Microsoft a annoncé aujourd’hui que le protocole de partage de fichiers SMBv1, vieux de 30 ans, est désormais désactivé par défaut sur les systèmes Windows exécutant les dernières versions du canal Windows 11 Home Dev, les dernières éditions de Windows ou Windows Server qui sont toujours fournies avec SMBv1 activé.
Redmond a d’abord annoncé son intention de désactiver SMBv1 dans la plupart des versions du système d’exploitation Windows en juin 2017 après l’avoir d’abord désactivé pour les versions internes de Windows 10 Enterprise et Windows Server 2016.
SMBv1 n’est plus installé par défaut dans le système d’exploitation de Microsoft depuis Windows 10 version 1709 et Windows Server version 1709, les nouvelles versions de Windows utilisant SMBv3.
SMBv1 désactivé dans les versions de développement de Windows 11 Home Edition
« J’ai une annonce assez importante : nous avons lancé la phase finale de désactivation de SMB1 dans Windows », mentionné Ned Pyle, responsable de programme principal dans le groupe Haute disponibilité et stockage de Microsoft Windows Server.
« Si vous installez une version de canal Windows Insider Dev dans n’importe quelle variante de Home Edition, le client SMB1 n’est pas installé. »
Cela deviendra également le comportement par défaut dans la prochaine version majeure de Windows 11 après que les initiés de Windows pourront tester et fournir des commentaires sur le nouveau changement,
Cependant, comme l’a expliqué l’expert Microsoft, ce changement n’affectera pas les appareils utilisant SMBv1 après les mises à niveau sur place, les administrateurs étant toujours autorisés à le réinstaller.
« J’annonce également que nous allons supprimer les binaires SMB1 dans une future version. Windows et Windows Server n’incluront plus les pilotes et les DLL de SMB1 », a ajouté Pyle.
« Nous fournirons un package d’installation hors bande non pris en charge pour les organisations ou les utilisateurs qui ont encore besoin de SMB1 pour se connecter à d’anciennes machines d’usine, à des équipements médicaux, à des NAS grand public, etc. »
Pyle a également partagé un liste des fournisseurs et des produits qui nécessitent SMBv1 afin que les utilisateurs puissent les éviter et ne pas être empêchés de passer à des versions plus récentes et plus sécurisées du protocole SMB.
Les personnes intéressées par la désactivation de SMBv1 sur leurs serveurs peuvent consulter cette page de support Microsoft pour des instructions détaillées.
Avertissements SMBv1
Microsoft recommande aux administrateurs de supprimer la prise en charge de SMBv1 sur leur réseau depuis 2016, car il ne comporte pas d’améliorations de sécurité supplémentaires ajoutées aux nouvelles versions du protocole SMB.
Ces améliorations incluent des contrôles d’intégrité de pré-authentification pour empêcher les attaques de l’homme du milieu (MiTM), le chiffrement, le blocage de l’authentification non sécurisée des invités, la protection contre les attaques de dégradation de la sécurité, et plus.
Il y a deux ans, l’équipe Microsoft Exchange a également exhorté les administrateurs à désactiver SMBv1 pour protéger les serveurs contre les attaques de logiciels malveillants.
Ces avertissements sont intervenus après la fuite en 2017 de plusieurs exploits NSA conçus pour exploiter les faiblesses du protocole SMBv1 afin d’exécuter des commandes sur des serveurs vulnérables avec des privilèges administratifs.
Certains de ces exploits, comme EternalBlue et EternalRomance, ont ensuite été déployés dans la nature par les logiciels malveillants TrickBot, Emotet, WannaCry, Retefe, NotPetya et Olympic Destroyer pour infecter davantage d’appareils et lancer des attaques destructrices ou voler les informations d’identification des utilisateurs.