Microsoft va prochainement abandonner un système de chiffrement obsolète qui était pris en charge par défaut depuis 26 ans. Nommé RC4, ce système était devenu l’élément clé de plusieurs piratages dévastateurs et faisait l’objet de vives critiques, notamment de la part de législateurs américains.

Lorsque Ronald Rivest met au point l’algorithme Rivest Cipher 4 en 1987, il y a fort à parier que le cryptologue ne s’attend pas à une telle trajectoire pour son invention.

Protégé par le secret commercial jusqu’en 1994, l’algorithme fuite et devient rapidement un terrain d’expérimentation pour de nombreux cryptographes à travers le monde. En quelques jours, RC4 est cassé et sa sécurité sérieusement remise en cause.

Ronald Rivest // Source : Image Wikipedia
Ronald Rivest. // Source : Image Wikipedia

Malgré cela, RC4 restera largement utilisé dans les protocoles de chiffrement, notamment SSL puis son successeur TLS, jusqu’à il y a une dizaine d’années.

Parmi ses plus fervents utilisateurs figure le géant américain Microsoft qui, lors du lancement d’Active Directory en 2000, impose RC4 comme unique moyen de sécuriser cet outil destiné à configurer et gérer les comptes au sein des grandes organisations.

bitdefender-logo
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement

Mais le temps du changement est finalement venu pour Microsoft, comme le souligne le média américain Ars Technica. Dans un article de blog publié le 3 décembre 2025, l’entreprise a annoncé l’abandon définitif de RC4, une décision notamment motivée par une terrible cyberattaque par ransomware survenue en mai 2024.

Une cyberattaque majeure en 2024

En effet, même si Microsoft a par la suite mis à niveau Active Directory pour prendre en charge la norme de chiffrement AES, bien plus sécurisée, les serveurs Windows continuaient, par défaut, à répondre aux requêtes d’authentification basées sur RC4 et à renvoyer une réponse chiffrée avec ce même protocole.

Cette persistance a créé une surface d’attaque idéale pour des techniques comme le Kerberoasting, où les attaquants demandent des tickets de service Kerberos, puis tentent de casser hors‑ligne les mots de passe associés.

Dans les environnements où RC4 est encore autorisé, ces tickets peuvent alors être chiffrés avec des clés basées directement sur le hash du mot de passe, sans ajout de données aléatoires et avec très peu ou pas d’itérations, ce qui rend le cassage nettement plus facile.

Pour rappel, un « ticket Kerberos » est un jeton d’accès chiffré que le contrôleur de domaine remet à un utilisateur ou à un service pour lui permettre de prouver son identité et d’accéder à une ressource sans renvoyer son mot de passe à chaque requête.

C’est précisément cette vulnérabilité qui a été mise à profit lors de la cyberattaque visant le géant américain de la santé Ascension, où l’abus d’authentifications basées sur RC4 a ouvert la porte à un accès beaucoup plus large au système d’information.

Cette faille avait notamment provoqué des dysfonctionnements critiques dans 140 hôpitaux et permis aux assaillants d’accéder aux dossiers médicaux de 5,6 millions de patients, illustrant très concrètement les conséquences du maintien en production d’un chiffrement obsolète.

Exclu des réglages par défaut 26 ans après

En septembre 2025, le sénateur américain Ron Wyden avait d’ailleurs pris appui sur cette affaire pour demander à la Commission fédérale du commerce d’enquêter sur Microsoft pour « grave négligence en matière de cybersécurité », en raison du maintien par défaut du protocole RC4.

Le message semble avoir été entendu : dans son communiqué, Microsoft annonce le retrait complet de RC4 des paramètres par défaut d’Active Directory.

L’entreprise précise que d’ici mi-2026, les paramètres par défaut du contrôleur de domaine seront mis à jour pour autoriser uniquement le chiffrement AES-SHA1 : « RC4 sera désactivé par défaut et ne sera utilisé que si un administrateur de domaine configure explicitement un compte ou le centre de distribution de clés Kerberos pour l’utiliser. »

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !