Faille Windows NTLMv2 : vos accès réseau en danger

Imaginez qu'un inconnu récupère la clé de votre bureau sans forcer la serrure, simplement parce que vous avez ouvert un fichier ou cliqué sur un lien. C'est exactement ce que permet une vulnérabilité Windows découverte récemment et, à ce jour, toujours sans correctif officiel. Elle exploite Windows Search — cet outil intégré à Windows que vous utilisez chaque jour pour retrouver vos fichiers — pour dérober silencieusement vos identifiants réseau. En clair : le mot de passe chiffré qui vous donne accès à vos serveurs, vos dossiers partagés et vos applications internes. Pour une PME, les conséquences peuvent être dévastatrices.

Ce qui se passe concrètement lors de l'attaque

Windows utilise un protocole d'authentification appelé NTLM pour vérifier votre identité sur le réseau interne. À chaque connexion, Windows envoie une empreinte cryptée de votre mot de passe — ce que les experts appellent un « hash NTLMv2 ». La faille Windows NTLMv2 découverte dans le mécanisme Windows Search URI (un type de lien spécial que Windows traite automatiquement) force votre machine à envoyer cette empreinte vers un serveur contrôlé par l'attaquant, sans que vous ayez à saisir quoi que ce soit. Un simple fichier Word piégé reçu par e-mail, un lien dans un message Teams ou une pièce jointe PDF suffisent à déclencher le vol. L'attaquant récupère alors ce hash et peut, avec des outils accessibles en ligne, tenter de retrouver votre mot de passe en clair ou l'utiliser directement pour usurper votre identité sur le réseau — une technique appelée « pass-the-hash ».

Pourquoi les PME sont particulièrement exposées

Les grandes entreprises disposent souvent d'équipes dédiées qui détectent ces tentatives en temps réel. Dans une PME, ce type d'attaque peut passer totalement inaperçu pendant des jours, voire des semaines. La vulnérabilité Windows Search ne nécessite aucune interaction complexe de votre part : l'employé n'a pas besoin d'installer un programme, de valider une fenêtre suspecte ou d'entrer un mot de passe. L'attaque est silencieuse. Par ailleurs, dans beaucoup de PME françaises, un même compte administrateur est partagé entre plusieurs collaborateurs, ou les droits réseau sont peu cloisonnés. Une fois qu'un attaquant possède le hash d'un compte disposant de droits étendus, il peut accéder à l'ensemble des fichiers partagés, aux sauvegardes, aux outils de comptabilité ou aux données clients. La sécurité PME Windows n'a jamais été aussi critique qu'aujourd'hui, à l'heure où les cyberattaques ciblant les petites structures augmentent chaque trimestre.

Aucun patch disponible : comment limiter le risque maintenant

Microsoft n'a pas encore publié de correctif officiel pour cette vulnérabilité Windows Search au moment où ces lignes sont écrites. Cela ne signifie pas que vous êtes impuissant. Il existe plusieurs mesures compensatoires — c'est-à-dire des actions qui réduisent le risque en attendant le patch — que vous ou votre prestataire informatique pouvez appliquer rapidement. La première consiste à désactiver ou restreindre le protocole NTLM là où il n'est pas indispensable, en favorisant son successeur plus sécurisé, Kerberos. La deuxième mesure est de bloquer, au niveau de votre pare-feu ou de votre routeur, les connexions sortantes vers les ports 137, 138, 139 et 445 (SMB) qui ne sont pas destinées à vos propres serveurs internes. Cela empêche votre machine d'envoyer le hash vers un serveur externe. Enfin, sensibiliser vos équipes à ne pas ouvrir les pièces jointes inattendues reste, comme toujours, une barrière efficace et gratuite.

Ce que vous pouvez faire dès maintenant

1. Contactez votre prestataire informatique aujourd'hui et mentionnez explicitement la faille Windows NTLMv2 liée à Windows Search URI — demandez-lui d'appliquer les mesures de blocage SMB sortant sur votre pare-feu. 2. Vérifiez que Windows Update est activé sur tous vos postes : dès que Microsoft publiera le correctif, il devra être installé dans les 24 heures. 3. Auditez les comptes à privilèges sur votre réseau : limitez le nombre de comptes administrateurs et assurez-vous que chaque employé a uniquement accès aux ressources dont il a besoin. 4. Sensibilisez vos équipes par un message simple : ne pas ouvrir de pièces jointes inattendues, même provenant d'une adresse connue, et signaler tout comportement inhabituel de leur poste. 5. Si vous n'avez pas de prestataire, envisagez un audit rapide de votre sécurité PME Windows : de nombreux cabinets proposent un premier diagnostic à tarif accessible, et cette faille est une bonne raison de ne plus reporter cette démarche.