Microsoft déploie des contrôles anti-phishing pour les fichiers de connexion RDP
Microsoft a déployé des protections de sécurité renforcées le 14 avril 2026, ciblant une menace de phishing croissante qui exploite les fichiers de connexion Remote Desktop Protocol. Les nouvelles défenses Windows détectent et bloquent automatiquement les fichiers .rdp malveillants que les attaquants utilisent pour voler des identifiants et obtenir un accès réseau non autorisé. Ces protections s'activent lorsque les utilisateurs tentent d'ouvrir des fichiers de connexion RDP provenant de sources non fiables, affichant des avertissements de sécurité avant d'établir toute connexion à distance.
L'amélioration de la sécurité répond à un vecteur d'attaque sophistiqué où les cybercriminels distribuent des fichiers .rdp armés via des pièces jointes d'e-mails, des sites Web malveillants ou des partages de fichiers compromis. Lorsque les victimes ouvrent ces fichiers, les configurations RDP malveillantes peuvent rediriger les connexions vers des serveurs contrôlés par les attaquants, capturer des identifiants d'authentification ou permettre un accès non autorisé aux ressources réseau internes. Les données de télémétrie de Microsoft ont montré une augmentation de 340 % des tentatives de phishing basées sur RDP au cours du premier trimestre de 2026, ce qui a conduit à cette réponse de sécurité urgente.
Le nouveau mécanisme de protection fonctionne au niveau du shell Windows, interceptant l'exécution des fichiers .rdp avant que le client Remote Desktop ne traite les paramètres de connexion. Lorsque Windows détecte des configurations potentiellement dangereuses dans les fichiers RDP—telles que des lecteurs redirigés, le partage du presse-papiers ou l'accès à l'imprimante—le système affiche désormais une boîte de dialogue d'avertissement de sécurité détaillée. Les utilisateurs doivent explicitement reconnaître ces risques et fournir une approbation administrative avant de poursuivre la connexion. Ce processus de vérification en plusieurs étapes réduit considérablement la probabilité de vol d'identifiants réussi par des tactiques d'ingénierie sociale.
L'équipe de sécurité de Microsoft a collaboré avec le programme CISA Known Exploited Vulnerabilities pour développer ces protections après avoir observé une exploitation généralisée des mauvaises configurations RDP dans les environnements d'entreprise. La division de renseignement sur les menaces de l'entreprise a documenté plus de 15 000 fichiers RDP malveillants uniques circulant dans les forums clandestins en mars 2026, dont beaucoup ciblaient spécifiquement les services financiers et les organisations de santé. Ces fichiers se faisaient souvent passer pour des outils de support informatique légitimes ou des packages d'installation de logiciels, les rendant particulièrement efficaces contre les utilisateurs non méfiants.
Les utilisateurs de Windows 10 et 11 confrontés à l'exposition au phishing RDP
Les nouvelles protections bénéficient à toutes les installations de Windows 10 version 1903 et ultérieures, y compris Windows 11 dans toutes les éditions—Home, Pro, Enterprise et Education. Microsoft a donné la priorité aux environnements d'entreprise où les connexions Remote Desktop sont courantes pour l'administration informatique, le déploiement de logiciels et les scénarios de travail à distance. Les organisations utilisant Windows Server 2019 et 2022 en tant qu'hôtes de session Remote Desktop reçoivent également des capacités de journalisation améliorées pour détecter les tentatives de connexion suspectes à partir de fichiers .rdp potentiellement compromis.
Les petites et moyennes entreprises sont particulièrement vulnérables aux attaques de phishing RDP en raison d'une formation limitée à la sensibilisation à la sécurité et de la dépendance à des fournisseurs de support informatique tiers. Ces organisations reçoivent souvent des fichiers .rdp légitimes de la part de fournisseurs de services gérés, ce qui rend difficile pour les utilisateurs de distinguer les fichiers de connexion authentiques des fichiers malveillants. Les recherches de Microsoft indiquent que les entreprises comptant moins de 500 employés ont connu 60 % d'incidents de vol d'identifiants basés sur RDP réussis de plus que les grandes entreprises disposant d'équipes de cybersécurité dédiées.
Les utilisateurs à domicile exécutant Windows 10 ou 11 qui utilisent fréquemment Remote Desktop pour l'accès aux fichiers personnels ou le support technique bénéficient également de ces protections. Les améliorations de sécurité sont particulièrement pertinentes pour les utilisateurs qui téléchargent des logiciels à partir de sources non officielles ou répondent à des offres de support technique non sollicitées, car ces scénarios impliquent souvent la distribution de fichiers .rdp malveillants. Microsoft estime qu'environ 23 millions d'appareils Windows dans le monde ont exécuté au moins un fichier .rdp provenant d'une source externe au cours des six derniers mois, représentant la surface d'attaque potentielle pour ce vecteur de menace.
Configurer et gérer les contrôles de sécurité RDP de Windows
Les nouvelles protections RDP s'activent automatiquement via Windows Update KB5036893 pour Windows 11 et KB5036894 pour Windows 10, ne nécessitant aucune configuration manuelle pour une fonctionnalité de base. Les administrateurs système peuvent personnaliser le comportement de sécurité via les paramètres de stratégie de groupe situés sous Configuration de l'ordinateur > Modèles d'administration > Composants Windows > Services de bureau à distance > Client de connexion de bureau à distance. La politique "Configurer les avertissements de sécurité pour les fichiers RDP" offre trois niveaux d'application : Désactivé (pas d'avertissements), Activé avec dérogation utilisateur (par défaut) et Mode strict (bloque tous les fichiers RDP non fiables).
Les environnements d'entreprise devraient mettre en œuvre le paramètre Mode strict pour empêcher les utilisateurs de contourner les avertissements de sécurité, en particulier dans les secteurs à haute sécurité comme la finance et la santé. Les administrateurs peuvent mettre sur liste blanche les sources de fichiers RDP de confiance en configurant la politique "Éditeurs de fichiers RDP de confiance", qui accepte les signatures numériques des autorités de certification approuvées. Les organisations utilisant des outils de déploiement RDP personnalisés doivent s'assurer que leurs fichiers .rdp sont correctement signés avec des certificats de signature de code valides pour éviter de déclencher des avertissements de sécurité pour les connexions légitimes.
La journalisation de sécurité améliorée crée de nouvelles entrées d'ID d'événement 1149 dans le journal Microsoft-Windows-TerminalServices-ClientActiveXCore/Operational chaque fois que Windows bloque ou avertit à propos de fichiers RDP suspects. Ces événements incluent le chemin du fichier, les facteurs de risque détectés et la réponse de l'utilisateur, permettant aux équipes de sécurité de surveiller les tentatives de phishing potentielles. Les départements informatiques devraient configurer les systèmes de gestion des informations et des événements de sécurité (SIEM) pour alerter sur plusieurs événements 1149 provenant du même utilisateur ou poste de travail, car ce schéma indique souvent des campagnes de phishing en cours ciblant des individus ou des départements spécifiques.
Pour les organisations qui ne peuvent pas déployer immédiatement les mises à jour d'avril 2026, Microsoft recommande de mettre en œuvre des protections provisoires via les recommandations du Guide de mise à jour de sécurité MSRC, y compris des modifications d'association de fichiers et des politiques d'exécution PowerShell qui restreignent le traitement des fichiers .rdp à partir de lieux non fiables. Ces mesures temporaires offrent une protection partielle pendant que les organisations planifient leurs calendriers de déploiement des mises à jour.
