Microsoft prêt à abandonner le protocole d’authentification NTLM !
Microsoft semble enfin prêt à abandonner le protocole d'authentification NTLM dans Windows et Windows Server. L'entreprise américaine estime que ce protocole est obsolète et que les développeurs doivent entamer une transition vers Kerberos. Voici ce qu'il faut savoir.
Le protocole NTLM est très utilisé par les différentes versions de Windows et Windows Server, et pour cause, il a été introduit en 1993 au sein de Windows NT et il est toujours très utilisé aujourd'hui. Néanmoins, ce n'est pas un secret : le protocole d'authentification NTLM est exploitable au sein différents scénarios d'attaques, notamment en environnement Active Directory, et il représente un véritable point faible dans le SI des organisations.
Microsoft a conscience de ces problèmes de sécurité et va abandonner progressivement le protocole NTLM au profit d'alternatives plus sécurisées, notamment Kerberos. "Toutes les versions de NTLM, y compris LANMAN, NTLMv1 et NTLMv2, ne font plus l'objet d'un développement actif et sont obsolètes.", peut-on lire sur le site de Microsoft.
Remarque : l'authentification NTLM est vulnérable à plusieurs attaques telles que "NTLM Relay" et "Pass-the-hash".
Après l'annonce récente de la fin de VBScript dans Windows, Microsoft semble bien décidé à faire du ménage dans ses systèmes d'exploitation pour en améliorer la sécurité.
Est-ce que Windows Server 2025 prendra toujours en charge NTLM ?
C'est peut-être une question que vous vous posez en lisant cet article. Elle est légitime puisqu'il n'est pas aussi simple de se séparer du protocole NTLM... Rassurez-vous, l'abandon de NTLM sera effectué en plusieurs étapes et Windows Server 2025 va supporter NTLM, tout comme la prochaine version majeure de Windows.
"L'utilisation de NTLM continuera à fonctionner dans la prochaine version de Windows Server et dans la prochaine version annuelle de Windows.", précise l'entreprise américaine. Malgré tout, il y a du changement.
Dans un autre article publié récemment au sujet de la sécurité de Windows 11, Microsoft évoque aussi la fin à venir de NTLM : "La dépréciation de NTLM a été une demande importante de notre communauté de sécurité, car elle renforcera l'authentification des utilisateurs, et la dépréciation est prévue pour la seconde moitié de 2024."
NTLM et Kerberos : le passage au mode "Negotiate"
Microsoft souhaite que l'authentification Kerberos soit prioritaire vis-à-vis de NTLM. Autrement dit, lorsqu'il n'y a pas le choix, notamment si le périphérique ou l'application source ne supporte pas NTLM.
Cela signifie qu'il ne doit plus y avoir d'appels en direct vers NTLM, mais des appels de type "Negotiate" afin que le protocole Kerberos soit utilisé s'il est disponible. Si ce n'est pas le cas, le NTLM est utilisé en guise de solution de replis. C'est le principe de l'authentication fallback. L'objectif étant de permettre aux entreprises d'effectuer une transition en douceur.
Ceci signifie également que les développeurs vont devoir adapter leurs applications, peut-être en s'intéressant à la fonction "AcquireCredentialsHandle" qui intègre plusieurs modes (NTLM, Negotiate, Kerberos, etc.).
Enfin, si vous souhaitez vous débarrasser de NTLM dans votre organisation et préparer ces futurs changements, vous pouvez consulter le tutoriel mentionné ci-dessous. La première phase d'audit vous permettra d'identifier les équipements et applications faisant encore usage du protocole NTLM.
