Windows 11 : Microsoft déploie une politique de sécurité par défaut limitant les attaques par force brute

Une technique utilisée entre autres par les ransomwares pour infiltrer les systèmes

Microsoft déploie une politique de sécurité par défaut sur Windows 11 qui contribuera grandement à empêcher les attaques par force brute. Les attaques déclencheront désormais une politique de verrouillage de compte, qui verrouillera automatiquement tous les comptes d’utilisateurs et d’administrateurs. La politique est conçue pour verrouiller les comptes après dix tentatives de connexion infructueuses, empêchant l’exécution de l’attaque par force brute.

La nouvelle politique se trouve dans Windows 11 Insider Preview Build 22528.1000 et versions ultérieures, et il est possible de modifier les paramètres selon les besoins. Les utilisateurs ont la possibilité de modifier non seulement le nombre d'entrées de mot de passe incorrectes qui déclenchent un verrouillage, mais également la durée pendant laquelle un compte doit être verrouillé.

Malgré leur ancienneté et leur simplicité, les attaques par force brute ont connu une certaine résurgence en raison des besoins actuels du lieu de travail. La pandémie de Covid-19 a contraint de nombreux employés et entreprises à adopter et à s’appuyer sur diverses solutions à distance. L’évolution de la connectivité sur le lieu de travail a entraîné une forte augmentation des attaques par force brute, passant de 150 000 attaques par an à plus d’un million au début de la pandémie.

En effet, lors de l'édition 2022 de la conférence sur la sécurité RSA qui a eu lieu en février, l'agent spécial du FBI Joel DeCapua a déclaré que le protocole Windows Remote Desktop Protocol (RDP) est la méthode la plus courante utilisée par les attaquants de ransomware pour accéder à un réseau avant de déployer le ransomware. « RDP représente toujours 70 à 80*% de la base initiale utilisée par les acteurs du ransomware », a déclaré DeCapua dans son discours. Par conséquent, si vous utilisez RDP dans votre organisation, il est recommandé d'utiliser l'authentification au niveau du réseau (NLA), qui oblige les clients à s'authentifier auprès du réseau avant de se connecter au serveur de bureau à distance. Cette disposition améliore la sécurité car elle ne permet pas à l'attaquant d'accéder à un serveur RDP tant qu'il n'est pas authentifié et offre ainsi une meilleure protection contre les exploits de pré-authentification. Il est également suggéré d'utiliser des mots de passe uniques et complexes pour vos comptes RDP.


C'est dans ce contexte que Microsoft a introduit une politique de sécurité dans Windows 11 qui rend beaucoup plus difficile l'utilisation d'attaques par force brute pour déchiffrer les mots de passe. Par le biais de David Weston, vice-président de Microsoft en charge de la sécurité du système d’exploitation et des offres entreprises, l'entreprise a annoncé l’activation, par défaut, dans Windows 11, d’une règle susceptible de ralentir significativement les attaques en force brute contre les services de déport d’affichage (RDP). Pour mémoire, Remote Desktop Protocol (RDP) est un protocole qui permet à un utilisateur de se connecter sur un serveur exécutant Microsoft Terminal Services. Des clients existent pour la quasi-totalité des versions de Windows, et pour d'autres systèmes d'exploitation, comme les systèmes GNU/Linux.


À partir des dernières versions d'Insider, une nouvelle politique de verrouillage de compte est en place par défaut. Si un mot de passe incorrect est entré 10 fois, le compte sera verrouillé pendant 10 minutes. Bien que cela ne rende pas les attaques par force brutes impossibles à mener à bien, cela les rend beaucoup plus difficiles à réaliser et consomme beaucoup plus le temps des cybercriminels, renforçant la sécurité dans un domaine important. Soulignons que certains éléments comme le nombre de mots de passe incorrects entrés qui provoquent le verrouillage, ou la durée pendant laquelle un compte sera verrouillé, sont paramétrables.


La décision de Microsoft est un énorme pas en avant dans la réduction de l’efficacité de l’une des vulnérabilités les plus anciennes et les plus simplistes qui affligent les utilisateurs du monde entier. Malgré la nouvelle politique, les utilisateurs doivent toujours appliquer de bonnes pratiques de sécurité en créant des mots de passe complexes en utilisant une longueur de caractères accrue, une casse de caractères variée, des chiffres et (lorsque cela est autorisé) des caractères spéciaux.

Microsoft bloque lentement les vecteurs d'attaque les plus populaires

Microsoft bloquera les macros Office par défaut à partir du 27 juillet

Microsoft a confirmé qu'il commencerait bientôt à bloquer par défaut les macros Visual Basic Applications (VBA) dans les applications Office après avoir discrètement annulé le changement plus tôt ce mois-ci.

Dans une nouvelle mise à jour, la grande enseigne de la technologie a déclaré qu'elle commencerait à bloquer les macros Office par défaut à partir du 27 juillet. Cela survient peu de temps après que Microsoft a interrompu le déploiement de la fonction de blocage des macros en citant des « commentaires d'utilisateurs » non spécifiés. On pense que le déploiement initial, qui a débuté début juin, a causé des problèmes aux organisations utilisant des macros pour automatiser les processus de routine, tels que la collecte de données ou l'exécution de certaines tâches.

Dans une déclaration, Microsoft a déclaré avoir suspendu le déploiement pendant qu'il « apporte quelques modifications supplémentaires pour améliorer la convivialité ». La société a depuis mis à jour sa documentation avec des instructions étape par étape pour les utilisateurs finaux et les administrateurs informatiques expliquant comment Office détermine s'il faut bloquer ou exécuter des macros, quelles versions d'Office sont affectées par les nouvelles règles, comment autoriser les macros VBA dans les fichiers de confiance et comment se préparer au changement.

Les macros constituent un vecteur d'attaque populaire dans le rang des cybercriminels. Dans le cadre de ces attaques, les utilisateurs reçoivent généralement un document par courrier électronique ou qu'ils sont invités à télécharger sur un site Web. À l'ouverture du fichier par la victime, l'attaquant laisse généralement un message demandant à l'utilisateur de permettre l'exécution de la macro. Bien que les utilisateurs ayant des connaissances techniques et en cybersécurité soient capables de reconnaître ce piège et de se faire quand même infecter par des logiciels malveillants, de nombreux utilisateurs quotidiens d'Office ignorent encore cette technique.

Ils finissent alors par suivre les instructions fournies, s'infectant eux-mêmes avec des logiciels malveillants. La gestion de ce problème a été une épine dans le pied de Microsoft, car les macros VBA sont souvent utilisées dans les entreprises pour automatiser certaines opérations et tâches lors de l'ouverture de certains fichiers, comme l'importation de données et la mise à jour du contenu du document à partir de sources dynamiques. Depuis le début des années 2000, Microsoft a tenté de résoudre ce problème en affichant un léger avertissement de sécurité sous la forme d'une barre d'outils en haut du document.

Mais en février, Microsoft a annoncé son intention de désactiver les macros par défaut en février pour empêcher les acteurs malveillant d'abuser de la fonctionnalité pour diffuser des logiciels malveillants via des pièces jointes aux e-mails.

Ce changement, réclamé depuis des années par les chercheurs en sécurité, est perçu comme une barrière sérieuse contre les acteurs malveillants du Web, qui incitent les utilisateurs à autoriser l'exécution d'une macro infectée afin d'installer des logiciels malveillants sur leurs systèmes.

Avec ce changement, lorsque des fichiers qui utilisent des macros seront téléchargés depuis Internet, ces macros seront désormais entièrement désactivées par défaut. Contrairement aux anciennes versions d'Office, qui affichent une bannière d'alerte sur laquelle il est possible de cliquer pour autoriser l'exécution des macros, la nouvelle version de la bannière ne propose aucun moyen de les activer.

Authentification multficateur dans Azure AD

Pour contrecarrer les attaques par mot de passe et par hameçonnage, Microsoft a déployé des paramètres de sécurité par défaut pour un grand nombre d'utilisateurs d'Azure Active Directory (AD).

Microsoft a commencé à déployer les valeurs par défaut de sécurité pour les clients qui ont créé un nouveau compte Azure AD après octobre 2019, mais n'a pas activé les valeurs par défaut pour les clients qui ont créé des comptes Azure AD avant octobre 2019.

En mai, Microsoft a annoncé que les valeurs par défaut de sécurité d'Azure AD étaient utilisées par environ 30 millions d'organisations. L'entreprise a indiqué à cette période que le mois suivant, elle allait déployer les valeurs par défaut dans de nombreuses autres...