Contexte: Ars Technica détaille la décision de Microsoft de mettre fin au support par défaut du chiffrement obsolète RC4 dans Kerberos/Active Directory, un choix historiquement associé à des attaques comme le Kerberoasting et critiqué par le sénateur américain Ron Wyden. L’article rappelle le rôle de RC4 dans la compromission d’Ascension (disruptions hospitalières et données de 5,6 M de patients).

Changement annoncé: D’ici mi‑2026, Microsoft mettra à jour les contrôleurs de domaine (KDC) sur Windows Server 2008 et ultérieurs pour n’autoriser par défaut que AES‑SHA1. RC4 sera désactivé par défaut et n’opérera que si un administrateur le configure explicitement. Bien que AES‑SHA1 soit disponible depuis 2008 et utilisé côté clients, les serveurs Windows répondaient encore, par défaut, aux requêtes d’authentification RC4, ouvrant la voie aux attaques de Kerberoasting.

Découverte et visibilité: Microsoft fournit des outils pour identifier les dépendances à RC4 encore présentes dans des systèmes tiers hérités, parfois critiques et oubliés. Parmi ces outils: des mises à jour des journaux KDC (traçant requêtes et réponses Kerberos en RC4) et de nouveaux scripts PowerShell pour analyser les journaux de sécurité.

Détails techniques et historique: Si RC4 souffre de faiblesses intrinsèques, le Kerberoasting exploite surtout une implémentation Kerberos sans sel et avec une seule itération MD4, facilitant le craquage. L’implémentation AES‑SHA1 de Microsoft est plus lente et itérative, nécessitant environ 1000× plus de ressources pour casser les mots de passe. Steve Syfuhs (Windows Authentication) explique la complexité d’éliminer RC4 après « 20 ans de changements de code »; des ajustements favorisant AES ont déjà fait chuter l’usage de RC4 à un niveau quasi nul, permettant aujourd’hui de l’éteindre sans tout « casser ».

IOCs et TTPs:

  • TTPs: Kerberoasting (abuse de tickets de service Kerberos), exploitation du fallback RC4 des KDC AD, paramètres de hachage faibles (pas de sel, MD4 à 1 itération), ciblage de Active Directory pour l’élévation de privilèges/accès aux identifiants.
  • IOCs: Aucun indicateur concret mentionné.

Type d’article: article de presse spécialisé visant à informer sur une mise à jour de produit à fort impact sécurité et le contexte technique/historique associé.

🔗 Source originale : https://arstechnica.com/security/2025/12/microsoft-will-finally-kill-obsolete-cipher-that-has-wreaked-decades-of-havoc/