Une faille de sécurité, qualifiée de « zero-day », a récemment été découverte dans toutes les versions de Windows, y compris la plus récente, Windows 11 24H2. Cette faille permet aux pirates de voler les identifiants NTLM des utilisateurs sans qu’aucune action de leur part ne soit requise. Voici ce que vous devez savoir et comment limiter les risques.
Une faille déconcertante de simplicité
Découverte par l’équipe de chercheurs en cybersécurité de 0patch, cette vulnérabilité repose sur un scénario simple mais redoutable : il suffit qu’un utilisateur visualise un fichier malveillant dans l’Explorateur de fichiers de Windows (sans l’ouvrir donc) pour que ses identifiants NTLM soient dérobés.
Cette situation peut se produire dans divers cas de figure :
- L’ouverture d’un dossier partagé contenant un fichier infecté.
- Le branchement d’une clé USB vérolée.
- La consultation du dossier « Téléchargements » après avoir visité un site web ayant forcé le téléchargement du fichier infecté.
Une fois capturés, ces identifiants peuvent être utilisés pour accéder à d’autres systèmes, usurper l’identité de la victime ou tenter de deviner son mot de passe par force brute.
Qu’est-ce que le NTLM et pourquoi est-il vulnérable ?
Le NTLM (NT Lan Manager) est un protocole d’authentification utilisé par Windows depuis de nombreuses années. Bien que Microsoft l’ait progressivement remplacé par le protocole Kerberos, NTLM est encore présent dans de nombreuses applications et composants de Windows.
Le problème avec NTLM, c’est qu’il permet aux pirates de capturer des « hashes » de mots de passe. Ces hashes ne sont pas des mots de passe lisibles, mais ils peuvent être « cassés » à l’aide d’outils d’attaque par force brute.
Microsoft a reconnu les faiblesses de NTLM et a prévu de le retirer progressivement. Cependant, tant qu’il est encore utilisé dans le système, des failles comme celle-ci continueront de surgir.
Quelles versions de Windows sont concernées ?
Cette vulnérabilité concerne un grand nombre de versions de Windows, aussi bien pour les particuliers que pour les entreprises. Voici la liste des versions affectées :
- Windows 7 (avec ou sans Extended Security Updates)
- Windows 10 (toutes les versions prises en charge)
- Windows 11 (toutes les versions, y compris la version 24H2)
- Windows Server 2008, 2012, 2016, 2019 et 2022
À noter que Windows Server 2025 ne semble pas concerné, probablement parce qu’il est encore en cours de test de compatibilité avec certaines modifications du protocole NTLM.
Microsoft a-t-il publié un correctif ?
Pour le moment, Microsoft n’a pas encore déployé de correctif officiel. Cela signifie que la vulnérabilité reste exploitable sur toutes les versions mentionnées précédemment.
En attendant, l’entreprise de sécurité 0patch a pris les devants en proposant un correctif temporaire. Ce correctif peut être appliqué sur votre système pour combler la faille. Contrairement aux mises à jour officielles de Microsoft, ce type de patch est disponible gratuitement via la plateforme de 0patch.
Comment se protéger dès maintenant ?
En attendant que Microsoft corrige cette faille, il existe des solutions pour limiter les risques. Voici les étapes à suivre :
1. Appliquez le correctif de 0patch
Le plus efficace reste d’appliquer le correctif de 0patch. Voici comment procéder :
- Créez un compte gratuit sur le site de 0patch Central.
- Téléchargez et installez l’agent 0patch.
- Une fois le programme installé, le correctif sera appliqué automatiquement sur votre ordinateur.
L’avantage de ce correctif, c’est qu’il est non intrusif. Vous n’avez pas besoin de redémarrer votre PC. Et dès que Microsoft publiera son propre correctif, celui de 0patch cessera de s’appliquer.
2. Évitez de consulter des dossiers partagés inconnus
Si possible, n’ouvrez pas de dossiers partagés dont vous ne connaissez pas la source. C’est dans ce type d’emplacement que les fichiers malveillants peuvent se cacher.
3. Méfiez-vous des téléchargements automatiques
Les sites web peuvent forcer le téléchargement automatique de fichiers. Pour éviter cela, configurez votre navigateur web pour bloquer les téléchargements automatiques.
4. Branchez les clés USB avec prudence
Si vous branchez une clé USB qui ne vous appartient pas, faites preuve de vigilance. N’ouvrez pas les dossiers de la clé sans analyse préalable. Utilisez Windows Defender ou un logiciel antivirus pour analyser la clé avant toute manipulation.
5. Surveillez les mises à jour Windows
Microsoft peut publier un correctif à tout moment. Pensez à vérifier régulièrement les mises à jour en accédant à Paramètres > Windows Update. Activez l’installation automatique des mises à jour pour ne rien manquer.
Pourquoi Microsoft ne corrige pas la faille immédiatement ?
Ce n’est pas la première fois que Microsoft tarde à publier un correctif pour une faille zero-day. Le problème vient souvent de la complexité du système. De plus, certaines failles concernent des protocoles ou des composants utilisés par d’autres logiciels, ce qui rend la correction plus délicate.
Microsoft cherche également à éviter que des pirates profitent de la publication du correctif pour mieux comprendre la faille. C’est pourquoi il arrive que l’entreprise attende avant de donner des détails précis sur la vulnérabilité.
En attendant, restez vigilant et prenez les mesures nécessaires pour protéger vos données 😉.
Source : 0patch
Tout a fait d’accord avec Guillaume, le fait de donner ses identités à une entreprise qui propose un patch pour son OS c’est un peu profiteur… aillant un NAS, le seul truc qu’ils trouveront sur mon portable c’est……rien
Oh on va attendre gentiment le patch de Microsoft, on aime le risque ici 😀