Microsoft va désactiver le chiffrement obsolète RC4 dans Windows Active Directory d'ici mi-2026, répondant à des décennies de vulnérabilités de sécurité. Cette mesure fait suite à des critiques sur son rôle dans des piratages majeurs, y compris la brèche Ascension de l'an dernier affectant 140 hôpitaux. Les administrateurs doivent désormais auditer leurs réseaux pour tout usage résiduel de RC4.
Microsoft a pris en charge par défaut le chiffrement RC4 faible dans Windows pendant 26 ans, depuis l'introduction d'Active Directory en 2000. RC4, développé par Ron Rivest en 1987, a subi une attaque cryptographique majeure peu après sa fuite en 1994, mais a persisté dans des protocoles comme SSL et TLS jusqu'à il y a environ une décennie.
Malgré la mise à niveau vers la norme sécurisée AES, les serveurs Windows ont continué à revenir à RC4 pour les demandes d'authentification, permettant des attaques comme Kerberoasting, connue depuis 2014. Cette vulnérabilité a contribué à la brèche chez Ascension Health, perturbant les services dans 140 hôpitaux et exposant les dossiers de 5,6 millions de patients.
En septembre, le sénateur américain Ron Wyden a exhorté la Federal Trade Commission à enquêter sur Microsoft pour « négligence grossière en cybersécurité » en raison du soutien continu à RC4.
La semaine dernière, Microsoft a annoncé la dépréciation de RC4. « D'ici mi-2026, nous mettrons à jour les valeurs par défaut du contrôleur de domaine pour le Kerberos Key Distribution Center (KDC) sur Windows Server 2008 et versions ultérieures pour n'autoriser que le chiffrement AES-SHA1 », a écrit le responsable principal du programme Matthew Palko. « RC4 sera désactivé par défaut et ne sera utilisé que si un administrateur de domaine configure explicitement un compte ou le KDC pour l'utiliser. »
AES-SHA1, disponible depuis Windows Server 2008, utilise un hachage itéré et du sel, le rendant environ 1 000 fois plus difficile à casser que l'implémentation MD4 à une seule passe non salée de RC4.
Pour faciliter la transition, Microsoft propose des journaux KDC mis à jour et des scripts PowerShell pour détecter l'utilisation de RC4, essentiels pour les systèmes tiers legacy. Steve Syfuhs, de l'équipe d'authentification Windows de Microsoft, a noté sur Bluesky les défis : « Le problème, c'est qu'il est difficile de tuer un algorithme cryptographique présent dans tous les OS livrés au cours des 25 dernières années. »
Au cours de la dernière décennie, Microsoft a considérablement réduit l'utilisation de RC4 par des changements progressifs, la faisant chuter à près de zéro sans pannes généralisées.