La mise à jour d’octobre 2025 (KB5066835) pour Windows 11 enchaîne décidément les faux pas. Après avoir bloqué les claviers et souris USB dans l’environnement de récupération (WinRE) et bloqué les connexions localhost, c’est désormais l’authentification par carte à puce et certificat qui tombe en panne.
Des cartes à puce soudainement inutilisables
Depuis l’installation de la mise à jour d’octobre 2025 (KB5066835), publiée le 14 octobre 2025, certains utilisateurs de Windows 11 signalent des dysfonctionnements lors de l’authentification par carte à puce (Smart Card) ou via des certificats électroniques.
Les symptômes les plus fréquents sont :
- une carte à puce non reconnue comme CSP (Cryptographic Service Provider) dans certaines applications 32 bits ;
- une impossibilité de signer des documents ;
- des échecs d’authentification dans des logiciels reposant sur un certificat ;
- et parfois des messages d’erreur explicites : “invalid provider type specified” ou “CryptAcquireCertificatePrivateKey error”.
Microsoft indique que le problème est directement lié à une amélioration de la sécurité cryptographique introduite avec cette mise à jour.
La cause : un changement de fournisseur cryptographique
Pour renforcer la sécurité, Microsoft a décidé de remplacer le CSP (Cryptographic Service Provider) par le KSP (Key Storage Provider) pour la gestion des certificats RSA utilisés par les cartes à puce.
Ce changement, destiné à moderniser la couche de chiffrement de Windows, est lié au correctif de la vulnérabilité CVE-2024-30098, une faille de type « Security Feature Bypass » dans les services cryptographiques du système.
Mais cette transition a un effet de bord : certaines cartes à puce et applications ne sont pas encore compatibles avec le nouveau fournisseur KSP, et continuent d’attendre un fonctionnement basé sur CSP. Résultat : elles cessent de reconnaître la carte ou échouent à accéder à la clé privée.
Vous pouvez vérifier si votre carte à puce est concernée en ouvrant l’Observateur d’événements de Windows : si vous trouvez un événement ID 624 (Smart Card Service) indiquant « This system is using CAPI for RSA cryptography operations », votre configuration est probablement affectée par le problème.
La solution temporaire proposée par Microsoft
En attendant un correctif, Microsoft recommande un contournement manuel via le Registre :
-
Ouvrez l’Éditeur du Registre en entrant « regedit » dans la barre de recherche du menu Démarrer ou celle de la barre des tâches, ou bien dans la commande Exécuter.
-
Accédez à la clé suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais
-
Modifiez la valeur DisableCapiOverrideForRSA en la définissant sur 0. Si elle n’existe pas, créez-la manuellement (type : DWORD (32 bits)).
-
Redémarrez l’ordinateur pour appliquer les changements.
Microsoft précise également que ce paramètre ne restera pas éternel : il sera supprimé en avril 2026. Il s’agit donc d’une mesure temporaire le temps que les applications et pilotes s’adaptent définitivement au KSP.
Planifier la compatibilité avec KSP
Les particuliers sont peu concernés, mais les entreprises et administrations utilisant des cartes à puce ou des certificats pour l’accès sécurisé ou la signature électronique doivent anticiper en :
- identifiant les applications qui utilisent encore CSP ;
- contactant les éditeurs de logiciels pour assurer la compatibilité KSP ;
- préparant la migration avant avril 2026, date à laquelle la solution de contournement disparaîtra.
Ce changement, bien qu’il cause des désagréments immédiats, va dans le sens d’un renforcement de la sécurité des opérations cryptographiques sous Windows.