Une porte dérobée dans le protocole Windows Remote Desktop permet de se connecter avec d’anciens mots de passe après leur modification. Selon Microsoft, il n’y a aucun problème.
Une porte dérobée dans le protocole Windows Remote Desktop (RDP) sème l’émoi dans le monde de la sécurité. Le chercheur Daniel Wade a découvert que RDP autorise l’utilisation d’anciens mots de passe, même lorsqu’ils ont déjà été modifiés par le propriétaire du compte. Le seul qui ne voit aucun inconvénient est Microsoft lui-même, qui indique ne pas avoir l’intention de fermer cette porte dérobée.
lire aussi
Le protocole Windows Remote Desktop autorise l’utilisation d’anciens mots de passe
Le protocole Windows Remote Desktop permet de se connecter à distance à un appareil et d’en prendre le contrôle virtuellement. Cela est utile pour les appareils gérés au sein des entreprises, mais pas si pratique si un attaquant est en possession d’un mot de passe. Avec une connexion RDP valide, un attaquant obtient un libre accès à un appareil.
Anciens mots de passe
Si votre mot de passe est compromis, votre premier réflexe devrait être de le changer. Mais cela s’avère peu utile avec Windows RDP, comme l’a découvert Wade. Le protocole Windows Remote Desktop continue d’accepter les anciens mots de passe, même lorsqu’ils ont été modifiés par le propriétaire du compte.
La porte dérobée résulte de la manière dont le protocole Remote Desktop stocke les mots de passe. La première fois qu’un utilisateur se connecte, RDP vérifie en ligne la validité des informations de connexion. Une fois le feu vert donné, Windows enregistre les identifiants dans un format crypté localement sur le disque dur de l’appareil.
De ce fait, RDP n’a pas besoin d’effectuer une vérification en ligne à chaque fois. Cependant, cela signifie également qu’une fois qu’un mot de passe est approuvé, RDP continue de l’approuver. Le mot de passe obsolète passe ainsi le contrôle sans que les outils de sécurité tels que Defender et Entra ID ne déclenchent d’alarme. Au contraire, il est même plus probable que le nouveau mot de passe ne soit pas approuvé car il ne correspond pas au mot de passe modifié.
Pas une porte dérobée, mais une fonctionnalité
Bien que les experts en sécurité voient un risque majeur dans cette porte dérobée, Microsoft ne s’en inquiète nullement. Dans une déclaration, Microsoft affirme avoir délibérément programmé le protocole Remote Desktop de cette manière. La création d’une copie locale sur le disque dur garantit qu'”au moins un utilisateur peut toujours se connecter”, selon la déclaration.
Microsoft n’a donc pas l’intention de modifier cette porte dérobée. La seule action entreprise par Microsoft est l’ajout d’un avertissement rouge sur la page d’information des systèmes de connexion Windows. Microsoft y indique que “si l’utilisateur modifie son mot de passe dans le cloud, l’authentification en cache n’est pas mise à jour, ce qui signifie qu’il a toujours accès à son ordinateur local avec son ancien mot de passe”.
Le protocole Windows Remote Desktop cause fréquemment des problèmes. Durant la pandémie de coronavirus en particulier, il s’est avéré être une porte d’entrée populaire pour les cyberattaques à distance. Le fait que Microsoft traite avec autant de désinvolture les potentielles portes dérobées du système se heurte à l’incompréhension des experts en sécurité.