Comme l'a récemment signalé Günter Born dans son blog Born's Tech and Windows World, la mise à jour KB4592438 de Microsoft, livrée le 8 décembre, provoque un écran bleu de la mort quand on exécute la commande chkdsk c: /f, et empêche le hardware de booter. Ce problème a été souvent évoqué ailleurs et sur d’autres forums. Cependant certains utilisateurs qui ont pris le risque d’exposer leur système en installant la mise à jour n'ont rencontré aucun problème quand ils ont exécuté cette même commande. Je l'ai moi-même testé et je n'ai pas non plus été victime de l'écran bleu de la mort. Alors, que faire ? Installer une mise à jour qui pourrait causer des problèmes ? Ou ne pas l’installer et s’exposer à des attaques ? Cet exemple met bien en évidence le dilemme qui se pose avec les correctifs : ils ne sont pas toujours parfaits. En fait, la plupart du temps, les correctifs ne sont pas parfaits. Mais dans la majorité des cas, ils sont suffisamment bons et font ce que l’on attend d’eux.

Dans cet exemple précis, des informations contradictoires expliquent que la commande chkdsk ne doit pas être utilisée sur les disques SSD en général. Même si j'apprécie la vitesse des SSD, je fais toujours en sorte de conserver une image complète du SSD de n’importe quelle machine critique au cas où j’aurais besoin de la remettre en production rapidement. Il m’est arrivé qu’un de mes SSD tombe soudainement en panne et d’avoir à restaurer à la hâte une machine à partir d'une sauvegarde. C'est pour cette raison aussi que j’ai toujours des SSD en réserve, pour les situations d'urgence. Les SSD peuvent s'arrêter de fonctionner, cela m’est arrivé et je dois m’y préparer. Quand des utilisateurs font état en ligne de problèmes de correctifs, il est rare que Microsoft les bloque ou les supprime sauf si ces problèmes de mise à jour sont généralisés et dommageables pour les systèmes. Si vous avez opté pour la télémétrie Microsoft, chaque fois qu'une mise à jour s'installe avec succès et que votre système redémarre, Microsoft reçoit cette information et sait que le système a survécu à l'expérience. 

Activer la télémétrie

Au fil des ans, il est devenu plus difficile de bloquer la télémétrie de Microsoft. Récemment, le système a même, pour la première fois, signalé l’usage de fichiers hôtes comme problème de sécurité quand un utilisateur essayait de s’en servir pour bloquer la télémétrie. Parce que ce processus permet de signaler des problèmes liés aux mises à jour, j'encourage vivement l'activation de la télémétrie. Il est important que Microsoft soit informé des problèmes causés par ses mises à jour. Il y a plusieurs années, Microsoft EU avait réalisé une vidéo amusante intitulée « Nous partageons votre douleur » (We share your pain) dans le cadre de son prétendu programme de feedback. Dans cette vidéo parodique, les boutons de feedback permettaient de régler l’intensité de la décharge électrique envoyée dans la chaise du développeur responsable de la portion de code défectueuse. Certes, et malheureusement peut-être, la télémétrie de Microsoft n’envoie ce genre de feedback aux développeurs, elle offre juste à Microsoft une vue d'ensemble de ses mises à jour. Cependant, elle ne permet pas de révéler les cas où les mises à jour installées sont sporadiquement problématiques. Par exemple, l'ordinateur d’un utilisateur ne démarre pas, ou se met en route lentement, ou bien c’est un jeu qui ne fonctionne pas correctement pour un autre. Il y a des problèmes, mais pas pour tout le monde. 

Dans le cas précis de la mise à jour KB4592438, il semble qu’un paramétrage particulier de la Stratégie de groupe soit à l’origine d’un problème d'écran bleu sur certains ordinateurs. Et la télémétrie permet aussi à Microsoft d’en avoir conscience. Le lundi 21 décembre, l’éditeur a noté dans la section des problèmes connus qu'un correctif serait envoyé à tous les utilisateurs recevant leurs mises à jour à partir de Windows Update. « Ce problème est résolu et devrait maintenant être évité automatiquement sur les appareils non gérés. Veuillez noter que la résolution peut prendre jusqu'à 24 heures avant d’être diffusée aux appareils non gérés. Un redémarrage de votre appareil pourrait permettre à la résolution de s'appliquer plus rapidement. Concernant les dispositifs d'entreprise ayant installé cette mise à jour et rencontré ce problème, ce dernier peut être résolu en installant et en configurant une Stratégie de groupe particulière », explique Microsoft.

Un écosystème vaste et désordonné

Il est clair qu'un certain ajustement est nécessaire sur un nombre inconnu de machines Windows. Et c'est là que réside le gros problème de l'écosystème Windows : même si l’on utilise Windows depuis des années, l’écosystème reste très vaste et désordonné, avec de multiples fournisseurs de matériel, des tas de pilotes et de logiciels souvent développés sur une base non documentée. Certes, au fil des ans, Microsoft a mis un frein à cette approche « sauvage » et a imposé certaines exigences aux développeurs. C'est l'une des principales raisons pour lesquelles je vous recommande vivement de vous inscrire au programme Insider ou d’installer des versions de fonctionnalités dès le premier jour de leur sortie, et d'utiliser Windows Defender comme antivirus et non pas un produit de tierce partie. 

Si en général, et contrairement à ce qui se passe avec cette mise à jour KB4592438, Microsoft propose souvent une solution à un problème de correctif, celui-ci n'est cependant pas publié de la même manière que la mise à jour originale. Par exemple, au mois de novembre, la mise à jour livrée par Microsoft avait provoqué des problèmes d'authentification et de renouvellement des tickets Kerberos. Plus tard dans le mois, le 19 novembre exactement, l’éditeur a publié une mise à jour hors bande pour corriger ce problème spécifique. Celle-ci n'a pas été distribuée via le canal de diffusion Windows Update, ni via Windows Software Update Servicing : les administrateurs IT ont dû la récupérer manuellement et la télécharger ou l'insérer dans leurs serveurs Windows Server Update Services (WSUS). 

Finalement, comme Microsoft redéploie rarement ses correctifs, voici comment maintenir ses systèmes en état de fonctionnement.

- Limitez les logiciels de sécurité tiers. C’est mon cas : sur la machine sur laquelle j’appliquerai la dernière version de fonctionnalité disponible, je n'utilise que Windows Defender. Si vous utilisez un antivirus tiers ou plusieurs produits antivirus (un antivirus et un antimalware), je vous recommande d’utiliser Windows 10 Professionnel et de reporter l’application des versions de fonctionnalités. Demandez toujours à votre fournisseur d'antivirus quelle version de Windows 10 il prend en charge. Ne supposez pas qu’il supportera une nouvelle version dès le premier jour.

- N’overclockez pas le processeur de la machine et n'utilisez pas de logiciels tiers qui augmentent ses performances (ou prétendent le faire). Je constate souvent que le logiciel d'amélioration des performances est à l’origine de certains problèmes.

- Si vous jouez à des jeux, soyez également conscient des risques de malveillance. Les licences de jeux ou des logiciels antitricherie peuvent provoquer des problèmes. 

- L’amorçage double ou dual-boot. Même si nous aimons tous créer des machines à double amorçage, ce mode peut déclencher des soucis. Je conseille à tous les utilisateurs non-experts d’éviter le dual-boot mais aussi d’avoir toujours une sauvegarde de leur système.

- Informez-vous sur les mises à jour qui pourraient avoir un impact sur votre système. Par exemple, le site Windows Latest signale que quand la mise à jour KB4592438 est installée avec l'outil Intel Driver & Software Assistant Tool (DSA), elle peut entraîner un usage excessif du processeur. Souvenez-vous toujours des autres éléments que vous avez installés en même temps que le correctif principal de Windows et en cas de problème, demandez-vous si l’un de ces éléments a pu déclencher le problème. 

- Mettez à jour les pilotes vidéo et le BIOS. À une époque, je n’installais les mises à jour du BIOS qu’après l’achat d’un nouvel ordinateur et jamais ensuite. Aujourd’hui, avant l’application de chaque version de fonctionnalité, je m'assure que les correctifs BIOS de mes systèmes sont à jour. Je n'ai jamais eu d'échec lors de l'installation des mises à jour du BIOS.

- Il peut y avoir des coïncidences. D'après mon expérience, parfois, quand un système redémarre, il peut exposer et déclencher un problème sous-jacent. Il se peut que la mise à jour ne soit pas en cause, mais plutôt le redémarrage. Pendant longtemps, la meilleure pratique - en particulier pour les serveurs - consistait à redémarrer un système avant d'installer les mises à jour afin de s'assurer que le système était sain.