Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Microsoft lance sa Windows Resiliency Initiative et tue son écran bleu

Black is the new blue

Microsoft lance sa Windows Resiliency Initiative et tue son écran bleu

Toujours dans le sillage de la panne mondiale CrowdStrike, Microsoft a lancé sa Windows Resiliency Initiative pour réunir les acteurs concernés et établir un plan général. La coopération est de mise et des décisions ont été prises. Il y aura notamment des conséquences pour les solutions antivirus. Au passage, l’écran bleu classique disparait au profit d’un écran noir, plus sobre.

Le 27 juin à 15h45

La panne mondiale CrowdStrike a eu de multiples conséquences. Microsoft a tenu plusieurs grandes réunions avec tous les acteurs impliqués. Rapidement, le problème de la résilience a été au cœur des discussions, sur la manière dont l’architecture de Windows pouvait évoluer pour se pencher – enfin – sur des points de friction connus depuis longtemps, dont la toute-puissance des antivirus et autres logiciels de sécurité.

Dès novembre 2024, il n’était plus question que de sécurité et de résilience, de reprise sur incidents et de questions liées. Microsoft communiquait déjà abondamment sur sa Secure Future Initiative, qui plaçait la sécurité en priorité absolue. Au point que pour Satya Nadella, CEO de Microsoft, il valait mieux retarder une fonction ou ne pas la publier plutôt que d’affecter la sécurité.

La Windows Resiliency Initiative (ou WRI) est en quelque sorte un surensemble. Elle a pour objectif d’aider les entreprises à mieux prévenir, gérer et se remettre des incidents de sécurité ainsi que des problèmes de fiabilité.

BSOD à l'aéroport de Washington-Dulles en raison d'une mise à jour du logiciel de CrowdStrike le 19 juillet 2024.
Un aéroport pendant la panne CrowdStrike (cc-by-sa-2.0 reivax)

Les antivirus ? Oust

À travers sa Microsoft Virus Initiative 3.0 (que d’initiatives décidément), la firme veut insuffler un changement très concret : repousser les antivirus et les solutions de sécurité en espace utilisateur. Des exigences strictes vont être imposées, qui vont empêcher les éditeurs concernés de placer des composants en espace noyau.

Qu’est-ce que ce changement signifie ? Si vous avez suivi les détails de l’affaire CrowdStrike, vous savez que l’erreur initiale est partie d’un petit rien : un simple fichier de définition, contenant les informations sur de nouveaux logiciels malveillants. Mais cette erreur a été interprétée par le module qui, lui, résidait dans l’espace noyau de Windows. Depuis cette zone, qui lui procurait des droits bien supérieurs, le composant a alors entrainé des plantages en série. Ce n’est pas pour rien non plus qu’une bonne partie des écrans bleus est engendrée par les pilotes ayant un pied dans cet espace noyau.

L’espace utilisateur, au contraire, a moins de droits et est étroitement surveillé. Les éditeurs antivirus comme Bitdefender, ESET ou encore CrowdStrike lui-même ne vont-ils pas se fâcher ? Si l’on en croit le billet de blog de Microsoft, ce serait même l’inverse : tous les éditeurs se réjouissent des évolutions annoncées. Tous disent avoir participé à la validation technique de la MVI 3.0.

On ne sait cependant pas quelles modifications précises Microsoft a apporté au code de Windows, mais il est évident qu’un tel changement nécessite une vaste opération d’ingénierie. On ne sait pas encore non plus quand ce changement sera répercuté sur le système d’exploitation.

Le BSOD est mort, vive le BSOD

Puisque l’on parle d’écrans bleus, sachez que cette « institution » va disparaitre. Il va être remplacé par une version plus sobre, à fond noir, avec une simple phrase : « Votre appareil a rencontré un problème et va redémarrer ».

Le nouveau BSOD. Crédits : Microsoft

En dessous, on trouve un pourcentage, représentant comme aujourd’hui le vidage de la mémoire dans un fichier dump, à des fins d’analyse si besoin. En bas, on trouvera la référence de l’erreur ayant entrainé le plantage, ainsi que le composant responsable. Dans l’exemple donné par Microsoft, il s’agit a priori d’un pilote.

Ce nouvel écran (que l’on pourra toujours appeler BSOD, avec le B de Black) sera déployé à la fin de l’été.

D’autres changements intéressants

La QMR (Quick Machine Recovery) est un autre gros morceau. Microsoft indique qu’en cas de redémarrages inattendus consécutifs, « les appareils peuvent rester bloqués dans l'environnement de récupération Windows (Windows RE), ce qui a un impact sur la productivité et oblige souvent les équipes informatiques à passer beaucoup de temps à dépanner et à restaurer les appareils concernés ».

Quick Machine Recovery. Crédits : Microsoft

Solution ? Déployer à grande échelle une réponse spécifique via Windows RE. Cela revient à l’automatiser pour restaurer par exemple la capacité de redémarrage. Dans le cas de la panne CrowdStrike, le mécanisme aurait certainement fait gagner du temps. Sur la page consacrée à QMR, on peut lire que la recherche de solution peut être automatisée (et connectée aux serveurs de Microsoft) ou récupérée depuis le cloud, qui peut être celui de l’entreprise. On peut donc garder la main sur ce type de déploiement.

Pour le reste, la WRI rassemble des travaux existants et en ajoutent d’autres. La fonction Hotpatching, qui permet l’application de correctifs de sécurité sans redémarrage, va être plus largement proposée et s’appliquer à tous les PC équipés de Windows 11 Enterprise. Le Connected Cache doit optimiser l’utilisation de bande passante lors du déploiement des mises à jour au sein d’une entreprise. Microsoft évoque également son service Windows 365 Reserve, que nous évoquions il y a peu.

On note que ces annonces s’adressent avant tout au monde professionnel, surtout aux entreprises ayant de grands parcs. La panne CrowdStrike a fait frémir il y a un an, provoquant un électrochoc dans une partie de l’industrie.

Commentaires (25)

votre avatar
J'aurions foutu un nian cat avec écrit "DTC" en dessous... :D
Aucun humour crosoft.. :(
votre avatar
trop vieux nyancat :(
votre avatar
Autant mettre un RickRoll !! :D
votre avatar
S'ils pouvaient cesser de donner des messages d'erreur aussi vagues.
Je peux comprendre que ça fasse peur à l'utilisateur lambda, mais pour les techniques ça reste une tannée pour diagnostiquer.
Apple est aussi vague vous me direz, mais l'avantage est qu'on peut au moins fouiller dans les logs.
votre avatar
Je suis assez d'accord pour les messages d'erreur très vague qui n'aide pas, cependant pour les logs, Windows possède l'observateur d'événements, un outil très pratique et très puissant qui permet de fouiller/filtrer les logs.
votre avatar
Les messages avaient un code d'erreur et 4 paramètres. Mais ils ont simplifié, maintenant je crois qu'il y a un message un peu plus humain, qui manque de détails. Dans tous les cas pour avoir plus de détails, tu peux utiliser "Blues reen" de NirSoft et la doc MS sur KeBugCheck
votre avatar
Les initiatives c'est un peu comme les promesses.
Espérons que cela se traduise effectivement par une plus grande stabilité mais aussi de meilleurs messages d'erreur comme souligné par Ramyel (ce qui ne semble pas le cas).

Perso, mon PC crache irrégulièrement à la maison, sans BSOD ni message d'erreur (W11). Probablement un problème matériel mais changer la MB n’a pas suffit. J'hésite à remettre une pièce pour l'alimentation mais ça fait cher le debug....
votre avatar
Cela ressemble plus à un problème de mémoire vive
votre avatar
J'ai un problème similaire. J'ai testé à fond le PC (stress test de la RAM, du CPU, du GPU, des disques, et rien).
A force de chercher, j'ai la quasi-certitude qu'il s'agit d'un driver foireux (lequel, mystère).

Par contre, j'ai réussi à diminuer grandement les problèmes, en n'utilisant que la mise en veille profonde (sur disque donc). J'ai donc l'impression que c'est un problème plus ou moins lié à la gestion de l'énergie (et quand on sait que les tables ACPI sont bogués à mort, ça ne m'étonne guère).
votre avatar
Durant mon passage windows 7 à 10, cela venait du driver wifi soit disant compatible alors qu'en fait non.
A tester : https://www.resplendence.com/whocrashed
votre avatar
Merci, je vais tester !
votre avatar
Perso j'avais un PC neuf qui s'éteignait d'un coup aléatoirement après qq secondes ou heures,... Aucune erreur dans les log.
C'était l'alimentation qui avait un souci.
votre avatar
Beaucoup de gens connaissent le second principe de l'informatique :
Quand tout le reste a échoué, il est conseillé de lire la documentation.
Ils ont tendance à oublier le premier :
Ça marche mieux quand c'est branché.
votre avatar
Suite à un souci de clonage de disque, je me suis retrouvée coincée dans Windows RE sans qu'aucune option automatique ne fasse le job, alors que tout n'était qu'une question de correction d'affectation de lettre de lecteur de la partition système ; il a fallu une ligne de commande pour résoudre un problème qui m'a coincée plus d'une semaine... ça pourrait être bien en effet si les outils de réparation automatique étaient capables de diagnostiquer des situations où il y a des problèmes de ce type (quitte à ce que ça se passe en mode interactif : "Windows a détecté que la lettre de la partition système ne correspondait pas au paramétrage du démarrage, voulez-vous corriger ?").

'fin bref, c'est mon 36 15 MYLIFE du jour
votre avatar
Sur l'image d'illustration, j'aime bien le "Gates" juste en dessous de l'écran affichant l'écran bleu. Un petit hommage non intentionnel ? :-)
votre avatar
surtout avec la flèche :mdr2:
votre avatar
Ah oui, je n'avais pas fais attention. Pauvre Bill, il restera l'éternel coupable...! :D
votre avatar
En tant que spécialiste mondial incontesté des BSOD, je ne valide le passage au noir, le bleu a toujours été plus perf pisétou.
votre avatar
Ou sinon, un système immutable et des mises-a-jour A/B.
Ca résoudrait tout d'un coup.

Mais pour ça il faudrait reconsidérer le contenu de C:\Windows, C:\Users et C:\ProgramData.
C'est pas pour demain.
votre avatar
Adieu le QR code. Au lieu de le supprimer ils auraient pu le faire pointer vers l'erreur spécifique, ca m'aurait été utile plus d'une fois, notamment quand ca redémarre très rapidement et qu'on a le temps de rien lire.
votre avatar
D'où l'iintérêt de désactiver le redémarrage automatique en cas de plantage ;) (cf Paramètres système avancés, de mémoire,)
votre avatar
Ils auraient pu faire un message plus sobre mais garder le fond bleu. Ça fait partie des la beauté de Windows 🙂
votre avatar
On dirait vraiment que la capture d'écran de l'aéroport est une incrustation à l'arrache d'un faux écran bleu ! :D
Est-ce bien une vraie image ?
À travers sa Microsoft Virus Initiative 3.0 (que d’initiatives décidément), la firme veut insuffler un changement très concret : repousser les antivirus et les solutions de sécurité en espace utilisateur. Des exigences strictes vont être imposées, qui vont empêcher les éditeurs concernés de placer des composants en espace noyau.
Révolutionaire, non ?
Imaginez qu'un truc comme eBPF permettent ça depuis des lustres ?

Oh, attendez…
Sur la page consacrée à QMR, on peut lire que la recherche de solution peut être automatisée (et connectée aux serveurs de Microsoft) ou récupérée depuis le cloud, qui peut être celui de l’entreprise. On peut donc garder la main sur ce type de déploiement.
Miam, le vecteur d'attaque !
De la connectivité dans un espace de récupération dans lequel on peut s'attendre à de beaux privilèges, qui plus est !
votre avatar
Marrant, j'avais souvenir qu'ils avaient déjà changé la couleur du BSOD à l'époque de Windows 8 et qu'il était passé en noir.
votre avatar
Ils l'avaient fait au tout début de Windows 11. Ça n'avait duré que quelques mois avant de le remettre en bleu et cela n'avait été finalement visible que pour les beta testeurs il me semble.

Microsoft lance sa Windows Resiliency Initiative et tue son écran bleu

  • Les antivirus ? Oust

  • Le BSOD est mort, vive le BSOD

  • D’autres changements intéressants

Fermer