Parmi les utilisateurs, il y a ceux qui sont impatients d’installer la toute dernière version de Windows 10 tout de suite. Certains d’entre eux s'inscrivent aux cycles Insider et attendent avec fébrilité la version la plus récente. Et il y a ceux qui veulent s’assurer que la dernière version de Windows 10 est parfaitement compatible avec leurs applications et qu’ils auront le temps de gérer les éventuels effets secondaires. C’est mon cas. Et ma philosophie avec les mises à jour de sécurité est la même; je ne les installe pas tout de suite (mais je les installe tous les mois avec succès). Si vous n'avez pas encore installé les mises à jour de janvier, faites-le dès que possible.
Une mise à jour à certaines conditions
La principale mise à jour de sécurité annoncée le mois dernier, portant la référence KB4535680, est destinée aux systèmes Windows Server 2012 x64-bit; 2012 R2 x64-bit ; Windows 8.1 x64-bit; Windows Server 2016 x64-bit; 2019 x64-bit ; Windows 10, version 1607 x64-bit; version 1803 x64-bit; version 1809 x64-bit et la version 1909 x64-bit. Aux administrateurs de serveur chargés de l’application des correctifs sur un serveur HyperV, je recommande en particulier de stopper temporairement les machines virtuelles hébergées sur ce serveur avant d'installer cette mise à jour - ou de l’ignorer complètement. Même si vous n'êtes pas administrateur système, vous pourriez rencontrer des problèmes avec cette mise à jour KB4535680. Parfois, la mise à jour n’est pas proposée parce qu'elle est bloquée par le fabricant de votre équipement. C’est le cas si l’OEM a détecté que votre machine n'avait pas le BIOS ou le firmware adéquat pour prendre en charge la mise à jour de Secure Boot, et il a probablement demandé à Microsoft de la reporter.
Parfois, comme l'a fait remarquer Gunther Born sur son blog, elle a été proposée à des systèmes qui ne prennent pas en charge le démarrage sécurisé. Dans ce cas, je recommande aussi de ne pas appliquer cette mise à jour. Sur d'autres systèmes Windows 8.1, la mise à jour a échoué à plusieurs reprises, un message d'erreur signalant des problèmes avec la partition OEM. Sur un forum, plusieurs utilisateurs ont indiqué qu'ils ne pouvaient pas installer la mise à jour. Si vous faites toujours tourner une ancienne plate-forme du genre Windows 8.1, je vous suggère fortement de masquer/désactiver la mise à jour de Windows. (voir ce tutoriel en anglais )
Attention à Bitlocker
Certains utilisateurs prêts à appliquer la mise à jour ont été invités à fournir une clé de récupération Bitlocker - même s'ils ne se souvenaient pas d'avoir activé Bitlocker sur leur ordinateur. Si c’est le cas, ils pourront constater que le système a automatiquement enregistré la clé Bitlocker sous leur compte Microsoft. Sans cette clef, il sera difficile de récupérer un système et ils devront tout reconstruire. Même si ces problèmes ne sont pas très répandus, le risque d'une attaque ciblant des utilisateurs distants est suffisamment faible pour que je recommande de masquer cette mise à jour sur les anciennes plateformes. Sous Windows 10, la seule façon de la masquer est d'utiliser des outils tiers ou d'utiliser un outil de masquage de pilotes de Microsoft, comme wushowhide.
C'est pour cela que je recommande toujours de faire une sauvegarde avant d'installer les mises à jour. Non seulement elle vous protège contre les ransomwares, mais elle vous permet aussi de récupérer cotre système en cas de problème. Quand j'ai installé les mises à jour de janvier sur du matériel fonctionnant sous Windows 10 20H2 et 2004, j'ai constaté que plusieurs ordinateurs avaient besoin d'un second redémarrage pour indiquer que la mise à jour était correctement installée. Ne vous inquiétez donc pas si vos systèmes ont besoin d'un second redémarrage. Si vous avez déjà installé l’update KB4535680, vous n'avez pas besoin de le désinstaller. Je n’ai constaté aucun effet secondaire une fois le correctif installé.
Le bug NTFS et la fin de Flash
Récemment, un bogue de corruption de données NTFS a fait la une. Microsoft prévoit de corriger ce bogue qui fait croire à Windows qu'il doit corriger la corruption de disque si vous cliquez par mégarde sur un fichier. Des chercheurs indépendants ont mis au point un outil pour protéger les systèmes contre ce bogue. Comme l’explique le site attackerkb.com, « le disque n'est pas réellement corrompu. Si vous essayez d'accéder à des fichiers sur le disque, vous pouvez toujours interagir avec eux et faire les choses normalement sans aucun problème. Windows pense simplement que le disque est corrompu, même s'il ne l'est pas ». Je vous recommande de ne rien faire pour l'instant ou d'utiliser l'outil de contournement. Aucune attaque ciblant le bogue NTFS n’a été signalée. Il faut simplement être conscient du problème. De manière générale, la vigilance est de mise avant de cliquer, télécharger ou ouvrir des pièces jointes. N'ouvrez que les messages et pièces jointes que vous attendez ou ceux dont vous êtes sûr qu’ils ne sont pas malveillants.
Un correctif qui ne figure pas dans cette mise à jour, et qu’il faudra sans doute attendre quelques semaines, c’est le patch qui supprime Flash des systèmes. Cette mise à jour ne sera pas obligatoire avant la fin de l'année. En attendant, si vous souhaitez supprimer Flash, vous pouvez télécharger manuellement le patch KB4577586 sur le site du catalogue de Microsoft et l'installer. On trouve sur Youtube des vidéos pratiques expliquant comment faire. (Adobe bloque l’exécution des contenus Flash dans le lecteur Flash depuis le 12 janvier).
Ne pas négliger les navigateurs et à la fin de Windows version 1909
Souvent, ce sont les patchs les plus discrets qui ont le plus d'impact sur Windows. Les navigateurs Edge de Microsoft et Chrome de Google ont récemment reçu des mises à jour qui permettent de vérifier vos mots de passe enregistrés pour vous assurer qu'ils sont suffisamment forts ou qu'ils n'ont pas été utilisés dans des attaques de violations de mots de passe. Cela dit, je ne conseille pas du tout de sauvegarder les mots de passe dans son navigateur. Je recommande plutôt d'utiliser un gestionnaire de mots de passe pour sauvegarder et tester la force de vos mots de passe. N'oubliez pas d’ajouter chaque fois que c’est possible une authentification à deux facteurs.
Un dernier rappel : la fin du support de Windows 10 1909 se rapproche. Les éditions Windows 10 Famille et Pro ne seront plus supportées à partir du 11 mai. La mise à jour de l'aperçu pour la version 1909 et la mise à jour du mois prochain incluront une notification qui vous indiquera à quel moment votre appareil sera proche de cette date de fin de support. Après le 11 mai, votre appareil cessera de recevoir les mises à jour de sécurité. (Les éditions Windows 10 Enterprise et Éducation disposent d’une année supplémentaire avant la mise à la retraite de la version 1909). Si vous utilisez toujours Windows 10 Pro version 1909, il est temps de commencer à prévoir de migrer vers les versions 2004 ou 20H2 de Windows.