Netcrook Logo
👤 CIPHERWARDEN
🗓️ 24 Oct 2025   🗂️ Threats    

De l’Exclusion au Confinement : L’Audacieuse Décision de Microsoft pour Stopper le Vol de Crédentiels via l’Explorateur de Fichiers

Microsoft désactive les aperçus de fichiers téléchargés dans l’Explorateur de fichiers, fermant ainsi une porte dérobée silencieuse exploitée par des hackers depuis des années.

En Bref

  • À partir d’octobre 2025, l’Explorateur de fichiers ne prévisualisera plus par défaut les fichiers téléchargés depuis Internet.
  • Ce changement bloque une attaque furtive qui vole les empreintes de mot de passe NTLM lorsque les utilisateurs prévisualisent simplement des fichiers malveillants.
  • Seuls les fichiers marqués avec le Mark of the Web ou situés sur des partages de la zone Internet sont concernés.
  • Les utilisateurs peuvent toujours prévisualiser les fichiers de confiance en supprimant manuellement le blocage de sécurité.
  • Cette nouvelle protection s’inscrit dans l’effort continu de Microsoft pour lutter contre l’ingénierie sociale et le vol de crédentiels.

Fermer la Porte Silencieuse : Pourquoi Microsoft Met Fin aux Aperçus

Imaginez que vous passez devant une fenêtre et qu’en y jetant simplement un coup d’œil, un voleur s’empare de vos clés de maison. C’est l’équivalent numérique de ce qui se passait sous Windows : il suffisait de prévisualiser un fichier dans l’Explorateur de fichiers pour que vos identifiants de connexion soient exposés à des hackers. La dernière mise à jour de sécurité de Microsoft, en cours de déploiement pour les utilisateurs de Windows 11 et Windows Server, claque cette fenêtre.

Au cœur de cette décision se trouve une attaque peu connue mais redoutable. Lorsque les utilisateurs prévisualisent certains fichiers - comme des documents HTML téléchargés depuis Internet - un code spécialement conçu à l’intérieur peut discrètement envoyer l’empreinte NTLM (mot de passe Windows) de l’utilisateur vers un serveur pirate. Il suffit de surligner le fichier ; nul besoin de double-cliquer ou de l’ouvrir. Cette technique, parfois appelée « attaque sans clic » ou « attaque via le volet de prévisualisation », est prisée des cybercriminels cherchant à contourner les défenses classiques.

Du MotW au NTLM : Comprendre la Menace

Les fichiers à risque sont marqués par Windows avec un « Mark of the Web » (MotW) - une étiquette numérique indiquant « Ceci provient d’Internet ». Chaque fois que vous téléchargez une pièce jointe ou enregistrez un fichier depuis votre navigateur, le MotW est ajouté. Historiquement, les attaquants ont exploité cela en cachant des liens malveillants dans ces fichiers. Lorsque le volet de prévisualisation de l’Explorateur de fichiers affiche le fichier, le système tente de charger des ressources externes (comme des images ou des scripts), envoyant à son insu des données de mot de passe sensibles.

Ce n’est pas qu’une théorie. En 2022, des chercheurs de BleepingComputer et Huntress Labs ont signalé une recrudescence d’attaques utilisant cette méthode, souvent liées à des campagnes de phishing. L’avantage (et le danger) de cette méthode ? Elle ne nécessitait quasiment aucune action de l’utilisateur - juste un clic pour surligner le fichier. Avec les groupes de ransomware et les acteurs étatiques toujours à la recherche de nouveaux points d’accès, la décision de Microsoft répond directement à des menaces réelles et croissantes.

Sécurité vs. Utilisabilité : Naviguer dans la Nouvelle Donne

Pour la plupart des utilisateurs, ce changement est invisible - l’Explorateur de fichiers refuse simplement de prévisualiser les fichiers à risque et affiche un avertissement à la place. Ceux qui ont besoin de consulter des téléchargements de confiance peuvent toujours le faire en les « débloquant » manuellement, ce qui peut nécessiter un redémarrage. Les administrateurs système peuvent également mettre certains emplacements réseau en liste blanche.

Cette mise à jour s’inscrit dans une tendance plus large du secteur : sacrifier un peu de commodité pour éliminer des cyberattaques à fort impact et faible effort. À mesure que le travail se déplace en ligne et que les attaquants ciblent les usages quotidiens, même des fonctionnalités apparemment mineures comme l’aperçu de fichiers deviennent des champs de bataille pour la sécurité.

Dans le jeu du chat et de la souris de la cybercriminalité, la décision de Microsoft rappelle que même les plus petites fenêtres - au sens propre comme au figuré - peuvent devenir des portes pour les attaquants. En verrouillant le volet de prévisualisation de l’Explorateur de fichiers, Redmond ne corrige pas seulement un bug ; il tourne la page sur une attaque sournoise qui prospérait grâce à la confiance des utilisateurs et à la commodité du système.

WIKICROOK

  • Explorateur de fichiers : L’Explorateur de fichiers est l’application Windows utilisée pour parcourir, organiser et gérer les fichiers et dossiers de votre ordinateur via une interface graphique simple.
  • Empreinte NTLM : Une empreinte NTLM est une version chiffrée d’un mot de passe Windows utilisée pour l’authentification ; si elle est compromise, elle permet à des attaquants d’usurper l’identité des utilisateurs.
  • Mark of the Web (MotW) : Le Mark of the Web (MotW) est une étiquette ajoutée aux fichiers provenant d’Internet, signalant à Windows qu’ils peuvent être risqués et déclenchant des avertissements de sécurité.
  • Volet de prévisualisation : Un volet de prévisualisation permet de visualiser rapidement le contenu d’un fichier dans des applications comme l’Explorateur de fichiers ou la messagerie, sans ouvrir complètement le fichier.
  • Zero : Une vulnérabilité zero-day est une faille de sécurité cachée, inconnue de l’éditeur du logiciel et sans correctif disponible, ce qui la rend très précieuse et dangereuse pour les attaquants.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news