Présentation des avertissements de sécurité lors de l’ouverture de fichiers Bureau à distance (RDP)

À compter de la mise à jour de sécurité d’avril 2026, l’application de connexion Bureau à distance affiche de nouveaux avertissements de sécurité lorsque vous ouvrez des fichiers RDP. Cet article explique ce que ces avertissements signifient et comment y répondre en toute sécurité.

Qu’est-ce que Bureau à distance ?

Bureau à distance vous permet de vous connecter à un ordinateur dans un autre emplacement, tel que votre PC professionnel, via une connexion réseau comme Internet. Vous pouvez voir l’écran de l’ordinateur distant, ouvrir des fichiers, exécuter des applications et utiliser votre souris et votre clavier comme si vous étiez assis devant elle.

Risques liés aux fichiers RDP

Un fichier RDP indique à l’application connexion Bureau à distance comment se connecter à un ordinateur distant. Selon ses paramètres, le fichier peut également partager des parties de votre appareil local, telles que votre Presse-papiers, vos lecteurs ou votre appareil photo, avec l’ordinateur distant.

Les acteurs malveillants utilisent cette fonctionnalité en envoyant des fichiers RDP via des e-mails d’hameçonnage. Lorsqu’une victime ouvre le fichier, son appareil se connecte silencieusement à un serveur contrôlé par l’attaquant et partage des ressources locales, ce qui donne à l’attaquant l’accès aux fichiers, informations d’identification, etc.

Important

N’ouvrez jamais un fichier RDP que vous n’attendiez pas, même si l’e-mail semble légitime. En cas de doute, contactez votre service informatique.

Comment rester en sécurité

Suspendre de penser avant de cliquer est la défense la plus efficace contre le hameçonnage. Voici quelques étapes pratiques :

  • N’ouvrez pas de fichiers RDP inattendus. Si vous recevez un message que vous n’attendez pas, ne l’ouvrez pas, même si l’e-mail semble légitime. Vérifiez auprès de l’expéditeur via un canal distinct (par exemple, un appel téléphonique).
  • Vérifiez l’adresse de l’ordinateur distant. Si vous ne reconnaissez pas le nom ou l’adresse de l’ordinateur dans la boîte de dialogue, ne vous connectez pas.
  • Activez uniquement les redirections dont vous avez besoin. Laissez tous les autres non activés.
  • Faites attention au dialogue et indiquez si l’éditeur peut être vérifié. Vérifiez l’éditeur même lorsque le fichier est signé.
  • Signalez des fichiers RDP suspects à votre équipe de sécurité informatique.

La boîte de dialogue de premier lancement

La première fois que vous ouvrez un fichier RDP après avoir installé cette mise à jour, une boîte de dialogue éducative s’affiche. Il explique ce que sont les fichiers RDP et avertit les risques d’hameçonnage. Une fois que vous avez autorisé les connexions de fichiers RDP dans cette boîte de dialogue, elle n’apparaît plus pour votre compte.

Capture d’écran de la première expérience de lancement

Boîte de dialogue sécurité de la connexion

Chaque fois que vous ouvrez un fichier RDP, une boîte de dialogue de sécurité s’affiche avant toute connexion. Il affiche l’adresse de l’ordinateur distant et une case à cocher pour chaque ressource locale que le fichier souhaite accéder. L’accès à toutes ces ressources est désactivé par défaut . Vous devez activer explicitement chacun d’eux.

Cette boîte de dialogue existe dans deux versions selon que l’éditeur du fichier RDP peut être vérifié.

Fichiers RDP sans éditeur vérifiable

Lorsqu’un fichier RDP n’est pas signé numériquement, il n’existe aucun moyen de vérifier qui l’a créé ou s’il a été falsifié. Dans ce cas, la boîte de dialogue de sécurité affiche une bannière intitulée Caution : Connexion distante inconnue et définit le champ Publisher sur « Publisher inconnu », comme l’illustre l’image suivante.

Capture d’écran de la boîte de dialogue sécurité de connexion lorsque l’éditeur du fichier RDP ne peut pas être vérifié

Avertissement

Un fichier RDP non signé peut provenir de n’importe qui. Traitez-le avec une prudence extrême, en particulier si vous l’avez reçu par e-mail ou téléchargé à partir d’Internet.

Fichiers RDP avec un éditeur vérifiable

Lorsqu’un éditeur signe numériquement un fichier RDP, la signature confirme qui l’a créée ou distribuée. Le nom de l’éditeur apparaît dans la boîte de dialogue et la bannière est intitulée « Vérifier l’éditeur de cette connexion distante », comme l’illustre l’image suivante.

Capture d’écran de la boîte de dialogue sécurité de connexion lorsque l’éditeur du fichier RDP peut être vérifié

Une signature confirme l’identité de l’entité qui a créé le fichier et que le fichier n’a pas été falsifié depuis sa signature. Il ne garantit pas que le fichier est sécurisé. Les cyber-attaques peuvent signer des fichiers à l’aide de noms qui ressemblent étroitement aux organisations légitimes , par exemple, « Contoso Security » au lieu de « Contoso Ltd ». Lisez toujours attentivement le nom de l’éditeur et vérifiez qu’il correspond à l’organisation attendue.

Note

Votre service informatique peut configurer votre ordinateur pour qu’il approuve des éditeurs spécifiques. Lorsqu’un fichier RDP est signé par un éditeur approuvé, l’expérience peut différer en fonction des stratégies de votre organisation.

Comprendre les redirections

Lorsque vous ouvrez un fichier RDP, il peut demander l’accès aux ressources sur votre appareil local. Ces demandes sont appelées redirections. Ils partagent des parties de votre appareil local avec l’ordinateur distant. Après cette mise à jour, toutes les redirections demandées par les fichiers RDP sont désactivées par défaut , sauf si vous les optez.

La liste suivante explique chaque type de redirection et le risque qu’il pose. Les versions antérieures de Windows prennent en charge un ensemble différent de redirections. Par conséquent, toutes ces versions ne peuvent pas être disponibles sur votre appareil.

Lecteurs

  • Qu’est-ce qu’il fait : Rend vos lecteurs locaux (disques durs, lecteurs USB, lecteurs mappés réseau) accessibles à partir de l’ordinateur distant. L’ordinateur distant peut lire des fichiers à partir de vos lecteurs locaux et y écrire des fichiers.
  • Risque: Cette redirection est l’un des plus dangereux. Un attaquant peut :
    • Volez des fichiers à partir de vos lecteurs locaux, y compris les documents, les bases de données et les informations d’identification stockés sur le disque.
    • Plantez des programmes malveillants sur vos lecteurs locaux. Par exemple, l’attaquant peut écrire un programme malveillant dans votre dossier de démarrage, qui s’exécute la prochaine fois que vous vous connectez.
    • Accédez aux partages réseau mappés en tant que lecteurs de disque sur votre appareil, avec la possibilité d'atteindre d'autres systèmes de votre organisation.

Presse-papiers

  • Qu’est-ce qu’il fait : Partage le contenu de votre Presse-papiers (tout ce que vous copiez et collez) entre votre appareil et l’ordinateur distant.
  • Risque: Une cyber-attaque peut lire tout ce que vous copiez sur votre appareil local, y compris les mots de passe, le texte sensible ou les informations confidentielles. La cyber-attaque peut également placer du contenu malveillant dans votre Presse-papiers, que vous pouvez ensuite coller dans une application locale.

Cartes à puce ou Windows Hello Entreprise

  • Qu’est-ce qu’il fait : permet à l’ordinateur distant d’utiliser des cartes à puce ou des informations d’identification Windows Hello Entreprise que vous connectez ou configurez sur votre appareil local.
  • Risk : Un attaquant peut utiliser votre carte à puce redirigée ou les informations d’identification de Windows Hello Entreprise pour vous authentifier comme vous sur le système distant ou sur d’autres systèmes accessibles à partir de l’ordinateur distant. Cette action peut entraîner un accès non autorisé aux ressources de votre organisation à l’aide de votre identité.

WebAuthn (Windows Hello ou clés de sécurité)

  • Qu’est-ce qu’il fait : Permet à l’ordinateur distant d’utiliser vos clés de sécurité FIDO2 locales ou les clés secrètes pour relever les défis liés à l’authentification web.
  • Risque: Les invites d’authentification peuvent être redirigées d’une session distante malveillante vers l’appareil local et utilisées pour le hameçonnage.

Note

Lorsqu’une requête WebAuthn est redirigée via une session à distance, Windows affiche ces informations dans l’invite d’authentification. Si vous voyez une indication indiquant que la demande provient d’une connexion distante et que vous ne l’attendiez pas, n’approuvez pas la demande.

Capture d’écran de l’invite d’authentification avec le message « Demande à partir d’une session distante par Connexion Bureau à distance (Microsoft Windows) ».

Microphones et autres périphériques d’enregistrement audio

  • Qu’est-ce qu’il fait : Partage votre microphone local et vos périphériques d’enregistrement audio avec l’ordinateur distant, afin que les applications distantes puissent enregistrer l’audio à partir de votre environnement.
  • Risque: Avec l’accès à votre microphone, un attaquant peut écouter des conversations, des réunions ou d’autres fichiers audio dans votre environnement sans vos connaissances.

Appareils photo et autres appareils de capture vidéo

  • Qu’est-ce qu’il fait : Partage vos appareils photo locaux et vos appareils de capture vidéo avec l’ordinateur distant, afin que les applications distantes puissent enregistrer des vidéos à partir de votre environnement.
  • Risque: Un attaquant ayant accès à votre caméra peut voir vos environs, lire des documents sur votre bureau, observer votre écran ou effectuer une surveillance visuelle sans votre conscience.

Lieu

  • Qu’est-ce qu’il fait : Partage l’emplacement géographique de votre appareil avec l’ordinateur distant.
  • Risque: Un attaquant peut déterminer votre emplacement physique, qui peut être sensible en fonction de votre rôle ou contexte (par exemple, militaire, application de la loi ou personnel exécutif).

Imprimantes

  • Qu’est-ce qu’il fait : Rend vos imprimantes locales disponibles à partir de l’ordinateur distant, afin que les applications distantes puissent imprimer sur vos imprimantes locales.
  • Risque: Une cyber-attaque qui contrôle une session à distance peut envoyer des travaux d’impression à vos imprimantes, potentiellement gaspiller des ressources ou imprimer des documents trompeurs qui semblent être locaux.

Ports maritimes

  • Qu’est-ce qu’il fait : Partage vos ports de série locale (COM) et parallèle (LPT) avec l’ordinateur distant.
  • Risque: Un attaquant peut accéder aux appareils connectés à ces ports, tels que du matériel spécialisé ou des périphériques hérités, et éventuellement lire ou envoyer des données via eux.

Appareils de point de service

  • Qu’est-ce qu’il fait : Partage des appareils point de service (POS), tels que les scanneurs de codes-barres et les imprimantes de reçus, que vous connectez à votre appareil local.
  • Risque: Un attaquant peut interagir avec l’équipement pos, potentiellement interférer avec les transactions ou lire des données financières à partir d’appareils connectés.

Autres appareils Plug-and-Play (PnP) pris en charge

  • Qu’est-ce qu’il fait : partage d’autres appareils Plug-and-Play pris en charge avec l’ordinateur distant, y compris une large gamme de périphériques USB et autres périphériques.
  • Risque: Selon l’appareil, un attaquant peut lire des données, interagir avec l’appareil ou l’utiliser comme point croisé dynamique pour d’autres attaques.

Autres périphériques USB RemoteFX pris en charge

  • Qu’est-ce qu’il fait : Partage les périphériques USB pris en charge avec l’ordinateur distant à un bas niveau à l’aide de la redirection USB RemoteFX. L’ordinateur distant obtient un accès plus direct à l’appareil que la redirection standard.
  • Risque: La redirection USB RemoteFX offre un accès plus approfondi aux périphériques USB. Un attaquant peut exploiter cet accès pour interagir avec des périphériques USB sensibles, tels que des jetons d’authentification, des périphériques de stockage ou du matériel spécialisé, à un niveau qui contourne les protections classiques de la couche Application.

Questions fréquemment posées

Que se passe-t-il si les fichiers RDP de mon organisation affichent un avertissement avec un éditeur inconnu ?

Cet avertissement signifie que les fichiers RDP de votre organisation ne sont pas signés. Contactez votre service informatique : ils peuvent signer les fichiers afin qu’ils affichent leur éditeur à la place.

Cette mise à jour affecte-t-elle les connexions que je démarre manuellement à partir de Bureau à distance Connexion ?

Non. Cette mise à jour affecte uniquement les connexions démarrées en ouvrant un fichier RDP. Si vous tapez un nom d’ordinateur directement dans Bureau à distance Connexion, l’expérience n’est pas modifiée.

Je vois cet avertissement de Azure Virtual Desktop ou de Windows 365. Est-ce sûr ?

Les fichiers RDP de services Microsoft tels que Azure Virtual Desktop et les Windows 365 sont généralement signés par Microsoft. Vous ne devez pas voir la nouvelle boîte de dialogue de sécurité lors de la connexion à ces services. Si vous le faites, ne poursuivez pas - contactez votre service informatique pour enquêter.

Je suis développeur d’applications. Mon application utilise le contrôle ActiveX Bureau à distance. Comment contrôler cette boîte de dialogue ?

Si votre application s’appuie sur le contrôle ActiveX Bureau à distance (mstscax.dll), vous pouvez utiliser IMsRdpExtendedSettings, propriété pour contrôler le comportement de la boîte de dialogue. La RedirectionWarningDialogVersion propriété vous permet de configurer s’il faut désactiver la nouvelle version de la boîte de dialogue de sécurité après la mise à jour.

Je suis un administrateur informatique. Comment rétablir temporairement la nouvelle boîte de dialogue de sécurité ?

Avertissement

Si vous utilisez l’Éditeur de Registre de manière incorrecte, vous risquez de provoquer de graves problèmes qui peuvent nécessiter la réinstallation du système d’exploitation. Microsoft ne peut pas garantir que vous pouvez résoudre les problèmes résultant de l'utilisation incorrecte de l'éditeur de Registre. Son utilisation est sous votre entière responsabilité.

Si la mise à jour provoque des interruptions temporaires dans votre environnement, vous pouvez revenir au comportement de boîte de dialogue précédent en définissant une valeur de Registre.

  1. Sélectionnez Démarrer, tapez l’Éditeur du Registre, puis ouvrez-le.

  2. Accédez à la clé : HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client et modifiez-la avec les valeurs suivantes :

    • Nom : RedirectionWarningDialogVersion

    • Type : REG_DWORD

    • Données : 1

Avertissement

Une prochaine mise à jour Windows peut supprimer la prise en charge de ce paramètre, même sur les versions antérieures de Windows. Planifiez la transition de votre environnement pour qu’il fonctionne avec la nouvelle boîte de dialogue de sécurité.

  • Last updated on