Microsoft entame la suppression progressive de NTLM dans Windows 11
Microsoft a décidé de désactiver par défaut NTLM dans les prochaines versions de Windows 11 et Windows Server. Une démarche stratégique fortement motivée par des enjeux critiques de sécurité informatique. Depuis bientôt trente ans, le protocole NTLM (New Technology LAN Manager) sert à authentifier les utilisateurs sur les réseaux locaux. Mais, malgré son historique solide, il s’avère désormais largement dépassé et vulnérable face aux menaces actuelles.
Les attaques de type relay, qui exploitent la faiblesse dans la gestion des identifiants, ont largement démontré les risques massifs encourus. En réaction, Windows 11 se tourne vers une posture secure-by-default, où Kerberos prend la place centrale pour renforcer la cybersécurité. Cette modernisation s’inscrit dans un vaste plan de mise à jour de l’authentification, visant à minimiser les surfaces d’attaque.
Le protocole NTLM : un héritage devenu un talon d’Achille
Initialement, NTLM a permis d’éviter l’envoi de mots de passe en clair sur les réseaux en utilisant un système de challenges. Un serveur envoie une chaîne aléatoire, un client répond via un calcul basé sur le mot de passe, ce qui devait garantir confidentialité et intégrité.
En pratique, ce mécanisme ne possède pas les défenseurs robustes des algorithmes modernes et reste sensible aux interceptions et réutilisations frauduleuses des informations d’authentification.
C’est pourquoi Microsoft focalise ses efforts sur Kerberos, une méthode plus robuste, offrant un vrai bouclier contre de nombreuses formes d’intrusions, avec une gestion de tickets plus sécurisée, une meilleure prise en charge des scénarios hors ligne et une compatibilité accrue avec les architectures actuelles.
Le plan de transition : une feuille de route en trois étapes
Ce retrait progressif s’intègre dans une feuille de route bien cadrée, prévue pour réduire un maximum les impacts. Le premier palier, déjà activé sur Windows 11 24H2 et Windows Server 2025, mise sur des outils d’audit avancés permettant aux administrateurs d’identifier précisément où NTLM est encore sollicité.
La phase suivante, attendue pour la seconde moitié de 2026, introduira des fonctionnalités spécifiques telles que IAKerb et un Local Key Distribution Center (KDC). Ces dispositifs faciliteront la gestion des cas où l’authentification recourt encore à NTLM, comme pour les comptes locaux ou les scénarios avec un contrôleur de domaine inaccessible.
Enfin, la dernière phase imposera une désactivation par défaut de NTLM. Désormais, Windows 11 privilégiera systématiquement l’authentification Kerberos sans fallback automatique vers NTLM. Le protocole restera cependant disponible et réactivable manuellement afin de garantir la compatibilité avec les systèmes legacy ne pouvant encore migrer.
Recommandations pratiques pour les administrateurs et développeurs
Pour les administrateurs IT, le message est clair : exploitez pleinement les outils d’audit pour cartographier en détail l’usage résiduel de NTLM et préparer méthodiquement les infrastructures à la transition Kerberos. C’est le meilleur moyen d’éviter les interruptions inattendues et d’optimiser la sécurité générale.
Du côté des développeurs d’applications, la consigne est limpide : abandonner l’intégration directe du protocole NTLM. Il faut se tourner vers des mécanismes modernes comme Negotiate ou Kerberos pur, gages d’une authentification plus fiable et compatible avec les normes actuelles.
Tableau récapitulatif du plan de retrait de NTLM à l’horizon 2026
| Phase | Période | Actions | Objectifs |
|---|---|---|---|
| 1 | Déjà en cours (Windows 11 24H2 / Server 2025) | Mise en place d’audit avancé pour détecter usage NTLM | Identifier précisément où NTLM est utilisé |
| 2 | Seconde moitié de 2026 | Introduction d’IAKerb et Local KDC pour gérer fallback NTLM | Réduire les dépendances NTLM sur des cas spécifiques |
| 3 | Fin 2026 et versions ultérieures | Activation de la désactivation par défaut de NTLM | Privilégier Kerberos et sécuriser l’environnement |
Liste des meilleures pratiques pour réussir la transition vers Kerberos
- Utiliser les outils d’audit Windows 11 pour traquer et analyser les connexions NTLM.
- Mettre à jour les applications pour supporter l’authentification via Negotiate ou Kerberos.
- Former les équipes IT aux nouveautés et à la gestion des incidents d’authentification.
- Évaluer les dépendances avec les systèmes legacy et prévoir une relégation contrôlée des protocoles anciens.
- Documenter rigoureusement les stratégies de sécurité appliquées pour garantir une conformité optimale.
Pour ceux qui souhaitent approfondir l’intégration et la sécurisation de leurs environnements Windows 11, il peut être utile de consulter certains guides spécialisés, notamment sur la gestion optimisée des ressources dans Windows 11 comme l’explorateur amélioré présenté ici. La mise à jour vers des protocoles d’authentification modernes est une étape incontournable pour renforcer la défense du socle Windows dans un contexte de cybersécurité toujours plus exigeant.
Source: www.hwupgrade.it
- Le Super Bowl se prépare à faire face à une menace croissante : la cybersécurité à l’ère de l’IA - février 5, 2026
- Cinq évolutions clés dans l’agenda cybersécurité de l’administration Trump - février 5, 2026
- Le retour discret de BlackBerry dans la cybersécurité : le PDG lève le voile - février 5, 2026
