Attention Microsoft a émis un avertissement concernant le Xbox Live, qui risque d’être sensible aux attaques après une erreur de la compagnie qui aurait « divulguée par inadvertance » un certificat de sécurité.
Un certificat numérique divulgué par « inadvertance » pourrait permettre une usurpation d’identité. Microsoft a déclaré qu’il n’ont « actuellement pas connaissance » de toutes les attaques qui ont été liés à cette fuite et travaille à le résoudre.
Cela ne concerne aucunement la Xbox One ou la Xbox 360, mais seulement les appareils Windows Phone et PC Windows 10, selon la liste des plates-formes concernées.
Le site ZDNet nous explique : « Le certificat peut être utilisé par un attaquant afin d’usurper l’identité du domaine de xboxlive.com et effectuer une soi-disant » man-in-the-middle ‘attaques, ce qui permettrait à l’attaquant d’intercepter une connexion sécurisée du site. Cela pourrait inciter les utilisateurs Xbox à remettre à jour leurs noms d’utilisateur et leurs mots de passe, ce qui conduirait à de nouvelles attaques sur l’utilisateur. »
Voici ce que Microsoft avait à dire dans sa propre déclaration sur la question :
Microsoft a connaissance de l’existence d’un certificat SSL/TLS pour *.xboxlive.com, pour lequel les clés privées ont été accidentellement divulguées. Le certificat peut être utilisé lors de tentatives d’attaques d’interception. Il ne peut pas être utilisé pour publier d’autres certificats, emprunter l’identité d’autres domaines ni signer du code. Ce problème affecte toutes les versions prises en charge de Microsoft Windows. À ce jour, Microsoft n’a pas connaissance d’attaques liées à ce problème.
Pour protéger les utilisateurs de l’utilisation frauduleuse potentielle du certificat numérique SSL/TLS, le certificat n’est désormais plus considéré comme valide, et Microsoft met à jour la CTL (liste de certificats de confiance) pour l’ensemble des versions prises en charge de Microsoft Windows afin de supprimer la confiance associée à ce certificat. Pour plus d’informations à propos de ce certificat, consultez la section Forum aux questions de cet Avis.
Recommandation. Un programme de mise à jour automatique des listes de certificats de confiance est inclus dans les éditions prises en charge de Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 et Windows 10 Version 1511, ainsi que pour les appareils exécutant Windows Phone 8, Windows Phone 8.1 et Windows 10 Mobile. Les clients n’ont pas besoin d’entreprendre de nouvelle action pour ces systèmes d’exploitation et appareils étant donné qu’ils seront automatiquement protégés.
Pour les systèmes exécutant Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 qui utilisent le programme de mise à jour automatique des listes de certificats de confiance (consultez l’Article 2677070 de la Base de connaissances Microsoft pour plus d’informations), les clients n’ont pas besoin d’entreprendre de nouvelle action, car ces systèmes seront automatiquement protégés.
C’est bon a savoir
C’est bon a savoir
C’est bon a savoir