Windows tourne la page de NTLM après 30 ans de service

Génération NT / Actualités / Windows tourne la page de NTLM après 30 ans de service

Publié le 03 février 2026 à 18:30 par Jérôme G.

Avec les futures versions de Windows et de Windows Server, Microsoft désactivera par défaut le protocole d'authentification NTLM. Une mesure pour renforcer la sécurité et pousser l'adoption d'alternatives basées sur Kerberos.

C'est une page de l'histoire de Windows qui se tourne. Introduit en 1993 avec Windows NT 3.1, le protocole NTLM (New Technology LAN Manager) a longtemps servi de mécanisme d'authentification principal, avant d'être supplanté par Kerberos. Microsoft décide de désactiver NTLM par défaut.

Un abandon justifié par des faiblesses de sécurité

Le protocole NTLM utilise des mécanismes cryptographiques datés qui le rendent particulièrement vulnérable à des cyberattaques sophistiquées, et NTLM fait encore régulièrement l'objet de corrections de failles de sécurité dans le cadre du Patch Tuesday de Microsoft.

Avec, par exemple, des attaques permettant le vol de hashs de mots de passe afin de faire croire à des utilisateurs légitimes, NTLM a également pour lacune critique une absence d'authentification mutuelle du serveur.

Cela en fait un maillon faible de la sécurité des entreprises qui persistent dans l'utilisation de NTLM.

Quel est le plan de transition prévu par Microsoft ?

En raison des dépendances existantes, Microsoft a élaboré un plan de transition en trois phases pour accompagner les administrateurs sans perturber leurs activités.

La première phase, déjà en cours, consiste à fournir des outils d'audit améliorés dans Windows 11 24H2 (et plus) et Windows Server 2025 pour permettre aux entreprises d'identifier précisément où et pourquoi NTLM est encore utilisé dans leur environnement.

La deuxième phase, prévue pour la seconde moitié de 2026, introduira de nouvelles fonctionnalités comme Local KDC (Key Distribution Center) et IAKerb. Celles-ci sont conçues pour gérer des scénarios qui forçaient auparavant le recours à NTLM, notamment pour l'authentification des comptes locaux.

Enfin, la troisième phase verra NTLM désactivé par défaut, bien qu'il restera possible de le réactiver manuellement via des stratégies spécifiques en cas de besoin absolu.

Gage aux administrateurs d'anticiper le changement

Microsoft insiste sur l'importance de migrer vers Kerberos ou d'autres méthodes d'authentification modernes. Les administrateurs devraient également tester les configurations sans NTLM dans des environnements de non-production afin de détecter les éventuels problèmes de compatibilité en amont.

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire