Protocole d’authentification hérité des années 1990, NTLM continue de hanter les systèmes Windows malgré ses failles connues. Microsoft prépare sa disparition progressive, avec une désactivation par défaut annoncée pour les prochaines versions majeures de l’OS.
Microsoft a officialisé le retrait progressif de NTLM, un protocole introduit en 1993 avec Windows NT, utilisé pour authentifier l’accès à des ressources réseau comme des partages de fichiers, des imprimantes ou des services internes. Toujours présent dans les éditions actuelles de Windows, l’usage de NTLM sur le réseau sera désactivé par défaut dans les prochaines versions majeures du système, aussi bien côté client que serveur. L’annonce s’inscrit dans un plan en trois phases, conçu pour réduire les risques sans désorganiser les infrastructures existantes.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une mise à la retraite progressive
Officiellement déclaré obsolète depuis juin 2024, NTLM est depuis longtemps considéré comme un protocole à risque. Faiblement chiffré, exposé aux attaques de type pass-the-hash (qui consistent à voler l’empreinte d’un mot de passe plutôt que le mot de passe lui-même) et aux relais NTLM (où une machine compromise est poussée à s’authentifier vers un serveur contrôlé par un attaquant), le protocole sert encore de solution de repli lorsque Kerberos, l’alternative moderne, n’arrive pas à établir l’authentification.
Microsoft prévoit donc une transition en douceur. Sur Windows 11 24H2, 25H2 et Windows Server 2025, des outils d’audit améliorés permettent déjà aux administrateurs et administratrices de repérer les services et applications qui déclenchent encore des authentifications NTLM.
Au second semestre 2026, le système doit ensuite introduire IAKerb et un KDC local, deux évolutions destinées à étendre l’usage de Kerberos dans des situations qui échappent aujourd’hui à l’authentification standard. IAKerb vise notamment les postes qui ne peuvent pas joindre l’infrastructure du domaine au moment de la connexion. Le KDC local doit limiter le recours à NTLM lors de l’authentification de comptes locaux.
La désactivation par défaut interviendra dans un troisième temps, sans retirer NTLM pour autant. Le protocole pourra toujours être réactivé manuellement via des politiques système.
Anticiper la désactivation sans perturber l’existant
NTLM ne disparaîtra donc pas du jour au lendemain, et la feuille de route laisse du temps pour faire les choses proprement. Bien souvent, NTLM survit par habitude, parce qu’un service n’a jamais été mis à jour, parce qu’un outil tiers force encore ce mode d’authentification, ou parce qu’une configuration a été bricolée pour que ça passe et n’a plus bougé ensuite.
L’audit approfondi doit ainsi permettre d’identifier précisément quels services ou quelles applications dépendent encore de NTLM, afin de traiter en priorité les comptes à privilèges et les ressources critiques.
Pour éviter les surprises, le plus simple reste de désactiver NTLM sur le réseau dans un environnement de test, puis de rejouer les parcours métier.
Source : Microsoft
