Les mises à jour d’avril 2026 pour Windows 10, Windows 11 et Windows Server apportent un changement dans la gestion des connexions Bureau à distance, en particulier lors de l’utilisation d’un fichier .rdp. Quel est l’impact pour les utilisateurs ? C’est ce que nous allons voir.

En entreprise, il est fréquent d’utiliser des fichiers parce qu’ils permettent de créer des raccourcis vers des sessions Bureau à distance. Par exemple, ce type de raccourci peut permettre à un utilisateur de se connecter à un serveur RDS pour accéder à une application métier via une session distante.

Suite à l’installation de la mise à jour d’avril 2026 sur les postes de travail, le comportement du client Bureau à distance () va évoluer. Je dirais même que l’expérience utilisateur va évoluer à cause de l’apparition d’avertissements supplémentaires.

• Windows 11 KB5083769 : découvrez les nouveautés de la mise à jour d’avril 2026
• Windows 10 KB5082200 : le point sur la mise à jour ESU d’avril 2026

Les risques avec les fichiers RDP

Si Microsoft a décidé d’ajouter des avertissements supplémentaires lors de l’utilisation de fichiers RDP, c’est parce qu’ils représentent un risque en termes de sécurité. En effet, les attaquants sont susceptibles de distribuer ce type de fichiers dans le cadre de campagnes de phishing. Si l’utilisateur ouvre le fichier préconfiguré, il se connecte alors à un serveur RDP contrôlé par l’attaquant.

Le problème, ce sont les mécanismes de redirection des ressources locales vers l’hôte distant. Autrement dit, un attaquant peut monter dans la session distante les ressources locales de l’utilisateur, et donc accéder à des informations auxquelles il ne devrait pas (en particulier les lecteurs locaux).

C’est ce risque qui a encouragé Microsoft à réviser la manière dont Windows doit gérer l’ouverture de fichiers . D’une manière générale, vous pouvez faire passer la consigne suivante à vos utilisateurs : ne jamais ouvrir un fichier reçu par e-mail. Sauf de rares exceptions, cela ne doit pas arriver. Si c’est le service informatique qui est à l’origine de l’envoi de ce raccourci, la méthode de distribution doit être remise en cause.

Fichier RDP : l’expérience utilisateur évolue

Désormais, la première fois qu’un utilisateur va ouvrir un raccourci Bureau à distance suite à l’installation de la mise à jour d’avril 2026, ce premier avertissement s’affichera. Vous devez cocher la petite case afin de pouvoir cliquer sur “OK“. Cet avertissement s’affichera une seule fois pour un même compte utilisateur.

La boîte de dialogue de connexion à un serveur distant évolue aussi, comme le montre l’image ci-dessous.

Surtout, ce n’est pas que visuel : après l’installation de cette mise à jour, toutes les redirections sont désactivées par défaut. Autrement dit, si vous configurez un raccourci RDP avec la redirection du presse-papiers (copier-coller entre la machine locale et le serveur distant), ce sera désactivé au moment de lancer la connexion. Sauf si l’utilisateur pense à cocher la petite case qui va bien avant de cliquer sur le bouton “Connexion“. Et, il devra le faire à chaque fois !

Quand le fichier RDP a une signature numérique valide, un bandeau indique qui a signé le fichier . Sinon, il y a un avertissement comme sur mon exemple ci-dessus.

Désactiver les nouveaux avertissements RDP

Si vous souhaitez désactiver ces nouveaux avertissements, c’est possible. C’est une option pertinente le temps de faire quelques tests, et pourquoi pas voir comment signer vos fichiers RDP.

Il y a une valeur de Registre que vous pouvez configurer :

• Chemin :
• Nom de la valeur :
• Données de la valeur :
• Type :

Cette modification doit être poussée par une stratégie de groupe ou via Intune si vous souhaitez généraliser ce changement.

Toutefois, considérez que c’est une solution temporaire puisque la documentation de Microsoft précise : “Une future mise à jour de Windows pourrait supprimer la prise en charge de ce paramètre, même sur les anciennes versions de Windows. Prévoyez de faire évoluer votre environnement afin qu’il soit compatible avec la nouvelle boîte de dialogue de sécurité.”

La bonne nouvelle, c’est qu’il existe des solutions techniques.

Fichiers .rdp : la recommandation pour les entreprises

L’idéal, c’est de conserver cette sécurité sans pour autant avoir ces nouveaux avertissements sur les postes de travail des utilisateurs. Mais alors, comment s’y prendre ?

Tout d’abord, il est important de comprendre qu’il y a deux niveaux de sécurité distincts quand vous initiez une connexion Bureau à distance à partir d’un fichier RDP :

• L’identité du serveur : le tunnel TLS entre le client et le serveur sera sécurisé avec un certificat délivré par votre PKI. Par défaut, un certificat auto-signé est utilisé pour les connexions RDP, ce qui est à l’origine d’un avertissement bien spécifique. En effet, l’identité du serveur ne peut pas être vérifiée. Cette première étape de configuration, bien que recommandée, est indépendante de ce nouveau mécanisme lié aux fichiers .
• L’éditeur du fichier RDP (ce qui bloque ici) : Windows 11 se méfie du fichier . Windows vous avertit que n’importe qui aurait pu créer ou modifier ce fichier pour y glisser des paramètres malveillants (comme la redirection silencieuse de vos disques locaux ou de votre presse-papiers). C’est ce point qu’il faut adresser pour ne plus avoir les avertissements.

Vous devez donc signer les fichiers pour qu’un éditeur vérifié soit associé au fichier RDP que vos utilisateurs doivent utiliser. Pour cela, il existe un outil en ligne de commande intégré à Windows : . Mais avant de l’utiliser, vous devez obtenir un nouveau certificat adapté (un certificat de signature de code) à partir de votre AD CS ou d’une autre autorité de certification, en fonction de votre environnement.

Une fois cette étape accomplie, vous obtiendrez un résultat comme sur l’image ci-dessous. L’éditeur sera spécifié (récupéré depuis la signature), ici c’est le nom du serveur qui est indiqué. Surtout, une nouvelle option est indiquée : “Mémoriser mes choix pour les connexions à distance à partir de cet éditeur“. Donc, si vous cochez la redirection du “Presse-papiers” et que vous relancez la connexion plus tard, ce choix sera mémorisé (ce qui n’était pas le cas avant).

À l’inverse, cette fenêtre s’affichera à chaque fois que vous essaierez de vous connecter à ce serveur via le raccourci RDP. Pour éliminer cet avertissement, une stratégie de groupe (GPO) doit être configurée et appliquée sur les postes de travail.

Vous devez indiquer l’empreinte de votre certificat en tant que valeur de ce paramètre de GPO :

• Configuration ordinateur > Stratégies > Modèles d’administration > Composants Windows > Services Bureau à distance > Client Connexion Bureau à distance > Spécifier les empreintes numériques SHA1 des certificats représentant des éditeurs .rdp approuvés

Appliquez la stratégie de groupe sur vos machines, redémarrez, et désormais l’avertissement RDP ne s’affichera plus ! Ce paramètre de GPO n’est pas nouveau, mais avec ce changement opéré par Microsoft, il sera surement plus utilisé qu’avant…

Pour aller encore plus loin, au même endroit, vous pouvez désactiver le paramètre nommé “Autoriser les fichiers .rdp issus d’éditeurs inconnus” afin de bloquer les fichiers potentiellement malveillants. Mais, à faire dans un second temps quand la première étape est accomplie.

Conclusion

Ce changement opéré par Microsoft devrait forcer les entreprises à mieux considérer la sécurité des fichiers .rdp. La signature de ces fichiers pourrait devenir plus répandue, puisque même si l’on peut désactiver ces avertissements, cela devrait être une possibilité de courte durée.

Comme je suis gentil, voici deux tutoriels pour vous faciliter la tâche :

• Comment signer les fichiers RDP avec rdpsign ?
• AD CS – Délivrer un certificat pour sécuriser les connexions RDP