Microsoft profite des mises à jour d’avril pour durcir l’ouverture des fichiers RDP sur Windows 10 et Windows 11. Objectif affiché : freiner les campagnes de phishing qui détournent ces fichiers de connexion pour exposer des données locales, le presse-papiers ou des moyens d’authentification.
Les fichiers RDP font partie de ces outils que les professionnels connaissent bien. Ils permettent de lancer rapidement une connexion Bureau à distance vers un poste ou un serveur, sans avoir à reconfigurer chaque session. Très utilisés pour l’administration, le support et l’accès à distance, ils ont aussi fini par trouver leur place dans l’arsenal de groupes malveillants, qui les utilisent pour inciter leurs cibles à se connecter à une machine sous leur contrôle. Microsoft vient donc d’annoncer de nouvelles protections dans Windows 10 et Windows 11 pour encadrer plus strictement l’ouverture de ces fichiers.
Des avertissements avant toute ouverture de fichier RDP
L’idée n’est évidemment pas de bloquer un format très utilisé en entreprise, mais de lever un peu le voile sur ce qu’un fichier RDP cherche à faire avant toute connexion.
À compter de la mise à jour de sécurité d’avril 2026, l’application Connexion Bureau à distance doit donc afficher l’ensemble des paramètres contenus dans le fichier avant de lancer la session. Les demandes de redirection, autrement dit tout ce qui permet à la machine distante d’accéder à certaines ressources du PC local, sont désormais présentées séparément et désactivées par défaut.
Une alerte de sécurité doit également apparaître lors de la première ouverture d’un fichier RDP sur l’appareil. Ensuite, chaque lancement déclenche une boîte de dialogue dédiée, qui affiche l’adresse de l’ordinateur distant ainsi que la liste des accès demandés avant l’établissement de la connexion.
Windows fait enfin la différence entre les fichiers signés numériquement et ceux dont l’origine ne peut pas être vérifiée. Dans le premier cas, le nom de l’éditeur est affiché. Dans le second, l’utilisateur ou l’utilisatrice se retrouve face à un avertissement signalant une connexion distante inconnue.
Une protection ciblée, pas une refonte complète
Si Microsoft serre la vis maintenant, ce n’est pas par goût soudain pour les fenêtres d’avertissement. Les fichiers RDP ont déjà été utilisés dans des opérations ciblées, notamment par APT29, qui s’en est servi comme appât pour pousser ses cibles à ouvrir une connexion vers une machine contrôlée à distance. Le danger ne vient pas seulement de la connexion elle-même, mais aussi de tout ce qu’elle peut ouvrir au passage, des fichiers stockés sur le poste au presse-papiers, en passant par divers moyens d’authentification.
Le périmètre reste toutefois bien circonscrit. Ces nouveaux avertissements concernent les connexions lancées par ouverture d’un fichier .rdp, pas celles initiées directement depuis le client Connexion Bureau à distance. Il ne s’agit donc pas d’une refonte complète de l’outil, mais d’un durcissement ciblé sur un mode d’attaque déjà documenté.
À noter enfin que Microsoft laisse aux administrateurs la possibilité de désactiver temporairement cette nouvelle protection via le Registre, sans préciser pour l’heure si cette option sera maintenue à long terme.
Un fichier .RDP est un profil de connexion pour le protocole Remote Desktop Protocol, utilisé pour ouvrir une session Bureau à distance sans ressaisir tous les réglages. Il peut embarquer l’adresse de la machine cible, le mode d’authentification, des options d’affichage, mais aussi des paramètres de redirection. Ces redirections peuvent autoriser la machine distante à accéder à des ressources locales (lecteurs, imprimantes, audio) ou à récupérer des contenus du presse-papiers. Dans un contexte d’attaque, ces options peuvent être configurées pour maximiser la collecte de données depuis le PC local une fois la session ouverte.
Qu’est-ce que la “redirection” dans Bureau à distance, et pourquoi est-ce une surface d’attaque ?La redirection désigne le fait de “présenter” des ressources du PC local à la session distante, par exemple des disques, des périphériques ou le presse-papiers. Techniquement, cela facilite le support et l’administration, car on peut transférer des fichiers ou copier-coller entre environnements. Côté sécurité, c’est une surface d’attaque car une session ouverte vers une machine malveillante peut exploiter ces ponts pour aspirer des données locales ou pousser des fichiers vers le poste. Plus les redirections sont nombreuses et permissives, plus l’impact potentiel d’une connexion trompeuse augmente.
Que change la signature numérique d’un fichier RDP, et quelles limites cela a contre le phishing ?Une signature numérique permet de vérifier l’intégrité du fichier (qu’il n’a pas été modifié) et d’identifier un éditeur via un certificat. Concrètement, cela aide à distinguer un fichier provenant d’un acteur connu d’un fichier dont l’origine ne peut pas être établie. En revanche, une signature ne garantit pas que la connexion est “saine” : un fichier peut être signé par un certificat volé, ou pointer vers une machine compromise. La signature réduit surtout le risque de falsification et améliore la traçabilité, mais elle ne remplace pas une vérification de la destination et des droits demandés.
