Pensées pour limiter les attaques par fichiers RDP piégés, les nouvelles alertes de sécurité de Windows ont connu un démarrage plus compliqué que prévu. Microsoft corrige désormais un bug d’affichage qui pouvait les rendre difficiles à lire ou à valider sur certains PC.
La sécurité, c’est bien. La sécurité qui complique les usages quotidiens, un peu moins. Depuis le Patch Tuesday d’avril, Windows affiche de nouveaux avertissements lors de l’ouverture des fichiers RDP, ces raccourcis utilisés pour lancer une session Bureau à distance vers un poste ou un serveur. Objectif : limiter les abus de ces fichiers dans des campagnes de phishing, notamment lorsqu’ils permettent de rediriger des ressources locales vers une machine distante. Mais cette nouvelle étape de validation, déjà pénible pour des connexions souvent routinières, s’est accompagnée d’un bug d’affichage malvenu sur plusieurs configurations multi-écrans.
Le nouveau garde-fou RDP trébuche sur l’affichage
Dans le détail, le problème concerne la boîte de dialogue de sécurité affichée lors de l’ouverture d’un fichier RDP sur les configurations multi-écrans, quand les moniteurs n’utilisent pas le même niveau de mise à l’échelle. Les fenêtres d’avertissement peuvent alors s’afficher incorrectement, au point de rendre le texte moins lisible, de déplacer les boutons ou d’en masquer une partie. Pour une alerte censée aider à vérifier une connexion avant de l’autoriser, l’expérience coche donc à peu près toutes les mauvaises cases.
C’est désormais chose corrigée, à condition d’installer KB5083631, la dernière mise à jour cumulative optionnelle de Windows 11, déployée le 30 avril. Celles et ceux qui préfèrent éviter les previews peuvent toutefois patienter quelques jours, ce type de correctif ayant vocation à être repris dans la mise à jour de sécurité suivante, la prochaine étant attendue pour le 12 mai.
Des alertes utiles, mais déjà rattrapées par les usages
Pour rappel, Microsoft avait décidé début avril d’intégrer de nouveaux avertissements de sécurité à l’ouverture des fichiers .rdp, souvent utilisés pour préconfigurer l’accès à un poste ou à un serveur. Depuis le Patch Tuesday d’avril, Windows 11 affiche donc un premier message pédagogique lors de la première ouverture, puis une boîte de dialogue avant chaque connexion. Celle-ci récapitule l’adresse de la machine distante, l’éditeur du fichier lorsqu’il est signé, ainsi que les ressources locales demandées par la session, tandis que les redirections vers les lecteurs, le presse-papiers ou les périphériques sont désormais désactivées par défaut.
Une précaution nécessaire, puisque les abus de fichiers RDP piégés sont dorénavant bien documentés, l’exemple le plus parlant restant APT29, qui a exploité ce format pour inciter des cibles à ouvrir une connexion vers une machine contrôlée à distance. Mais ce durcissement s’est aussi très vite heurté à la pratique. Dans de nombreux environnements professionnels, les fichiers RDP servent quotidiennement, parfois plusieurs fois par jour, et chaque étape de validation supplémentaire finit nécessairement par peser, surtout lorsque Windows signale comme non vérifiés des fichiers utilisés dans un cadre maîtrisé.
Bref, Microsoft a réglé la partie la plus visible du problème, mais n’en a certainement pas fini avec ces nouvelles alertes RDP. Car un avertissement de sécurité n’a d’intérêt que s’il reste lisible, compréhensible et bien calibré. Trop fréquent, ou trop souvent déclenché sur des fichiers jugés légitimes, il finit par être validé machinalement, au risque de laisser passer les fichiers piégés qu’il devait justement aider à repérer.
