Microsoft a officiellement déconseillé l’authentification NTLM sur Windows et les serveurs Windows, déclarant que les développeurs devraient passer à l’authentification Kerberos ou à la négociation pour éviter des problèmes à l’avenir.

La nouvelle technologie LAN Manager, mieux connue sous le nom de NTLM, est un protocole d’authentification publié pour la première fois en 1993 dans le cadre de Windows NT 3.1 et en tant que successeur du protocole LAN Manager (LM).

Microsoft affirme que les protocoles NTLM, qui sont encore largement utilisés aujourd’hui, ne sont plus en développement actif à partir de juin et seront progressivement supprimés au profit d’alternatives plus sécurisées.

Cette décision n’est pas surprenante, car Microsoft a annoncé pour la première fois son intention de supprimer le protocole d’authentification vieillissant en octobre 2023, exhortant les administrateurs à passer à Kerberos et à d’autres systèmes d’authentification contemporains, comme Negotiate.

NTLM a été largement abusé dans les cyberattaques connues sous le nom d’attaques de « relais NTLM », où les contrôleurs de domaine Windows sont pris en charge en les forçant à s’authentifier contre des serveurs malveillants.

Bien que Microsoft ait introduit de nouvelles mesures pour se défendre contre ces attaques, telles que la signature de sécurité SMB, les attaques sur l’authentification NTLM se poursuivent.

Par exemple, les hachages de mot de passe peuvent toujours être extraits et utilisés dans des attaques « pass-the-hash », obtenus dans des attaques de phishing ou extraits directement des bases de données Active Directory volées ou de la mémoire d’un serveur. Les attaquants peuvent ensuite déchiffrer les hachages pour obtenir le mot de passe en clair d’un utilisateur.

Mis à part le cryptage plus faible utilisé dans NTLM, comparé à des protocoles plus modernes comme Kerberos, les performances du protocole sont médiocres, nécessitant plus d’allers-retours réseau et ne prennent pas en charge les technologies d’authentification unique (SSO).

Cela dit, NTLM est considéré comme gravement obsolète par les normes de sécurité et d’authentification de 2024, Microsoft le déconseille donc.

Processus d’élimination progressive de NTLM
NTLM fonctionnera toujours dans la prochaine version de Windows Server et la prochaine version annuelle de Windows. Néanmoins, les utilisateurs et les développeurs d’applications doivent passer à « Négocier », qui tente d’abord de s’authentifier auprès de Kerberos et revient à NTLM uniquement lorsque cela est nécessaire.

Microsoft recommande aux administrateurs système d’utiliser des outils d’audit pour comprendre comment NTLM est utilisé dans leur environnement et identifier toutes les instances qui doivent être prises en compte lors de la formulation d’un plan de transition.

Pour la plupart des applications, le remplacement de NTLM par Negotiate peut être obtenu par un changement d’une ligne dans la demande « AcquireCredentialsHandle » à l’Interface du fournisseur de support de sécurité (SSPI). Cependant, il existe des exceptions où des changements plus importants pourraient être nécessaires.

Negotiate dispose d’une solution de secours intégrée à NTLM pour atténuer les problèmes de compatibilité pendant la période de transition.

Les administrateurs confrontés à des problèmes d’authentification peuvent consulter le guide de dépannage Kerberos de Microsoft.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *