Évolutions du chiffrement Kerberos : préparer Active Directory à la suppression de RC4

Microsoft poursuit ses efforts à long terme pour renforcer la sécurité de l’authentification dans les environnements Windows et Active Directory. L’une des prochaines étapes majeures de cette stratégie est la suppression progressive de RC4 de l’authentification Kerberos.

Pour la plupart des environnements modernes, cette transition se fera sans perturbation majeure. Cependant, les organisations qui dépendent encore de systèmes legacy, de comptes de service obsolètes ou de configurations Kerberos jamais modernisées peuvent rencontrer des problèmes d’authentification si aucune préparation n’est effectuée en amont.

Qu’est-ce qui change ?

Kerberos est le protocole d’authentification par défaut utilisé dans les environnements Microsoft Active Directory. Historiquement, de nombreux environnements s’appuyaient sur l’algorithme de chiffrement RC4 pour les tickets Kerberos.

• Le problème :
  RC4 est aujourd’hui considéré comme cryptographiquement faible et ne répond plus aux standards de sécurité modernes.

• La solution :
  Microsoft fait donc évoluer les environnements vers un chiffrement Kerberos basé sur AES (AES-128 et AES-256).

Étapes clés

À partir des mises à jour de sécurité Windows d’avril 2026 :

• RC4 ne sera plus inclus par défaut dans les méthodes de chiffrement Kerberos prises en charge par un domaine.

Lors des mises à jour suivantes plus tard en 2026 :

•  Le support de RC4 sera complètement désactivé.

• Aucun mécanisme de retour arrière pris en charge ne restera disponible.

Cela signifie que les systèmes ou comptes dépendant exclusivement de RC4 pourraient ne plus pouvoir s’authentifier correctement.

Qui pourrait être impacté ?

Les systèmes d’exploitation et applications modernes prennent déjà en charge AES et ne sont pas impactés. L’impact concerne principalement les systèmes legacy ou les anciennes configurations qui n’ont jamais été modernisés.

Les composants potentiellement impactés incluent :

• Systèmes d’exploitation legacy
• Anciennes appliances NAS ou appareils embarqués
• Anciennes distributions Linux ou Unix
• Applications tierces utilisant d’anciennes bibliothèques Kerberos
• Anciens comptes de service
• Environnements Active Directory utilisant encore RC4 par défaut 

Une nuance importante :
Utiliser RC4 aujourd’hui ne signifie pas automatiquement qu’une interruption surviendra.

De nombreux systèmes qui demandent actuellement du RC4 prennent également en charge AES, mais continuent simplement d’utiliser RC4 parce qu’il reste disponible. Une fois RC4 supprimé, ces systèmes pourront automatiquement négocier AES avec succès.

C’est pourquoi la vérification et le monitoring sont essentiels avant l’application des nouvelles règles.

Quels systèmes Windows sont directement impactés ?

Systèmes ne prenant pas correctement en charge le chiffrement Kerberos AES

Les systèmes d’exploitation suivants dépendent de RC4 et devraient rencontrer des problèmes d’authentification une fois RC4 totalement désactivé :

• Systèmes Windows qui verront leur authentification échouer
• Windows 2000
• Windows XP
• Windows Server 2003 / 2003 R2 

Ces plateformes :

• Prennent uniquement en charge RC4-HMAC pour Kerberos
• Ne peuvent pas négocier des tickets Kerberos basés sur AES 

Systèmes prenant déjà en charge AES

Les versions Windows suivantes ne sont pas impactées de manière intrinsèque :

•  Windows Vista et versions ultérieures
  Windows 7, 8, 8.1
  Windows 10 et Windows 11
  Windows Server 2008 et versions ultérieures (2008, 2012, 2016, 2019, 2022, 2025) 

Cependant, même dans les environnements modernes :

• D’anciens comptes de service peuvent encore être configurés pour RC4
• Des environnements Active Directory jamais modernisés peuvent continuer à privilégier RC4 par défaut
• Des intégrations legacy peuvent encore demander des tickets RC4

La prise en charge d’AES seule ne garantit pas la préparation de l’environnement.

Quels sont les risques ?

Si les organisations ne sont pas préparées, la suppression de RC4 peut entraîner :

• Des échecs d’authentification
• Des interruptions de service
• Des problèmes de connectivité applicative

• Une pression accrue sur le troubleshooting lors des fenêtres de mise à jour

La bonne nouvelle est que le risque reste très maîtrisable lorsqu’il est traité de manière proactive.

Pourquoi les organisations doivent évaluer leur environnement dès maintenant

L’objectif n’est pas de créer une inquiétude inutile. Dans de nombreux environnements, la transition vers AES se déroulera sans difficulté.

Le véritable objectif d’une évaluation est d’identifier :

• Les systèmes legacy ne pouvant pas prendre en charge AES
• Les applications utilisant d’anciennes implémentations Kerberos
• Les comptes de service encore configurés en chiffrement RC4 uniquement
• Les systèmes privilégiant silencieusement RC4 malgré la disponibilité d’AES 

Cela permet aux organisations de planifier la remédiation de manière contrôlée plutôt que de réagir lors d’une interruption.

Actions recommandées

Nous recommandons fortement d’effectuer une évaluation de préparation Kerberos avant que l’application de la suppression de RC4 ne devienne obligatoire.

Les étapes typiques incluent : 

1. Évaluer l’utilisation du chiffrement Kerberos

Identifier les systèmes, services ou comptes demandant encore des tickets Kerberos RC4.

2. Valider la compatibilité AES

Confirmer que les systèmes identifiés prennent correctement en charge le chiffrement AES.

3. Remédier lorsque nécessaire

Depending on the findings, this may involve:

• La mise à jour des systèmes legacy
• La reconfiguration des comptes de service
• L’ajustement des paramètres de chiffrement Kerberos
• Le remplacement des applications ou appliances non prises en charge

4. Passer à AES de manière contrôlée

La transition vers une authentification AES-only doit être planifiée et validée avant les échéances d’application.

Une mitigation temporaire est-elle possible ?

Oui, Microsoft autorise actuellement encore des paramètres de compatibilité temporaires permettant de réactiver RC4 à des fins de remédiation.

Cependant :

• Il s’agit uniquement d’une mitigation à court terme

• Les futures mises à jour supprimeront définitivement cette solution de secours

La recommandation à long terme reste claire :
migrer complètement vers AES partout où cela est possible.

Comment Easi peut vous aider

Nos équipes peuvent vous accompagner avec :

• Des évaluations de préparation du chiffrement Kerberos
• L’analyse des logs d’événements Kerberos
• L’identification des systèmes ou comptes dépendants de RC4
• La planification de migration vers AES
• La remédiation et la validation
• La documentation des changements et les tests

Que vous ayez besoin d’un deep-dive technique, d’une évaluation complète de votre environnement ou d’un accompagnement pour la remédiation ou les tests, une préparation proactive aujourd’hui permet d’éviter les mauvaises surprises d’authentification demain.

Conclusion 

La suppression de RC4 par Microsoft fait partie d’une stratégie plus large de renforcement de la sécurité visant à améliorer la résilience des environnements Active Directory modernes.

Pour la plupart des organisations, l’impact restera limité, à condition que les dépendances legacy soient identifiées à temps.

Se préparer dès maintenant permet de garantir :

• La continuité des activités
• Une sécurité d’authentification renforcée
• Une réduction des risques opérationnels

• La conformité avec les standards de sécurité modernes

La transition loin de RC4 n’est pas simplement un futur changement Microsoft. Pour de nombreuses organisations, c’est aussi une opportunité de moderniser enfin des dépendances d’authentification anciennes avant qu’elles ne deviennent un risque métier.

👉 Contactez-nous pour un accompagnement personnalisé