Microsoft a déployé de nouvelles défenses dans Windows visant à neutraliser un vecteur d'hameçonnage qui a gagné en traction au cours des dernières années: les fichiers de connexion Remoto Desktop (.rdp) envoyés comme des leurres. Ces petites configurations peuvent sembler inoffensives, mais dans les mains des attaquants permettent des connexions automatiques à des équipements contrôlés par des tiers et pour rediriger les ressources locales - disques, presse-papiers, dispositifs d'authentification - avec le risque d'exfilter des fichiers sensibles, des identifiants et des données.
La mesure entre dans le cadre des mises à jour cumulatives d'avril 2026 pour Windows 10 et Windows 11, et introduit deux couches de protection: une notice éducative la première fois qu'un .rdp est ouvert et, à partir de là, une boîte de dialogue de sécurité avant toute connexion qui montre qui a signé le fichier, direction distante et quelles ressources locales sont destinées à rediriger - avec toutes les options par défaut -. Si le fichier n'est pas signé numériquement, Windows affichera un avertissement et des étiquettes indiquant que le créateur ne peut pas être vérifié. Pour l'explication officielle de ces avis par Microsoft, consultez votre documentation à Microsoft Apprendre.
Le contexte n'est pas spéculatif : des acteurs avancés ont abusé du RDP dans des campagnes d'hameçonnage. Les groupes parrainés par l'État et les bandes criminelles ont envoyé .rdp comme lien d'attachement ou de poste afin que la victime, sans s'en rendre compte, établisse un lien avec la machine d'un agresseur et laisse les dossiers locaux et les titres de compétence exposés. Dans les cas documentés, cette technique a été utilisée pour voler des données et remplacer des identités; des rapports publics et des articles spécialisés ont détaillé des incidents où le RDP malveillant a joué un rôle clé dans l'intrusion - par exemple, des enquêtes journalistiques et techniques décrivant des abus similaires peuvent être consultés dans des médias spécialisés tels que : Calculateur et dans l'analyse du renseignement de plusieurs fournisseurs de sécurité.
Quels changements pour l'utilisateur et l'administrateur? Pour l'utilisateur final, la nouveauté la plus visible est le dialogue d'information initial et le tableau de vérification subséquent qui nécessite une confirmation de la compréhension du risque. Pour les connexions ultérieures, la boîte de sécurité affichera l'origine prévue et les adresses de lecture, mais laissera ces adresses désactivées jusqu'à ce que l'utilisateur les active explicitement. Du point de vue de l'administrateur, Microsoft documente un moyen de restaurer temporairement le comportement précédent par un changement dans le registre : pour changer la valeur de RedirectionAvertissementDialogVersion à 1 dans le HKLM\\ Logiciel\ Politiques\ Microsoft\ Windows NT\\ Terminal Services\\\ Clé client. Microsoft recommande de maintenir de nouvelles protections sur en raison des antécédents d'abus du .rdp.
Il est important de souligner une limitation technique: ces mesures ne s'appliquent que lorsque la connexion est démarrée par l'ouverture d'un fichier .rdp; elles n'affectent pas les sessions initiées directement à partir du client Remote Desktop ou d'autres formes de connexion à distance. Par conséquent, la protection réduit un vecteur d'hameçonnage très spécifique, mais ne remplace pas d'autres mesures de sécurité du périmètre et d'accès à distance.
Au-delà du patch, il convient d'utiliser le temps pour renforcer les pratiques de sécurité : éviter d'ouvrir les fichiers .rdp reçus par courrier sans vérifier l'expéditeur ; préférer les flux de travail dans lesquels les profils de connexion sont gérés et signés par l'organisation ; et appliquer des politiques de groupe qui contrôlent la redirection des unités, du presse-papiers et des dispositifs d'authentification. Il est également conseillé de réduire l'exposition des services RDP à Internet, d'utiliser l'authentification multifactorielle, les réseaux segmentés et de surveiller les connexions à distance pour détecter une activité anormale. Pour des conseils pratiques sur la façon de réduire les risques dans le RDP et les configurations recommandées, la page de la Cyber Security Agency des États-Unis offre des guides utiles en CISA et Microsoft maintient la documentation de sécurité sur Remote Desktop Microsoft Learn - Services de bureau à distance.
Que devraient faire les entreprises aujourd'hui? Appliquer les mises à jour correspondantes (les cumulatifs indiqués en avril 2026 incluent les protections), revoir les politiques de redirection et de signature, et renforcer la formation des utilisateurs pour traiter les fichiers .rdp non sollicités avec la même prudence que tout autre attaché suspect. Ces mesures travaillent ensemble pour fermer une fenêtre d'attaque qui, bien que technique et d'apparence réduite, s'est révélée efficace lorsqu'elle tombe entre de mauvaises mains.
Si vous voulez approfondir les notes de mise à jour et les avis de sécurité de Microsoft, la documentation officielle sur les avertissements de sécurité sur les connexions à distance est disponible à Microsoft Apprendre et pour le contexte sur la façon dont les agresseurs de RDP peuvent être consultés l'écosystème spécialisé de renseignement et de presse Calculateur ou ressources de la CISA CISA.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...