Pendant très longtemps, Windows s’est appuyé sur un mécanisme d’authentification appelé NTLM (New Technology LAN Manager) pour vérifier l’identité des utilisateurs et leur donner accès aux ressources d’un réseau. Par exemple, en entreprise, NTLM intervient lorsqu’un utilisateur tente d’accéder à un serveur de fichiers ou à une imprimante réseau, afin que Windows vérifie qu’il est bien autorisé à y accéder.
Le problème, c’est que NTLM est aujourd’hui ancien, fragile et régulièrement exploité par des pirates informatiques, notamment dans les entreprises. Face à ce constat, Microsoft a annoncé que ce mécanisme, déjà considéré comme obsolète, sera désactivé par défaut dans les prochaines versions de Windows, aussi bien sur les ordinateurs que sur les serveurs.
Pour Microsoft, l’objectif est de renforcer la sécurité de Windows en privilégiant des méthodes d’authentification plus modernes et plus sûres comme Kerberos, mieux adaptées aux usages et aux menaces d’aujourd’hui.
NTLM : un protocole ancien, toujours exploité
Introduit en 1993 avec Windows NT 3.1, NTLM est un mécanisme de sécurité intégré à Windows depuis le début des années 1990. Son rôle est de vérifier l’identité d’un utilisateur avant de lui donner accès à un ordinateur, à un dossier partagé ou à un service réseau. Il repose sur une authentification par défi-réponse (challenge-response), dans laquelle le serveur envoie un défi et l’utilisateur prouve son identité à l’aide d’une réponse cryptographique, sans transmettre directement son mot de passe. À l’époque, ce système d’authentification répondait aux besoins et aux menaces du moment.
Avec le temps, Windows a évolué et Microsoft a introduit Kerberos, un protocole plus moderne et plus robuste, devenu la norme dans les environnements professionnels. Pourtant, NTLM n’a jamais complètement disparu : il continue d’être comme solution de secours lorsque Kerberos ne peut pas être utilisé.
Le problème, c’est que NTLM repose sur des mécanismes aujourd’hui jugés peu sûrs. Il utilise une cryptographie dépassée et ne permet pas toujours de vérifier correctement l’identité du serveur auquel on se connecte. Résultat : des attaquants peuvent exploiter ces faiblesses pour se faire passer pour un utilisateur légitime, sans connaître son mot de passe, grâce à des techniques comme les attaques par relais NTLM ou les attaques pass-the-hash.
Selon Microsoft, cette utilisation persistante de NTLM expose les systèmes Windows à plusieurs risques importants : absence d’authentification du serveur, vulnérabilité aux attaques de type replay et relay, cryptographie faible et visibilité limitée sur ce qui se passe réellement sur le réseau. Autant de raisons qui expliquent pourquoi ce protocole est aujourd’hui un maillon faible de la sécurité Windows.
Une désactivation progressive et encadrée
Désactiver NTLM du jour au lendemain poserait problème à de nombreux systèmes encore dépendants de ce mécanisme ancien. Microsoft a donc choisi une approche progressive et maîtrisée, afin d’améliorer la sécurité sans casser ce qui fonctionne encore aujourd’hui.
Concrètement, NTLM ne sera pas supprimé immédiatement. À la place, Microsoft met en œuvre un plan en plusieurs étapes, étalé sur plusieurs années, pour permettre aux administrateurs de comprendre où NTLM est utilisé, puis de le remplacer progressivement par des solutions plus modernes, plus sûres, sans rupture brutale.
Enfin, dans les futures versions majeures de Windows, NTLM sera désactivé par défaut pour l’authentification réseau. Cela signifie que Windows n’utilisera plus automatiquement ce protocole ancien. Microsoft précise toutefois que NTLM restera présent dans le système et pourra être réactivé manuellement via des stratégies de groupe afin de gérer les cas particuliers et les logiciels très anciens.
Ce qu’il faut retenir
- NTLM est un ancien mécanisme d’authentification de Windows, encore présent aujourd’hui, mais qui n’a pas été conçu pour résister aux techniques de piratage actuelles.
- Pour améliorer la sécurité, Microsoft va désactiver NTLM et empêcher Windows de l’utiliser automatiquement dans les prochaines versions de Windows, aussi bien sur les ordinateurs que sur les serveurs.
- Cette désactivation se fera progressivement pour laisser aux entreprises de migrer vers des solutions plus modernes comme Kerberos.
- NTLM ne va pas disparaître complètement : il restera disponible et pourra être réactivé manuellement si certains logiciels anciens en ont encore besoin.
- À long terme, Microsoft cherche à rendre Windows plus sûr par défaut, en s’appuyant sur des mécanismes d’authentification modernes, mieux adaptés aux usages d’aujourd’hui.