Windows 11 Update

La mise à jour de la sécurité cause un nouveau problème pour Windows Hello pour l’authentification commerciale

Lucas Morel

Le deuxième glitch d’authentification dans un mois affecte un sous-ensemble de Windows Hello pour les utilisateurs professionnels.

Un correctif introduit dans Windows le mois dernier pour fermer une faiblesse de l’authentification de Kerberos provoque des échecs de connexion pour certains utilisateurs de Windows Hello for Business (WHFB), a averti Microsoft.

En théorie, le cycle mensuel de correctif Windows concerne les vulnérabilités, dont le CVE-2025-26647, le défaut adressé par la correction du buggy, était suffisamment sérieux pour justifier une attention immédiate.

Mais les environnements Windows sont variés et des exceptions surviennent, en particulier par rapport au sujet complexe de l’authentification. Dans certains cas, le correctif pour une vulnérabilité peut causer de nouveaux problèmes que Microsoft ne détecte que lorsque les clients en crient.

Ce dernier semble avoir été le cas avec le dernier problème, qui affecte toutes les versions de Windows Server qui remontent à Windows Server 2016 qui ont été corrigées par la mise à jour Windows Security du 8 avril 2025 (KB5055523).

«Les contrôleurs de domaine Active Directory (DC) peuvent rencontrer des problèmes lors du traitement des connexions ou des délégations Kerberos à l’aide d’identification basée sur des certificats qui s’appuient sur le champ Key Trust via le champ Active Directory MSDS-KeyCredentialLink», a déclaré Microsoft.

« Cela peut entraîner des problèmes d’authentification dans Windows Hello for Business (WHFB) Environnements de fiducie clés ou des environnements qui ont déployé l’authentification des clés publiques de l’appareil (également connu sous le nom de machine pkinit) », a ajouté l’alerte.

Les utilisateurs à domicile ne rencontrent pas ce problème, car les CD ne sont utilisés que pour l’authentification dans les environnements commerciaux ou d’entreprise, y compris leurs VPN.

Ce que cela signifie

Le problème que le patch de buggy était destiné à résoudre était une incohérence dans la façon dont Windows stockait les certificats Kerberos.

La version correcée ne devrait avoir que des certificats de confiance stockés dans les fenêtres utilisées spécifiquement pour les certificats critiques de sécurité tels que Windows Hello for Business Biométrie, les cartes à puce ou PKINIT utilisées par des machines ou des appareils qui n’utilisent pas de mots de passe conventionnels.

Malheureusement, il permettait toujours l’authentification des comptes privilégiés dans un espace distinct appelé, normalement utilisé pour une authentification plus générale telle que les sites Web.

C’était une mauvaise idée, donc la mise à jour d’avril a appliqué l’utilisation des certificats dans les DC par Windows.

Cependant, cela a provoqué des connexions WHFB ou Machine Pkinit toujours connectées à l’original pour échouer ou générer un trafic de journal excessif.

« Il est possible que d’autres produits qui reposent sur cette fonctionnalité soient également affectés, notamment des produits d’authentification des cartes à puce, des solutions de connexion unique (SSO) tierces et des systèmes de gestion de l’identité », a déclaré Microsoft.

Ainsi, tous les utilisateurs ne sont pas impactés par des moyens, mais suffisamment pour générer des appels de support prolongés dans certaines organisations, et c’est en plus de tout problème créé avec l’authentification de la machine à la machine.

Recommandations Microsoft

«L’impact de l’utilisateur ne se produit que lorsque la clé de registre allowntAuthPolicyByPass est définie sur une valeur de« 2 ». Pour empêcher les défaillances de connexion qui en résulte, remettez temporairement AllowNtAuthPolicyByPass de« 2 »à` `1», comme documenté dans la section des paramètres de registre de KB505784 », a été documenté par Microsoft.

Au-delà de cela, « Microsoft est au courant de ce problème. Nous travaillons sur une solution et fournirons une mise à jour dès que possible », a déclaré la société.

Assez déjà

Les problèmes de mise à jour involontaires sont quelque chose auquel les administrateurs de Windows seront utilisés maintenant. Malheureusement, cette fois, celles-ci comprenaient également un problème distinct affectant certaines connexions Windows Hello qui ont été causées par la même mise à jour de sécurité en avril. Et à en juger par la liste sur la page actuelle des problèmes et notifications connus, ceux-ci ne sont pas seuls.

Microsoft teste-t-il ses correctifs avant de les expédier? Oui, bien sûr, c’est le cas. Mais le système d’exploitation et ses cas d’utilisation sont désormais tentaculaires, et les tests pour chaque environnement sont devenus plus difficiles au fil du temps. Des pépins occasionnels semblent désormais être la conséquence inévitable de cette complexité.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission