Microsoft va enfin abandonner un chiffrement obsolète qui a semé le chaos pendant des décennies.
-
Rien de nouveau pour les pros, mais bon à savoir pour les autres
Microsoft va désactiver définitivement le chiffrement RC4, jugé obsolète et dangereux, encore activé par défaut dans Windows depuis plus de 25 ans. Bien que RC4 soit connu comme vulnérable depuis les années 1990, il est resté compatible par défaut avec Active Directory, exposant les réseaux Windows à des attaques majeures, notamment le Kerberoasting, à l’origine de cyberattaques dévastatrices comme celle ayant touché le groupe hospitalier Ascension.
Sous la pression croissante des experts en cybersécurité et d’un sénateur américain, Microsoft prévoit que d’ici mi-2026, les contrôleurs de domaine Windows n’accepteront plus que le chiffrement AES-SHA1 par défaut. RC4 sera entièrement désactivé, sauf activation manuelle explicite par les administrateurs.
Microsoft reconnaît la difficulté d’abandonner un algorithme présent depuis des décennies, notamment en raison de systèmes tiers anciens qui en dépendent encore. Pour accompagner la transition, l’entreprise fournit des outils de détection, des journaux KDC améliorés et des scripts PowerShell afin d’identifier les usages résiduels de RC4.
L’adoption d’AES-SHA1 renforce fortement la sécurité : contrairement à RC4, il utilise un hachage itératif et plus lent, rendant les attaques par force brute environ 1 000 fois plus coûteuses. Microsoft encourage donc les administrateurs à auditer dès maintenant leurs réseaux afin d’éliminer toute dépendance restante à RC4.
Source et plus: https://arstechnica.com/security/2025/12/microsoft-will-finally-kill-obsolete-cipher-that-has-wreaked-decades-of-havoc/
-
@duJambon a dit dans Microsoft va enfin abandonner un chiffrement obsolète qui a semé le chaos pendant des décennies. :
L’adoption d’AES-SHA1 renforce fortement la sécurité
Intéressant, quand on sais que SHA1 est obsolète et considéré comme trop faible, et non sûr. On a déjà désactivé SHA1 partout au boulot…
Mais pas d’inquiétude, Microsoft supprimera toute crypto basée sur SHA1 dans 25 ans
Ou bien, vu que SHA1 est considéré comme non sûr depuis 2005, et donc qu’on a déjà purgé 20 ans, peut-être que Microsoft le supprimera dans 5 ans seulement ? Il n’est pas interdit d’espérer… -
Les gros dinosaures ne sont pas rapides, c’est bien connu
