Les fichiers du protocole RDP (Remote Desktop Protocol) sont couramment utilisés dans les environnements d'entreprise pour simplifier les connexions aux systèmes distants. Les administrateurs peuvent préconfigurer ces fichiers pour rediriger automatiquement les ressources locales vers l'hôte distant. Cependant, les acteurs malveillants ont de plus en plus exploité cette fonctionnalité dans les campagnes de phishing. Le groupe de piratage APT29, parrainé par l'État russe, a déjà utilisé des fichiers RDP malveillants pour exfiltrer à distance des données et des identifiants de victimes. Lorsqu'ils sont ouverts, ces fichiers malveillants se connectent à des systèmes contrôlés par l'attaquant et redirigent les lecteurs locaux, accordant ainsi un accès non autorisé aux fichiers et aux identifiants stockés sur le disque. Les attaquants peuvent également intercepter les données du presse-papiers, telles que les mots de passe et les textes sensibles, ou rediriger les mécanismes d'authentification comme les cartes à puce ou **Windows** Hello pour usurper l'identité des utilisateurs. ## De nouvelles protections RDP sont déployées Dans le cadre des mises à jour cumulatives d'avril 2026 pour **Windows** 10 (KB5082200) et **Windows** 11 (KB5083769 et KB5082052), **Microsoft** a introduit de nouvelles protections conçues pour empêcher l'exploitation des fichiers de connexion RDP malveillants. « Les acteurs malveillants détournent cette capacité en envoyant des fichiers RDP via des e-mails de phishing », avertit **Microsoft**. « Lorsqu'une victime ouvre le fichier, son appareil se connecte silencieusement à un serveur contrôlé par l'attaquant et partage des ressources locales, donnant à l'attaquant accès aux fichiers, aux identifiants, et plus encore. » Après l'installation de la mise à jour, les utilisateurs verront apparaître une invite éducative unique lors de l'ouverture d'un fichier RDP pour la première fois. Cette invite explique la nature des fichiers RDP et souligne les risques potentiels. Les utilisateurs doivent confirmer qu'ils comprennent les risques pour continuer, empêchant ainsi l'alerte de réapparaître.  Les tentatives futures d'ouverture de fichiers RDP déclencheront une boîte de dialogue de sécurité avant l'établissement de toute connexion. Cette boîte de dialogue affiche des informations sur la signature du fichier RDP par un éditeur vérifié, l'adresse du système distant, et liste toutes les redirections de ressources locales (lecteurs, presse-papiers, périphériques), avec chaque option désactivée par défaut. Si un fichier n'a pas de signature numérique, **Windows** affiche un avertissement « Attention : connexion à distance inconnue », indiquant que l'éditeur ne peut pas être vérifié.  Même si le fichier RDP est signé numériquement, **Windows** affichera l'éditeur mais conseillera toujours aux utilisateurs de vérifier sa légitimité avant de se connecter. Ces nouvelles protections s'appliquent exclusivement aux connexions initiées par l'ouverture de fichiers RDP, et non aux connexions établies directement via le client Bureau à distance de **Windows**. Les administrateurs peuvent désactiver temporairement ces protections en modifiant la valeur **RedirectionWarningDialogVersion** dans la clé de Registre **HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client**, en la définissant sur **1**. Cependant, compte tenu des abus historiques des fichiers RDP dans les attaques, il est fortement recommandé de maintenir ces protections.