Le dilemne des correctifs : généralement bons, mais jamais parfaits

Comme l'a signalé Günter Born dans son blog Born's Tech and Windows World, la mise à jour KB4592438 de Microsoft livrée le 8 décembre dernier, provoque un écran bleu de la mort quand on exécute la commande chkdsk c: /f, et empêche le hardware de booter. Ce problème a été souvent signalé ailleurs et sur d’autres forums. Mais à l’inverse, certains utilisateurs qui ont pris le risque d’exposer leur système et d'installer la mise à jour, n'ont rencontré aucun problème quand ils ont exécuté cette même commande.

Je l'ai moi-même testée et je n'ai pas non plus été victime de l'écran bleu de la mort. Alors, que faire ? Installer une mise à jour qui pourrait causer des problèmes ? Ou ne pas l’installer et s’exposer à des attaques ? Cet exemple met bien en évidence le dilemne qui se pose avec les correctifs : ils ne sont pas toujours parfaits. En fait, la plupart du temps, les correctifs ne sont pas parfaits. Mais dans la majorité des cas, ils sont suffisamment bons et font ce que l’on attend d’eux. 

Se préparer au pire

Dans ce cas précis, des informations contradictoires expliquent que la commande chkdsk ne doit pas être utilisée sur les SSD en général. Même si j'apprécie la vitesse des SSD, je fais toujours en sorte de conserver une image complète du SSD de n’importe quelle machine critique au cas où j’aurais besoin de la remettre en production rapidement. Il m’est arrivé qu’un SSD tombe soudainement en panne et d’avoir à restaurer rapidement une machine à partir d'une sauvegarde. C'est pour cette raison aussi que j’ai toujours des SSD en réserve pour les situations d'urgence. Les SSD peuvent s'arrêter de fonctionner.

Cela m’est arrivé et je dois m’y préparer. Quand des utilisateurs font état, en ligne, de problèmes de correctifs, il est rare que Microsoft les bloque ou les supprime sauf si ces problèmes de mise à jour sont généralisés et dommageables pour les systèmes. Si vous avez opté pour la télémétrie Microsoft, chaque fois qu'une mise à jour s'installe avec succès et que votre système redémarre, Microsoft reçoit cette information et sait que le système a survécu à l'expérience.  

La télémétrie en lanceur d’alertes

Au fil des ans, il est devenu plus difficile de bloquer la télémétrie de Windows. Récemment, le système a même, pour la première fois, signalé l’usage de fichiers hôtes comme problème de sécurité quand un utilisateur essayait de s’en servir pour bloquer la télémétrie. Parce que ce processus signale des problèmes liés aux mises à jour, j'encourage vivement l'activation de la télémétrie. Il est important que Microsoft soit informé des problèmes causés par ses mises à jour.

Il y a plusieurs années, l'éditeur avait réalisé une vidéo amusante intitulée « Nous partageons votre douleur » (We feel your pain) dans le cadre de son soi-disant programme de feedback. (Dans une parodie de cette vidéo, les boutons de feedback permettaient d’indiquer directement le niveau douleur physique que l’on ressentait au développeur qui avait codé la partie du programme incriminé). Certes, et malheureusement peut-être, la télémétrie de Windows n’envoie pas ce genre de feedback aux développeurs. Mais elle donne une vue d'ensemble sur les mises à jour. Cependant, elle révèle les cas où les mises à jour installées sont sporadiquement problématiques. Par exemple, l'ordinateur d’un utilisateur ne démarre pas ; ou celui d’un autre démarre lentement, ou c’est un jeu qui ne fonctionne pas correctement pour un autre. Il y a des problèmes, mais pas pour tout le monde.

Une réponse relativement rapide

Dans le cas précis de la mise à jour KB4592438, il semble qu’un paramétrage particulier de la Stratégie de groupe soit à l’origine d’un problème d'écran bleu sur certains ordinateurs - mais pas sur tous. Et la télémétrie éclaire Microsoft sur ce problème. Le lundi 21 décembre, l’éditeur a noté dans la section des problèmes connus qu'un correctif serait envoyé à tous les utilisateurs recevant leurs mises à jour à partir de Windows Update. « Ce problème est résolu et devrait maintenant être évité automatiquement sur les appareils non gérés. Veuillez noter que la résolution peut prendre jusqu'à 24 heures avant d’être diffusée aux appareils non gérés. Un redémarrage de votre appareil applique le correctif plus rapidement. Concernant les terminaux d'entreprise ayant installé cette mise à jour et rencontré ce problème, ce dernier peut être résolu en installant et en configurant une Stratégie de groupe particulière », a expliqué Microsoft. 

Il est clair qu'un certain ajustement est nécessaire sur un nombre inconnu de machines Windows. Et c'est là que réside le gros problème de l'écosystème Windows : même si l’on utilise l’OS depuis des années, son environnement reste très vaste et désordonné, avec de multiples fournisseurs de matériel, des tas de pilotes et de logiciels souvent développés sur une base non documentée. Certes, au fil des ans, Microsoft a mis un frein à cette approche « sauvage » et a imposé certaines exigences aux développeurs. C'est l'une des principales raisons pour lesquelles je vous recommande vivement de vous inscrire au programme Insider ou d’installer des versions de fonctionnalités dès le premier jour de leur sortie, et d'utiliser Windows Defender comme antivirus et non pas un produit de tierce partie.  

Quelques conseils avant l’application de correctifs

Si en général, et contrairement à ce qui se passe avec cette mise à jour KB4592438, Microsoft propose souvent une solution à un problème de correctif, celui-ci n'est cependant pas publié de la même manière que la mise à jour originale. Par exemple, au mois de novembre, la mise à jour livrée par l’éditeur avait provoqué des problèmes d'authentification et de renouvellement des tickets Kerberos. Plus tard dans le mois, le 19 novembre exactement, l’éditeur a publié une mise à jour en urgence pour corriger ce problème spécifique. Celle-ci n'a pas été distribuée via le canal de diffusion Windows Update, ni via Windows Software Update Servicing : les administrateurs IT ont dû la récupérer manuellement et la télécharger ou l'insérer dans leurs serveurs via Server Update Services (WSUS). 

Finalement, comme la firme redéploie rarement ses correctifs, voici comment maintenir ses systèmes en état de fonctionnement : 

- Limiter les logiciels de sécurité tiers. C’est mon cas : sur la machine sur laquelle j’appliquerai la dernière version de fonctionnalité disponible, je n'utilise que Windows Defender. Si vous utilisez un antivirus tiers ou plusieurs produits antivirus (un antivirus et un anti-malware), je vous recommande d’utiliser Windows 10 Professionnel et de reporter l’application des versions de fonctionnalités. Demandez toujours à votre fournisseur d'antivirus quelle version de Windows 10 est supportée. Ne supposez pas qu’il supportera la dernière version dès le premier jour. 

- N’overclockez pas le processeur de la machine et n'utilisez pas de logiciels tiers qui augmentent ses performances (ou prétendent le faire). Je constate souvent que le logiciel d'amélioration des performances est à l’origine de certains problèmes. 

- Si vous jouez à des jeux, soyez également conscient des risques de malveillance. Les licences de jeux peuvent provoquer certains problèmes.  

- L’amorçage double ou dual-boot. Même si nous nous aimons tous créer des machines à double amorçage, ce mode peut déclencher des problèmes. Je conseille à tous les utilisateurs non experts d’éviter le dual-boot mais aussi d’avoir toujours une sauvegarde de leur système. 

- Informez-vous sur les mises à jour qui impacteraient votre système. Par exemple, le site Windowslatest signale que, quand la mise à jour KB4592438 est installée avec l'outil Intel Driver & Software Assistant Tool (DSA), elle peut entraîner un usage excessif du processeur. Souvenez-vous toujours des autres éléments que vous avez installés en même temps que le correctif principal de Windows et en cas de problème, demandez-vous si l’un de ces éléments a pu déclencher le problème.  

- Mettez à jour les pilotes vidéo et le BIOS. À une époque, je n’installais les mises à jour du BIOS qu’après l’achat d’un ordinateur et jamais après. Aujourd’hui, avant l’application de chaque version de fonctionnalité, je m'assure que les correctifs BIOS de mes systèmes sont à jour. Je n'ai jamais eu d'échec lors de l'installation des mises à jour du BIOS. 

- Il peut y avoir des coïncidences. D'après mon expérience, parfois, quand un système redémarre, il peut exposer et déclencher un problème sous-jacent. Il se peut que la mise à jour ne soit pas en cause, mais plutôt le redémarrage. Pendant longtemps, la meilleure pratique - en particulier pour les serveurs - consistait à redémarrer un système avant d'installer les mises à jour afin de s'assurer que le système était sain.