Microsoft a introduit un changement important dans Windows 11 avec la mise à jour de sécurité du 14 octobre 2025. Désormais, l’Explorateur de fichiers n’affiche plus d’aperçus pour les fichiers provenant d’Internet dans le volet de prévisualisation.
Cette mesure vise à corriger une vulnérabilité liée à la fuite de hachages NTLM, qui pourrait survenir si un fichier contient des balises HTML pointant vers des ressources externes. Les fichiers marqués comme « Mark of the Web », un indicateur de provenance potentiellement risquée, sont concernés, évitant ainsi que des pirates exploitent cette faille pour voler des identifiants sensibles.
La vulnérabilité en question implique le protocole NTLM, utilisé pour l’authentification réseau sous Windows. Si un fichier malveillant avec des tags comme <link> ou <src> est prévisualisé, il pourrait déclencher une connexion non autorisée, exposant le hachage du mot de passe de l’utilisateur. Cela ouvre la porte à des attaques de type « pass-the-hash », où l’attaquant réutilise le hachage pour accéder à d’autres systèmes sans connaître le mot de passe réel. Microsoft a choisi cette approche pour prioriser la sécurité, même si elle impacte l’expérience utilisateur quotidienne.
Pour contourner ce blocage sur des fichiers de confiance, il suffit de faire un clic droit sur le fichier, d’ouvrir les propriétés, et de cocher l’option « Débloquer » dans l’onglet Général. Une alternative pour traiter plusieurs fichiers, comme des PDF, consiste à utiliser PowerShell en mode administrateur avec la commande Unblock-File -Path « chemin\vers\les\fichiers\*.pdf ». Cela restaure les aperçus sans compromettre la sécurité globale du système.
Ce changement fait partie de la mise à jour KB5066835 pour Windows 11 version 24H2, qui inclut d’autres correctifs mais a aussi causé des problèmes mineurs, comme des bugs avec localhost ou des installations échouées. Des utilisateurs ont signalé des difficultés avec les prévisualisations de PDF dans l’Explorateur, souvent résolues par le déblocage manuel ou en réinitialisant les options d’affichage.
Malgré les critiques sur une solution jugée trop radicale ( Microsoft aurait pu filtrer uniquement les tags suspects), cette mesure s’aligne sur une tendance plus large vers une réduction des risques NTLM, avec des vulnérabilités passées comme CVE-2025-24054 exploitant des interactions minimales pour voler des hachages. Pour les administrateurs, des outils comme WinAeroTweaker permettent de personnaliser ces comportements, bien que Microsoft recommande de ne débloquer que les sources fiables.
