Microsoft lance une campagne pour détecter les failles de sécurité liées au chiffrement RC4

Microsoft a engagé une opération importante visant à renforcer la sécurité des infrastructures Windows. Cette démarche cible une faiblesse bien connue du chiffrement RC4 au sein du protocole Kerberos. L’objectif est clair : repérer avant qu’il ne soit trop tard les dépendances à ce chiffrement obsolète.

Microsoft enclenche la fin du chiffrement RC4 dans Kerberos

RC4, ce vieux chiffrement que la plupart des spécialistes jugeaient mort et enterré, fait encore des ravages dans certains environnements. La firme de Redmond vient de déployer une mise à jour sous Windows qui agit comme un coup de semonce. Une faille découverte dans l’authentification Kerberos est utilisée pour pointer la vulnérabilité liée à l’usage persistant de RC4.

Cette mise à jour marque la première étape d’une campagne globale visant à éliminer totalement RC4. En pratique, Microsoft ajoute des outils de surveillance et des options de configuration pour réduire la tolérance aux anciennes méthodes de chiffrement. Cela prépare le terrain à un basculement complet vers des solutions modernes comme AES-SHA1.

Une transition progressive essentielle pour la sécurité des domaines Windows

La transition vers des standards plus robustes n’est pas instantanée. Dans cette phase initiale, les administrateurs doivent équiper tous les contrôleurs de domaine Active Directory avec le dernier patch. Microsoft insiste sur la nécessité d’activer le mode audit pour détecter tous les scénarios où RC4 est encore sollicité. Un travail de précision qui évite les coupures de services.

La vigilance est de mise notamment pour les comptes de service et applications qui s’appuient toujours sur ce chiffrement faible. Sans cette détection fine, les risques de compromission via des attaques comme le « Kerberoasting » augmentent drastiquement.

Avril 2026 : le « mode forcé » change la donne pour les administrateurs

Le véritable tournant interviendra quelques mois plus tard, avec la mise à jour d’avril. À ce moment, Microsoft imposera par défaut l’utilisation exclusive d’AES-SHA1 pour Kerberos. Le « mode forcé » désactivera de fait RC4 sur tous les contrôleurs de domaine, sauf exception dûment paramétrée.

Les administrateurs doivent se préparer à cette mutation. Un défaut de configuration ou une application non compatible risquent de provoquer de graves perturbations. L’enjeu est autant organisationnel que technique : aucune infrastructure critique ne peut se permettre une indisponibilité causée par un changement aussi bouleversant.

La fin programmée d’un héritage risqué dans l’écosystème Windows

RC4, expliquent les experts, est un cauchemar pour la sécurité. Initié dans les années 80, il est devenu obsolète face aux nouvelles techniques de cryptanalyse. Microsoft avait déjà déconseillé son utilisation dès 2013. Mais la réalité du terrain démontre que ce chiffrement traîne encore en arrière-plan.

La promesse de la campagne est d’éradiquer cette faiblesse. Le processus s’achèvera avec une étape finale en juillet où les dernières traces de RC4 seront définitivement effacées des registres. C’est un travail d’orfèvre qui crée un socle plus solide, alliant résilience et modernité.

Source: www.heise.de