Microsoft va déprécier le chiffrement RC4 vulnérable mi-2026

Microsoft va désactiver le chiffrement obsolète RC4 dans Windows Active Directory d'ici mi-2026, répondant à des décennies de vulnérabilités de sécurité. Cette mesure fait suite à des critiques sur son rôle dans des piratages majeurs, y compris la brèche Ascension de l'an dernier affectant 140 hôpitaux. Les administrateurs doivent désormais auditer leurs réseaux pour tout usage résiduel de RC4.

Microsoft a pris en charge par défaut le chiffrement RC4 faible dans Windows pendant 26 ans, depuis l'introduction d'Active Directory en 2000. RC4, développé par Ron Rivest en 1987, a subi une attaque cryptographique majeure peu après sa fuite en 1994, mais a persisté dans des protocoles comme SSL et TLS jusqu'à il y a environ une décennie.

Malgré la mise à niveau vers la norme sécurisée AES, les serveurs Windows ont continué à revenir à RC4 pour les demandes d'authentification, permettant des attaques comme Kerberoasting, connue depuis 2014. Cette vulnérabilité a contribué à la brèche chez Ascension Health, perturbant les services dans 140 hôpitaux et exposant les dossiers de 5,6 millions de patients.

En septembre, le sénateur américain Ron Wyden a exhorté la Federal Trade Commission à enquêter sur Microsoft pour « négligence grossière en cybersécurité » en raison du soutien continu à RC4.

La semaine dernière, Microsoft a annoncé la dépréciation de RC4. « D'ici mi-2026, nous mettrons à jour les valeurs par défaut du contrôleur de domaine pour le Kerberos Key Distribution Center (KDC) sur Windows Server 2008 et versions ultérieures pour n'autoriser que le chiffrement AES-SHA1 », a écrit le responsable principal du programme Matthew Palko. « RC4 sera désactivé par défaut et ne sera utilisé que si un administrateur de domaine configure explicitement un compte ou le KDC pour l'utiliser. »

AES-SHA1, disponible depuis Windows Server 2008, utilise un hachage itéré et du sel, le rendant environ 1 000 fois plus difficile à casser que l'implémentation MD4 à une seule passe non salée de RC4.

Pour faciliter la transition, Microsoft propose des journaux KDC mis à jour et des scripts PowerShell pour détecter l'utilisation de RC4, essentiels pour les systèmes tiers legacy. Steve Syfuhs, de l'équipe d'authentification Windows de Microsoft, a noté sur Bluesky les défis : « Le problème, c'est qu'il est difficile de tuer un algorithme cryptographique présent dans tous les OS livrés au cours des 25 dernières années. »

Au cours de la dernière décennie, Microsoft a considérablement réduit l'utilisation de RC4 par des changements progressifs, la faisant chuter à près de zéro sans pannes généralisées.

Articles connexes

Microsoft has released an emergency patch for a high-severity vulnerability in its ASP.NET Core framework, affecting macOS and Linux applications. Tracked as CVE-2026-40372, the flaw allows unauthenticated attackers to gain SYSTEM privileges through forged authentication payloads. The company advises immediate updates and key rotation to fully mitigate risks.

Rapporté par l'IA

Microsoft has alerted users that hackers are targeting password reset processes to breach accounts. The activity is attributed to the group Storm-2949.

Researchers have uncovered a large-scale compromise of Fortinet firewalls that exposed plaintext credentials for nearly 74,000 devices across 194 countries. The breach affects organizations including Oracle, Chevron, Lenovo, FedEx, and Fortinet itself, along with a NATO defense contractor.

Rapporté par l'IA

Microsoft released its June Patch Tuesday update for Windows 11 on June 10, introducing a low-latency profile and other performance improvements. The update also patches 206 security vulnerabilities.

Ce site utilise des cookies

Nous utilisons des cookies pour l'analyse afin d'améliorer notre site. Lisez notre politique de confidentialité pour plus d'informations.
Refuser