Une mise à jour de sécurité Windows d'octobre 2025 sème le chaos dans les entreprises, affectant plusieurs systèmes avec des bogues allant de simples désagréments à des dysfonctionnements majeurs. La mise à jour KB5066835 visait à renforcer la cryptographie Windows, en passant de l'ancien Cryptographic Services Provider (CSP) au Key Storage Provider (KSP), plus sécurisé. Sauf que, désormais les utilisateurs peuvent rencontrer des problèmes d'authentification, de sites web, de mises à jour et même d'utilisation des souris et des claviers. Ces problèmes, ainsi que d'autres problèmes connus, affectent les versions de Windows destinées à un déploiement à grande échelle, notamment Windows 10 (version 22H2), Windows 11 (versions 23H2, 24H2 et 25H2) et Windows Server (versions 2012, 2016, 2022 et 2025). « Il arrive que les améliorations apportées à la cybersécurité des logiciels d'entreprise entraînent des interruptions et des ajustements dans les activités jusqu'à ce que les logiciels soient mis à jour et fonctionnent efficacement sur toutes les plateformes », a fait remarquer Jim Routh, directeur de la confiance chez Saviynt. « C'est clairement le cas ici. »
En plus de la perte de l'utilisation des souris et claviers USB dans l'environnement de récupération Windows (WinRE), la mise à jour de sécurité Windows d'octobre 2025 (KB5066835) a causé des problèmes d'authentification par carte à puce ; des échecs de chargement des sites web hébergés sur la plateforme Internet Information Services (IIS) de Microsoft ; et des perturbations dans les mises à jour installées à partir de dossiers réseau partagés à l'aide du programme d'installation autonome Windows Update (WUSA). De plus, la semaine dernière, il est apparu que le correctif de sécurité avait perturbé de nombreux environnements de développement sous Windows 11, obligeant les entreprises à revenir en arrière. « La qualité globale des correctifs issus des mises à jour d'octobre est catastrophique », a commenté David Shipley de Beauceron Security. « Entre la destruction du localhost et les problèmes de clavier et de souris en mode de récupération, c'est l'une des pires mises à jour en termes d'assurance qualité que j'ai pu voir depuis des années. »
Des signatures numériques difficiles à obtenir
Parmi les problèmes d'authentification par carte à puce et de certificat, on peut citer la non-reconnaissance des cartes à puce en tant que fournisseurs de services cryptographiques (CSP) dans les applications 32 bits, l'impossibilité pour les utilisateurs de signer numériquement des documents et les défaillances des applications reposant sur l'authentification par certificat. Cela se traduit par des messages d'erreur du genre : « type de fournisseur invalide spécifié » et « erreur CryptAcquireCertificatePrivateKey ». Comme l’explique M. Routh de Saviynt, cela signifie que « les utilisateurs peuvent rencontrer des difficultés pour obtenir des signatures numériques pour les documents électroniques ». Microsoft affirme que ce problème résulte d'une « amélioration de la sécurité » destinée à renforcer la cryptographie. Les utilisateurs peuvent le résoudre en modifiant la clé de registre DisableCapiOverrideForRSA, puis en fermant et en redémarrant Windows. Cependant, Microsoft souligne qu'une modification incorrecte du registre peut entraîner des problèmes système. Les utilisateurs doivent donc toujours effectuer des sauvegardes avant d'apporter des modifications. « L'authentification par carte à puce est généralement utilisée dans les environnements dans lesquels une authentification hautement sécurisée est nécessaire », a rappelé Bob Wilson, conseiller en cybersécurité chez Info-Tech Research Group, ce qui la rend indispensable pour certaines fonctions. « Bien sûr, les principaux problèmes concerneront la perturbation des processus métier », a-t-il ajouté. De plus, si les mécanismes d'authentification sont défaillants, une entreprise pourrait se rabattre sur des pratiques d'authentification moins efficaces ou des solutions de contournement moins sécurisées, ce dont des acteurs malveillants pourraient tirer parti. « Il est surprenant qu'un correctif destiné à améliorer la sécurité puisse potentiellement affaiblir la posture de sécurité d'une entreprise », a encore fait remarquer M. Wilson. « Cela illustre parfaitement les problèmes qui peuvent survenir après des changements imposés par les fournisseurs. »
PC défectueux, connexions défaillantes et erreurs d'installation
La mise à jour KB5066835 peut également entraîner un dysfonctionnement des périphériques USB, notamment les claviers et les souris, dans WinRE, empêchant ainsi la navigation en mode récupération. Cependant, le clavier et la souris continuent de fonctionner normalement dans le système d'exploitation Windows. Microsoft a désormais publié une mise à jour hors bande, KB5070773, pour résoudre le problème. De plus, la mise à jour de sécurité peut entraîner des problèmes avec les connexions entrantes pour les applications côté serveur qui dépendent de HTTP.sys. Les sites Web IIS peuvent ne pas se charger, et les utilisateurs peuvent recevoir des messages tels que « ERR_CONNECTION_RESET ». Le problème affecte aussi les sites Web hébergés sur http://localhost/ et d'autres connexions IIS. Microsoft indique qu’il peut être résolu en recherchant et en installant les mises à jour, puis en redémarrant les appareils, que des mises à jour aient été trouvées ou pas.
De plus, la mise à jour KB5066835 provoque des défaillances dans WUSA, un mécanisme permettant d'installer des mises à jour à l'aide de l'API Windows Update Agent dans les environnements d'entreprise. Les utilisateurs peuvent être confrontés à l'erreur « ERROR_BAD_PATHNAME » lorsqu'ils interagissent avec des fichiers de mise à jour .msu lorsqu'il y a plus d'un fichier .msu dans un dossier réseau partagé. Ils peuvent contourner le problème en enregistrant les fichiers .msu localement et en installant la mise à jour à partir du fichier local. Si, après avoir redémarré Windows, la page « Historique des mises à jour » (Update History) dans « Paramètres » (Settings) indique toujours qu'un redémarrage est nécessaire, il faut attendre 15 minutes pour qu'elle s'actualise. « Après ce court délai, l'application « Paramètres » devrait indiquer correctement si la mise à jour a été installée avec succès », a précisé Microsoft. Le fournisseur dit avoir atténué le problème via Known Issue Rollback (KIR), une fonction qui rétablit automatiquement et à distance le bon fonctionnement d'une machine en cas de dysfonctionnements, ajoutant qu'un correctif serait publié dans une future mise à jour Windows.
Quelles actions possibles pour les entreprises ?
M. Shipley, de Beauceron Security, a fait remarquer que, dans l'ensemble, ces failles auront un impact « significatif sur quelques entreprises importantes », en particulier les entreprises du secteur bancaire, gouvernemental et de la défense qui exigent un niveau élevé de contrôle de sécurité. À court terme, M. Wilson, d'Info-Tech, a conseillé aux entreprises concernées d'effectuer la mise à jour recommandée de la clé de registre « DisableCapiOverrideForRSA », en modifiant sa valeur à « 0 ». Elles pourraient également reporter le déploiement de ce correctif particulier pour l'authentification par carte à puce. « Les entreprises devront travailler avec les fournisseurs pour obtenir des applications, des pilotes et des outils adaptés aux changements de cryptographie apportés par Microsoft », a souligné M. Wilson, en précisant que cette clé de registre disparaîtra en avril 2026, ce qui mettra ainsi fin à la solution de contournement. Il ajoute que, à long terme, les entreprises peuvent se protéger contre ces situations et d'autres similaires en :
- Mettant en place des procédures qui testent les correctifs et gèrent les changements grâce à un processus de contrôle des changements.
- Disposant de plusieurs voies d'authentification, en particulier pour les comptes critiques et privilégiés.
- Maintenant des plans d'urgence pour les processus critiques en cas de défaillance des systèmes d'authentification.
« Les difficultés actuelles rencontrées par les utilisateurs s'atténueront avec le temps, à mesure que de plus en plus de systèmes d'exploitation seront mis à niveau », a avancé M. Routh de Saviynt avant de conclure que, finalement, « la nouvelle technologie/cryptographie incluse dans la mise à jour est une amélioration de la sécurité du système d'exploitation ».