Microsoft a annoncé l'abandon définitif de l'algorithme de chiffrement RC4, pris en charge par défaut par les systèmes Windows depuis plus de 25 ans. Cette décision fait suite à des années de critiques de la part d'experts en sécurité, à une série de violations de données très médiatisées de réseaux d'entreprises et à des pressions politiques aux États-Unis. L'entreprise a indiqué que RC4 sera désactivé par défaut sur les contrôleurs de domaine Windows Server d'ici mi-2026. RC4 existe depuis l'introduction d'Active Directory par Microsoft en 2000. Depuis lors, cet algorithme constitue la base des mécanismes d'authentification dans les grandes organisations, même si ses faiblesses sont connues de la communauté cryptographique depuis les années 1990. Conçu en 1987 par Ron Rivest de RSA Security, RC4 était destiné à être un chiffrement de flux rapide et simple. Quelques jours seulement après sa révélation en 1994, des chercheurs ont démontré des attaques réduisant considérablement sa sécurité. Malgré cela, RC4 a été utilisé pendant des années dans des protocoles courants comme SSL et TLS, ainsi que dans l'infrastructure Windows. Dans le monde de l'entreprise, sa présence s'est avérée particulièrement problématique. L'acceptation par défaut des requêtes d'authentification basées sur RC4 est devenue l'un des vecteurs d'attaque préférés des cybercriminels. La technique de Kerberoasting, connue depuis 2014, a permis l'acquisition massive d'identifiants chiffrés et leur décryptage hors ligne ultérieur.

RC4 a joué un rôle déterminant dans l'un des incidents de cybersécurité les plus graves de ces dernières années. En 2024, une attaque contre le réseau d'Ascension, l'un des plus importants groupes hospitaliers américains, a paralysé 140 hôpitaux et exposé les données médicales de millions de patients. Cet incident a provoqué une vive polémique. Le sénateur Ron Wyden a publiquement demandé à la Commission fédérale du commerce d'enquêter sur Microsoft pour négligence en matière de cybersécurité, dénonçant le maintien par défaut d'un algorithme jugé non sécurisé. La pression des autorités de régulation et du public a accéléré une décision que le secteur attendait depuis des années. « Le problème, cependant, est qu’il est difficile d’éliminer un algorithme cryptographique présent dans tous les systèmes d’exploitation commercialisés depuis 25 ans et qui a été l’algorithme par défaut pendant tout ce temps », a écrit Steve Syfuhs, qui dirige l’équipe d’authentification Windows de Microsoft.

Microsoft a annoncé que les contrôleurs de domaine Kerberos sous Windows Server 2008 et versions ultérieures n'accepteront par défaut que le chiffrement AES-SHA1. Le chiffrement RC4 restera disponible uniquement après configuration manuelle par un administrateur. L'entreprise souligne que cette nouvelle norme est présente dans les systèmes Windows depuis de nombreuses années et constitue depuis longtemps le mécanisme d'authentification côté client privilégié. Cette modification corrige une vulnérabilité qui, pendant des années, a permis des attaques de type Kerberoasting dans des environnements où les paramètres hérités restaient actifs malgré l'existence de solutions plus sécurisées. Bien que RC4 présente des failles de sécurité connues, le Kerberoasting (une technique d'attaque ciblant Active Directory) exploite une autre vulnérabilité. Implémenté dans l'authentification Active Directory, il n'utilise pas de sel cryptographique et se contente d'une seule itération de la fonction de hachage MD4. Le salage consiste à ajouter une valeur aléatoire à chaque mot de passe avant de le hacher. Cette technique exige des pirates informatiques un investissement considérable en temps et en ressources pour déchiffrer le hachage. MD4, en revanche, est un algorithme rapide et peu gourmand en ressources. L'implémentation AES-SHA1 de Microsoft est nettement plus lente et itère le hachage, ce qui ralentit encore davantage le processus de déchiffrement. Déchiffrer un mot de passe haché avec AES-SHA1 requiert environ 1 000 fois plus de temps et de ressources.

Les représentants de Microsoft admettent ouvertement que la suppression de RC4 était extrêmement complexe. Cet algorithme était présent dans presque toutes les versions de Windows depuis plus de vingt ans et son intégration était profondément ancrée dans les règles de sélection des mécanismes de chiffrement. Chaque tentative de retour en arrière a révélé de nouvelles dépendances et a nécessité des ajustements précis. Ces dernières années, l'entreprise a progressivement encouragé l'utilisation de l'AES, constatant une forte baisse de l'utilisation du RC4 en conditions réelles. C'est seulement après cette baisse qu'il a été décidé de le désactiver complètement afin d'éviter des pannes massives. Microsoft exhorte les administrateurs à auditer minutieusement leur infrastructure. De nombreux réseaux reposent encore sur des systèmes tiers anciens, pour lesquels RC4 est parfois la seule méthode d'authentification prise en charge. Ces éléments passent souvent inaperçus, bien qu'ils soient essentiels à des processus métier critiques. L'entreprise propose de nouveaux outils de diagnostic, notamment des journaux KDC améliorés et des scripts PowerShell, capables d'identifier les requêtes d'authentification utilisant l'algorithme obsolète. Pour de nombreuses organisations, ces changements à venir impliquent une modernisation urgente.