TLS 1.1 et TLS 1.2 au lieu d'utiliser ce paramètre de Registre. TLS 1.1 et TLS 1.2 ne sont pas vulnérables à ce problème. Si un utilisateur projette de recourir à ce paramètre de Registre, nous lui conseillons de procéder à des tests rigoureux de compatibilité des applications avant de l'appliquer. Les produits Microsoft SQL, le serveur Windows Terminal Server et le serveur d'accès distant Windows comptent parmi les produits courants affectés par ce paramètre.

Forum aux questions

Q : Comment Microsoft peut-il m'aider à corriger mon application côté serveur ?R : Assurez-vous que votre application peut gérer la fragmentation des enregistrements d'application SSL/TLS, comme décrit dans les documents RFC suivants :

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.