Des problèmes critiques impactent de nombreux administrateurs système après les mises à jour de Windows 11 et Windows Server 2025. Les utilisateurs sont bloqués, incapables d’accéder à leurs réseaux et dossiers partagés, en raison d’un changement de sécurité de Microsoft. Découvrons les implications et les solutions envisagées.
Récemment, plusieurs administrateurs système ont rencontré de graves difficultés. Après les mises à jour de fin août et début septembre pour Windows 11 (versions 24H2 et 25H2) et Windows Server 2025, de nombreux utilisateurs ont été brusquement exclus de leurs réseaux, se retrouvant incapables de se connecter à leurs postes à distance ou d’accéder à leurs dossiers partagés, tout en recevant des messages d’erreur déroutants. Cette situation a été aggravée par le fait que le problème persiste malgré la réinsertion des identifiants d’authentification requis. Toutefois, la cause de ce désagrément n’est pas un cyber-attaquant, mais un changement introduit par Microsoft visant à renforcer la sécurité de ses systèmes.
La société de Redmond a décidé d’interdire les SIDs dupliqués. Les SIDs (Security Identifier) sont des codes alphanumériques qui servent d’identifiants uniques pour distinguer chaque machine dans un réseau. En théorie, tout comme les plaques d’immatriculation, deux ordinateurs ne devraient jamais partager le même SID, mais dans la pratique quotidienne, bon nombre d’entreprises clonent une installation de Windows sur plusieurs PC pour migrer des données et maintenir des accès sans perdre trop de temps. Cependant, après les dernières mises à jour, cette méthode n’est plus possible.
Pourquoi Microsoft a bloqué les SIDs dupliqués
D’un point de vue technique, la décision de Microsoft semble compréhensible et justifiée. Dupliquer les SIDs est un moyen « pratique » d’assurer la continuité des services, mais cela présente un véritable risque pour la sécurité: avoir plusieurs machines avec le même identifiant équivaut à posséder plusieurs portes s’ouvrant avec la même clé. Si un hacker parvient à pénétrer une de ces portes, il peut facilement accéder à toutes les autres utilisant le même SID. C’est pourquoi les mises à jour KB5064081 (29 août) et KB5065426 (9 septembre) ont introduit des contrôles d’authentification renforcés, mais ce changement a également eu pour conséquence de bloquer toute connexion avec des dispositifs partageant le même identifiant.
Les nouvelles protections imposent des vérifications sur les Security ID, entraînant l’échec de l’authentification lorsque les dispositifs présentent des SIDs dupliqués, a-t-on pu lire dans une note de Microsoft diffusée en urgence pour apaiser le chaos engendré. Si l’objectif était de colmater une brèche de sécurité, l’introduction d’une modification aussi significative sans avertissement adéquat a surpris les administrateurs IT, qui ont dû faire face à des blocages soudains et des utilisateurs incapables d’accéder à leur environnement de travail.
Comment résoudre le problème
Sortir de cette impasse n’est pas une tâche simple et un employé confronté à un message d’accès refusé devra probablement contacter le support technique de son entreprise. Microsoft a également précisé qu’il n’existe pas de correction automatique. La seule solution fiable demeure la reconstruction des dispositifs concernés en utilisant des méthodes de clonage supportées, s’assurant ainsi que chacun génère un identifiant unique. « Pour une résolution définitive, les dispositifs contenant des SIDs dupliqués devront être reconstruits avec des méthodes supportées de clonage ou de duplication d’installation Windows, afin qu’ils aient des SIDs uniques », précise la note de l’entreprise.
Pour réaliser cette opération, Microsoft recommande d’utiliser l’outil Sysprep, qui « nettoie » une installation Windows et crée un nouvel identifiant. Cependant, cet outil est destiné à des administrateurs expérimentés et n’est pas à la portée d’un utilisateur moyen ou d’une petite entreprise sans département IT dédié. En alternative, pour gagner du temps, il est possible de demander à l’assistance Microsoft un critère de groupe temporaire permettant de contourner provisoirement la restriction.