Accueil Astuces et Informations SMB1 : une obsolescence délicate à gérer pour Microsoft

SMB1 : une obsolescence délicate à gérer pour Microsoft

30
3

Des années après avoir commencé à écarter SMB1 de Windows, Microsoft affirme toucher au but. Mais tirer un trait sur ce protocole obsolète n’est pas évident.
SMB1, bientôt exclu de Windows ? C’est plus compliqué qu’il n’y paraît. À la mi-avril, Microsoft a affirmé avoir enclenché la dernière phase de désactivation de cette version obsolète du protocole de partage réseau. Une édition du système d’exploitation est concernée : Famille. Sur les nouvelles installations, le client SMB1 n’est plus actif. On en a pour le moment un aperçu sur les canaux Dev et Bêta du programme Insider.

Voilà près de dix ans que Microsoft a déclaré SMB1 obsolète. Ses démarches s’étaient accélérées en 2017 après les épisodes WannaCry et NotPetya. Les deux malwares avaient exploité des failles inhérentes à ce protocole. À l’automne, avec la mise à jour Fall Creators Update, l’éditeur avait supprimé les parties serveur et client de SMB1 sur Windows 10 Entreprise, Éducation et Pro pour stations de travail. Ainsi que sur Windows Server 2019, alors encore en phase expérimentale. Sur les éditions Famille et Pro, le client restait installé, mais se désactivait automatiquement après 15 jours sans utilisation. L’année suivante, avec la version 1809 de Windows 10, le client avait aussi disparu de l’édition Pro. Là aussi, seulement pour les nouvelles installations.

Dans tous les cas, il reste possible de réinstaller SMB1, les fichiers (pilotes et DLL) étant pour l’instant toujours livrés avec le système. Microsoft envisage de les retirer, sans donner d’échéance. Il convient toutefois de fournir, par après, un paquet d’installation externe, « sans support ».

SMB1 sur des routeurs, des NAS, des imprimantes…

Pourquoi ne pas couper totalement le cordon ? Parce que de nombreux équipements encore utilisés ont besoin de SMB1 pour fonctionner. Au fil des années, Microsoft a évoqué des NAS, des appareils médicaux, du matériel industriel, etc. hashtag et d’une adresse mail, une liste de produits concernés. À jour au 19 avril 2022, elle comprend des références d’une centaine de fournisseurs. On y trouve, entre autres :

– Côté NASdu D-Link (série DNS), du Netgear (versions antérieures à ReadyNAS OS 6), du QNAP (micrologiciel antérieur au 4.1) et du WD (My Cloud Home, Wireless, Mirror, EX2) ; ainsi que Time Capsule d’Apple (qui semble ne pas pouvoir se connecter si SMB1 est désactivé)

– Parmi les SEFreeBSD (<3.4 ; service smbfs), RHEL 5 et 6 (pour rejoindre des domaines), Solaris (11.3 et antérieurs) et SUSE (11 et antérieurs) - De multiples routeurs reçu d’une fonction de stockage USB (ASUS, Belkin, Huawei…) et plusieurs modèles de passerelles réseau (Barracuda, Cisco…)

– Dés imprimantes Epson (WF-3640, WF-5620…), Konica Minolta (BizHub, C284e, C3350…), Toshiba (E-Studio notamment), etc.

– Dés logiciels comme NetServer (

– Des caméras Axis, des baies de stockage Dell EMC… et même la Nintendo 3DS, qui utilisent SMB1 pour gérer les microSD

Le statut de SMB1 sur ces produits n’est pas toujours – et de loin – également documenté. Des sysadmins en ont par exemple témoigné sur Reddit. De leurs discussions ressortent quelques tuyaux : passage exclusif au FTP pour la sauvegarde des passerelles de sécurité, numérisation uniquement vers des adresses mail, etc.

Découverte réseau : Microsoft doit-il changer les choses sur Windows ?

Windows a aussi besoin de SMB1 sur certains aspects. En particulier la découverte du voisinage réseau. En tout cas avec la méthode « traditionnelle » : le service Computer Browser, intégré à l’explorateur et qui s’appuie sur NetBIOS. Avec la disparition de SMB1, Microsoft supprime aussi ce service. En guise d’alternative, il recommande FDPHost et FDResPub, qui utilisent WS-Discovery. Ou alors de mapper les ressources réseau.

Microsoft a publié un guide – outils assortis – pour aider, dans Windows, à la détection des ressources SMB1. À partir de Windows 8.1 et Windows Server 2012 R2, on peut supprimer le protocole. Sur les systèmes plus anciens, on ne peut que le désactiver. Si on remonte jusqu’à Windows XP (et Windows Server 2003), SMB1 doit être maintenu en fonction. Cela peut se révéler problématique sur les équipements qui utilisent la version embarquée. Des utilisateurs en ont témoigné pour des machines de découpe laser Mitsubishi ou encore des fraiseuses à contrôleur Fanuc.

Par rapport à SMB1, SMB2 et SMB3 ont amélioré les performances du protocole (cache, leasing, agrégation de bande passante…). Sur le volet sécurité, ces versions ont notamment apporté :

– Des algorithmes plus robustes pour la signature des messages (MD5 dans SMB1 ; SHA-256 dans SMB2 ; AES-CMAC dans SMB3)

– Un contrôle d’intégrité préauthentification (les clés de session dérivent d’un hash, empêchent les attaques qui se posent sur la manipulation des messages de négociation et d’initialisation de session)

Photo d’illustration © thodonal – Adobe Stock