Microsoft a mis en place de nouvelles mesures de protection pour Windows, visant à contrer les attaques de phishing exploitant les fichiers de connexion Remote Desktop (.rdp). Ces mises à jour incluent des avertissements et désactivent par défaut certaines ressources partagées à risque.
Dans les environnements professionnels, les fichiers RDP sont fréquemment utilisés pour établir des connexions à des systèmes distants. Les administrateurs peuvent les configurer pour rediriger automatiquement les ressources locales vers l’hôte distant.
Des acteurs malveillants, notamment le groupe de hackers APT29, soutenu par l’État russe, ont abusé de cette fonctionnalité à travers des campagnes de phishing, utilisant de faux fichiers RDP pour dérober à distance des données et des identifiants.
Lors de leur ouverture, ces fichiers peuvent s’authentifier avec des systèmes contrôlés par des attaquants et rediriger les disques locaux vers l’appareil connecté, ce qui permet aux criminels de récupérer des fichiers et des identifiants stockés sur le disque dur.
De plus, ils peuvent intercepter des données du presse-papiers, telles que des mots de passe ou des informations sensibles, ou détourner des mécanismes d’authentification comme les cartes intelligentes ou Windows Hello pour se faire passer pour les utilisateurs.
Nouvelles protections RDP déployées
Avec les mises à jour cumulatives d’avril 2026 pour Windows 10 (KB5082200) et Windows 11 (KB5083769 et KB5082052), Microsoft a introduit des protections conçues pour prévenir l’utilisation abusive de fichiers de connexion RDP malveillants.
« Les acteurs malveillants profitent de cette capacité en envoyant des fichiers RDP dans des emails de phishing », alerte Microsoft.
Lorsqu’un utilisateur ouvre le fichier, son appareil se connecte silencieusement à un serveur contrôlé par l’attaquant et partage des ressources locales, offrant ainsi à l’attaquant un accès à des fichiers et des identifiants.
Après l’installation de cette mise à jour, une première fenêtre explicative apparaît lors de l’ouverture d’un fichier RDP, décrivant ce que sont ces fichiers et mettant en garde contre leurs risques. Les utilisateurs de Windows devront confirmer leur compréhension des dangers avant que cet avertissement ne soit présenté à nouveau.
Source : Microsoft
Pour les tentatives futures d’ouverture de fichiers RDP, un dialogue de sécurité apparaîtra avant toute connexion, indiquant si le fichier est signé par un éditeur vérifié, l’adresse du système distant, et listant toutes les redirections de ressources locales, avec toutes les options désactivées par défaut.
Un fichier non signé affichera un avertissement de « Prudence : connexion distante inconnue », signalant qu’il n’est pas possible de vérifier l’identité de son auteur.
Source : Microsoft
Si le fichier RDP est signé numériquement, Windows affichera le nom de l’éditeur tout en conseillant toujours de vérifier sa légitimité avant de se connecter.
Ces nouvelles protections ne s’appliquent cependant qu’aux connexions lancées par l’ouverture de fichiers RDP et non à celles effectuées via le client Remote Desktop de Windows.
Microsoft précise que les administrateurs peuvent désactiver temporairement ces protections en accédant à la clé de registre HKLMSoftwarePoliciesMicrosoftWindows NTTerminal ServicesClient et en modifiant la valeur RedirectionWarningDialogVersion pour qu’elle soit réglée sur 1.
Cependant, étant donné que l’utilisation abusive des fichiers RDP dans le cadre d’attaques est bien documentée, il est fortement conseillé de maintenir ces protections actives.