Microsoft a publié l'une des mises à jour de sécurité les plus utiles de ces derniers temps, et si vous travaillez dans un environnement où des fichiers RDP circulent régulièrement, celle-ci mérite toute votre attention. Les mises à jour cumulatives d'avril 2026 pour Windows 10 et Windows 11 apportent un ensemble de nouvelles protections conçues pour empêcher les pirates d'utiliser les fichiers RDP comme porte dérobée pour s'introduire dans votre système.
Le problème des fichiers RDP
Les fichiers RDP (Remote Desktop Protocol) sont courants dans les environnements d'entreprise. Ils permettent aux administrateurs de préconfigurer des connexions à des systèmes distants, ce qui semble inoffensif jusqu'à ce que l'on se rende compte que cette fonctionnalité peut être détournée assez facilement. Ouvrez le mauvais fichier RDP et votre appareil peut se connecter silencieusement à un serveur contrôlé par un attaquant, lui donnant accès à vos disques locaux, au contenu de votre presse-papiers et à vos identifiants d'authentification sans que vous ne vous en rendiez compte.
Il ne s'agit pas non plus d'une menace théorique. Le groupe de pirates informatiques russe APT29, soutenu par l'État, a déjà utilisé exactement cette technique dans des campagnes de phishing réelles, en utilisant des fichiers RDP malveillants pour siphonner discrètement les données et les identifiants des victimes. L'attaque est efficace précisément parce qu'elle ne semble pas suspecte à première vue. Ce n'est qu'un fichier, et les fichiers semblent inoffensifs.
Si le fichier RDP n'est pas signé, Windows affiche un avertissement « Attention : connexion à distance inconnue » et marque l'éditeur comme inconnu. C'est la façon dont Microsoft vous indique qu'il n'y a aucun moyen de vérifier qui a créé le fichier ou ce qu'il fait réellement. Même si le fichier est signé numériquement, Windows vous invite toujours à vérifier la légitimité de l'éditeur avant de vous connecter. La signature d'un fichier ne le rend pas automatiquement fiable, et Microsoft a judicieusement choisi de ne pas le traiter comme tel.
Ce que Microsoft a modifié
Les nouvelles protections fonctionnent en plusieurs niveaux. La première fois que vous ouvrez un fichier RDP après avoir installé la mise à jour, Windows affiche un message d'information unique qui explique ce que font réellement les fichiers RDP et les risques associés. Vous en prenez connaissance et cliquez sur OK.
À partir de ce moment, chaque fichier RDP que vous tenterez d'ouvrir déclenchera une boîte de dialogue de sécurité avant que toute connexion ne soit établie. Cette boîte de dialogue vous indique si le fichier a été signé numériquement par un éditeur vérifié, vous montre l'adresse du système distant auquel vous êtes sur le point de vous connecter et répertorie toutes les ressources locales que le fichier tente de rediriger, y compris les lecteurs, l'accès au presse-papiers et les périphériques connectés. Il est essentiel de noter que toutes ces redirection sont désactivées par défaut, ce qui signifie que rien n'est partagé à moins que vous ne choisissiez activement de l'autoriser.
Ces protections ne s'activent toutefois que lorsque vous ouvrez un fichier RDP directement. Les connexions établies via le client Bureau à distance de Windows lui-même ne sont pas affectées par cette mise à jour, l'expérience utilisateur reste donc inchangée. Les administrateurs qui ont besoin de désactiver temporairement ces avertissements peuvent le faire via une clé de registre, mais compte tenu de l'historique d'abus des fichiers RDP lors d'attaques réelles, il est fortement recommandé de laisser ces protections en place. C'est l'un de ces cas où l'inconvénient d'une boîte de dialogue supplémentaire vaut largement l'avantage en matière de sécurité qu'elle apporte.
