Selon un article de Ars Technica, Microsoft a déclaré qu’il n’avait pas l’intention de modifier un protocole de connexion à distance dans Windows qui permet aux utilisateurs de se connecter à des machines en utilisant des mots de passe qui ont été révoqués.
Le protocole de bureau à distance, un mécanisme propriétaire intégré à Windows pour permettre à un utilisateur distant de se connecter à et de contrôler une machine comme s’il était directement devant elle, continue dans de nombreux cas à faire confiance à un mot de passe même après qu’un utilisateur l’a changé. Microsoft affirme que ce comportement est une décision de conception pour garantir que les utilisateurs ne soient jamais bloqués.
Daniel Wade, chercheur indépendant en sécurité, a signalé ce comportement au Microsoft Security Response Center. Il a averti que cette conception défie les attentes presque universelles selon lesquelles une fois qu’un mot de passe a été changé, il ne peut plus donner accès à aucun appareil ou compte associé.
Logo de Microsoft Windows
🔗 Source originale : https://arstechnica.com/security/2025/04/windows-rdp-lets-you-log-in-using-revoked-passwords-microsoft-is-ok-with-that/