Windows : la mise à jour d’octobre à l’origine de problèmes d’authentification avec les smartcards
Après l’installation des mises à jour de sécurité d’octobre 2025, les utilisateurs de Windows peuvent rencontrer des problèmes avec l'authentification par carte à puce (smartcard). Microsoft propose une solution et confirme un lien avec un changement dans la gestion cryptographique de Windows. Faisons le point.
KB5066835 : des problèmes avec les smartcards
Au sein du Patch Tuesday du 14 octobre 2025, Microsoft a introduit un changement qui impacte la manière dont Windows gère la cryptographie liée aux cartes à puce. En effet, pour renforcer la sécurité, Microsoft a décidé de remplacer l’ancien fournisseur CSP (Cryptographic Service Provider) par KSP (Key Storage Provider) pour les certificats RSA des cartes à puce.
Toutefois, ce changement a eu un effet de bord sur Windows et l'authentification par smartcard peut ne plus fonctionner. Voici les erreurs que vous pouvez rencontrer :
- Les cartes à puce ne sont plus reconnues comme fournisseurs CSP dans les applications 32 bits.
- Les documents ne peuvent plus être signés.
- Les applications nécessitant une authentification par certificat génèrent des échecs.
L'entreprise américaine donne aussi quelques messages d'erreurs associés à ces scénarios :
- invalid provider type specified
- CryptAcquireCertificatePrivateKey error
Pour éviter d'en arriver là, il est recommandé d'auditer sa configuration avant d’installer la mise à jour. En effet, Microsoft explique qu'il est possible d’identifier si une machine risque d’être affectée en consultant le journal des événements Système : la présence d'un événement avec l'ID 624, de type Erreur, lié au service Smart Card, indique que la machine utilise encore CAPI pour les opérations RSA. Si c'est le cas, alors la machine risque de rencontrer le problème évoqué ci-dessus. Microsoft fournit à ce sujet une documentation via ce lien officiel.
Microsoft a associé ce dysfonctionnement à la CVE-2024-30098, une vulnérabilité patchée en juillet 2024 et permettant de contourner les mécanismes de vérification des signatures numériques.
Comment corriger le problème ?
La solution proposée actuellement par Microsoft consiste à ajouter manuellement une clé de registre. Il n'y a pas de KIR proposé pour le moment. Voici les étapes à réaliser après avoir ouvert l’Éditeur du Registre (regedit.exe).
Accédez à la clé suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais
Créez et modifiez la valeur DWORD suivante :
DisableCapiOverrideForRSA
Si elle n’existe pas (ce qui est fort probable), Microsoft précise qu'elle doit être créée. Ensuite, double-cliquez dessus et définissez la valeur à 0.
Fermez l’éditeur et redémarrez la machine pour appliquer le changement.
Il est à noter que ce problème affecte autant les serveurs que les postes de travail. En effet, Microsoft précise que Windows 10 et Windows 11 sont affectés, tout comme les versions pour les serveurs de Windows Server 2012 R2 à 2025.
Avez-vous rencontré ce problème ?
