Une faille de sécurité majeure affecte le protocole RDP de Microsoft, permettant d’accéder à des systèmes Windows en utilisant d’anciens mots de passe. Malgré l’ampleur du problème, Microsoft ne prévoit pas de correctif, invoquant des problèmes de compatibilité avec d’autres applications.
Des chercheurs ont mis en lumière une vulnérabilité significative dans le protocole de bureau à distance (RDP) développé par Microsoft. Ce système, anciennement appelé Services Terminal, a été conçu pour valider des mots de passe précédemment utilisés lors des connexions à distance, même après leur révocation par un administrateur ou en cas de compromission.
La technologie RDP a vu le jour avec Windows NT 4.0, un système d’exploitation 32 bits lancé en 1998. Depuis Windows XP, chaque version professionnelle ou serveur de Windows intègre un client RDP, connu sous le nom de Connexion Bureau à Distance. Selon les chercheurs, cela signifie que toutes les versions de Windows, depuis l’époque des modems analogiques de 56 Kbps, sont touchées par cette vulnérabilité récemment redécouverte.
L’analyste Daniel Wade a signalé le problème à Microsoft plus tôt ce mois-ci. Cette faille enfreint les pratiques de sécurité opérationnelle universellement reconnues. Lorsque le mot de passe est modifié, il ne devrait plus garantir l’accès à un système distant. Selon Wade, « les utilisateurs font confiance à la capacité de leur changement de mot de passe pour couper tout accès non autorisé. »
Les chercheurs ont découvert que le RDP continue d’accepter des mots de passe utilisés autrefois, maintenant stockés localement. Windows conserve les mots de passe validés à un endroit sécurisé sur le disque, permettant même aux nouvelles machines d’accéder à d’autres systèmes avec un ancien mot de passe.
Les plateformes de gestion et de sécurité en ligne de Microsoft – y compris Entra ID, Azure et Defender – ne déclenchent aucune alarme, tandis que les nouveaux mots de passe peuvent être ignorés au profit des anciens.
De plus, Microsoft a fourni peu d’informations aux utilisateurs concernant ce comportement surprenant du protocole RDP. Les chercheurs en sont venus à la conclusion que des millions d’utilisateurs – que ce soit à domicile, dans des environnements de bureau à domicile ou dans des setups d’entreprise – sont en danger. En réponse à cette problématique, Microsoft a confirmé que la technologie RDP fonctionne comme prévu.
Selon Microsoft, ce comportement est une décision de conception destinée à « s’assurer qu’au moins un compte utilisateur puisse toujours se connecter, peu importe la durée pendant laquelle un système a été hors ligne. »
L’entreprise avait déjà été alertée sur cette faille par d’autres chercheurs en août 2023, rendant la nouvelle analyse inéligible pour une récompense. Apparemment, les ingénieurs de Redmond ont tenté de modifier le code pour éliminer cette faille, mais ont abandonné l’effort, car les changements auraient pu compromettre la compatibilité avec une fonction Windows dont de nombreuses applications dépendent encore.