Un bug dans Windows RDP permet de se connecter avec des mots de passe expirés – Microsoft confirme qu’il n’y aura pas de correctif
Microsoft a confirmé que son protocole RDP (Remote Desktop Protocol) permet aux utilisateurs de se connecter à des machines Windows en utilisant des mots de passe qui ont déjà été changés ou révoqués.
L’entreprise affirme qu’elle ne prévoit pas de modifier ce comportement, le décrivant comme une décision de conception intentionnelle plutôt qu’une faille de sécurité.
Le problème a été révélé après qu’un chercheur en sécurité indépendant, Daniel Wade, a signalé au centre de réponse de sécurité de Microsoft que, dans certaines conditions, RDP continue d’accepter d’anciens mots de passe pour l’accès à distance, même après qu’un utilisateur a changé son mot de passe en raison d’une compromission ou d’une routine de sécurité.
Les découvertes de Wade, détaillées dans un rapport d’Ars Technica, avertissent que ce comportement sape la confiance que les utilisateurs placent dans les changements de mot de passe comme moyen de couper l’accès non autorisé.
« Ce n’est pas juste un bug. C’est une rupture de confiance », a écrit Wade. « Les gens font confiance au changement de mot de passe pour couper l’accès non autorisé. Le résultat ? Des millions d’utilisateurs – à la maison, dans les petites entreprises ou les configurations de travail hybride – sont inconsciemment à risque. »
Comment fonctionne la vulnérabilité
La vulnérabilité provient de la manière dont Windows gère l’authentification pour les sessions RDP liées aux comptes Microsoft ou Azure. Lorsqu’un utilisateur se connecte avec un tel compte, Windows vérifie le mot de passe en ligne, puis stocke une version sécurisée cryptographiquement localement.
Pour les connexions RDP ultérieures, le système vérifie le mot de passe saisi par rapport à ce cache local plutôt que de le revalider en ligne. Si le mot de passe correspond à un identifiant valide précédemment mis en cache, même s’il a été changé ou révoqué, il accorde l’accès.
Cela signifie que même après qu’un mot de passe a été changé dans le cloud, l’ancien mot de passe reste valide pour RDP indéfiniment. Dans certains cas, plusieurs anciens mots de passe peuvent fonctionner, tandis que le plus récent ne fonctionne pas.
Les professionnels de la sécurité ont exprimé leur préoccupation concernant les implications. Will Dormann, analyste principal des vulnérabilités chez Analygence, a noté : « Cela n’a pas de sens d’un point de vue sécurité. Si je suis administrateur système, je m’attendrais à ce que, dès que je change le mot de passe d’un compte, les anciennes informations d’identification de ce compte ne puissent plus être utilisées nulle part. Mais ce n’est pas le cas. »
La faille contourne efficacement la vérification cloud, l’authentification multifactorielle et les politiques d’accès conditionnel, créant une porte dérobée persistante pour les attaquants qui ont obtenu d’anciennes informations d’identification, selon le rapport publié.
Réponse de Microsoft : « Ce n’est pas une faille de sécurité »
Malgré les risques, Microsoft refuse de classer ce comportement comme un bug ou une vulnérabilité. L’entreprise affirme que cette conception garantit qu’au moins un compte utilisateur peut toujours se connecter, même si le système a été hors ligne pendant une longue période.
Microsoft a mis à jour sa documentation pour avertir les utilisateurs, mais n’a pas fourni de directives claires sur la manière d’atténuer le risque, au-delà de suggérer que RDP soit configuré pour s’authentifier uniquement avec des identifiants stockés localement.
Un porte-parole de Microsoft a confirmé que l’entreprise est au courant du problème depuis au moins août 2023, mais maintient que modifier ce comportement pourrait rompre la compatibilité avec les applications existantes.
- Changer votre mot de passe Microsoft ou Azure ne révoque pas immédiatement l’accès RDP pour les anciennes informations d’identification.
- Il n’y a pas d’alertes ou d’avertissements clairs lorsque d’anciens mots de passe sont utilisés pour les connexions RDP.
- Les outils de sécurité de Microsoft, y compris Defender et Azure, ne signalent pas ce comportement.
Pour l’instant, les experts recommandent aux organisations de revoir leurs configurations RDP et d’envisager de limiter l’accès à distance ou d’imposer une authentification locale pour réduire l’exposition.
La position de Microsoft laisse des millions de personnes à risque, soulignant un décalage fondamental entre les attentes des utilisateurs en matière de sécurité des mots de passe et les réalités de la conception de Windows RDP.
Cyberfishement 🐡