Connexion
Abonnez-vous

Les prérequis de Windows 11 peuvent être contournés par une simple commande

Les prérequis de Windows 11 peuvent être contournés par une simple commande

Le 12 octobre 2023 à 05h14

Lorsque Windows 11 est sorti, nous sommes revenus à plusieurs reprises sur ses prérequis techniques. Les deux plus importants sont un processeur récent (dont la liste est mise à jour à chaque évolution majeure annuelle) et la présence d’une puce TPM 2.0

Plusieurs techniques ont permis jusqu’à présent de passer outre ces obligations, mais aucune n’a jamais été aussi simple que celle ayant fait surface récemment (alors que la méthode a été découverte l’année dernière par un utilisateur vietnamien).

La méthode fonctionne en cas de mise à jour depuis Windows 10 et consiste à exécuter la commande « setup /product server » pour qu’aucune vérification ne soit faite. L’assistant met simplement à jour le système vers l’édition Familiale, une fois que l’utilisateur a indiqué ce qu’il souhaitait faire de ses données.

Comme indiqué, la méthode n’est pas nouvelle. Elle ne répond pas non plus à la problématique de l’installation neuve. Sur ce point, des utilitaires comme Rufus, Ventoy ou encore WinToUSB peuvent préparer des clés USB d’installation pour contourner les prérequis.

Dans tous les cas, le problème reste le même : si Microsoft décide de durcir le ton, les utilisateurs concernés peuvent se retrouver du jour au lendemain avec un système désactivé ou fonctionnant mal. Ce type de manipulation est toujours à utiliser à vos risques et périls.

Le 12 octobre 2023 à 05h14

Commentaires (59)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Il serait intéressant de savoir combien de Pc (en pourcentage) n’ayant pas les prérequis officiels de Microsoft ont installé Windows 11 ;).

votre avatar

Je ne veux pas me faire l’avocat du diable, mais rendre obligatoire un TPM, c’est poussé à son adoption et ce n’est pas une mauvaise chose pour la sécurité des utilisateurs. Une enclave sécurisée dans laquelle les clés et autres données sensibles peuvent être placées et protégées. Pas parfait, mais infiniment mieux que de devoir les stocker sur le support de stockage !



Ce n’est pas une utopie, car c’est très nettement une réalité sur mobile (Android, iOS) et, plus avant même, dans nos cartes SIM :D



Si je regarde rien que chez moi et dans mon entourage, la majorité n’ont pas les prérequis…

votre avatar

Tout à fait d’accord avec toi. Le seul souci ici c’est que Microsoft nous a habitués à une rétro-compatibilité quasiment sans faille, et là ils créent une réelle coupure. Forcément, dans le monde Windows ça surprend. Une telle discontinuité dans le support hardware côté Mac n’aurait choqué personne, car ça fait des décennies qu’ils opèrent de la sorte.

votre avatar

On aurait pu comprendre s’ils l’avaient imposé pour les machines préinstallées, mais là, non, ils l’imposent à tout le monde, pas seulement aux machines neuves.

votre avatar

Mouais enfin cette réalité dont vous parlez sur mobile n’empêche absolument pas les gens de se faire pirater et voler leur données sensibles on en a les compte rendu toutes les semaine alors …

votre avatar

Le principe en sécurité, c’est de réduire les risques, pas de viser le risque zéro. Sans doute que sans ça, il y aurait encore + de piratages.
C’est comme le MFA, ça n’empêche pas certains de se faire pirater, mais si ça n’existait pas ça serait pire.

votre avatar

  1. Aucun système n’est 100% sécurisé

  2. Les enclaves sécurisés / puces TPM / … ne sont pas là pour empêcher une application vulnérable d’être exploitée par un attaquant pour prendre le contrôle sur un device. Leur seule utilité est de pouvoir stocker (et générer aussi) des secrets cryptographiques de manière sécurisée, ce qui permet de mettre en place plusieurs autres fonctionnalités de sécurité : Secureboot, full-disk encryption, … De nos jours (quasiment) tous les smartphones ont une enclave sécurisée, et sont complètement chiffrés dès la sortie de la boite. Si quelqu’un vole le smartphone par exemple, il n’aura pas accès aux données (à moins d’avoir le code de déverrouillage). Sur les Macs c’est également le cas depuis plusieurs années. Sur Windows, Bitlocker existe depuis 2007, mais n’est quasiment pas utilisé, car en dehors des ordis portables professionnels, quasiment rien n’avait de puce TPM (même ceux qui avaient un fTPM via le CPU, souvent c’est désactivé dans le BIOS par défaut). Donc quand un PC est volé (ou même revendu sans faire un effacement sécurisé des supports de stockage avant), toutes les données présentes sur la machines sont récupérables très facilement.

  3. Les PC incompatibles Win11 tournent toujours très bien sous Win10, qui est toujours supporté.

votre avatar

Une enclave sécurisée n’empêche malheureusement pas les malwares et elle peut souffrir d’une faille de sécurité (exploit), mais je serais curieux de savoir si ce sont les données stockées sur les TPM qui se font voler.



Pour rappel, les TPM sont faits pour stocker des clés de chiffrement, certificats, etc. et intègrent des routines pour différents algos cryptographiques. Ce n’est pas fait de base pour stocker une adresse e-mail ou d’autres données du genre qui peuvent elles se faire pirater “simplement”.



L’idéal étant de chiffrer ces informations sensibles avec une clé qui sera ensuite protégée dans le TPM.



Une autre chose : si la sécurité des appareils mobiles, en particulier sur Android, laisse autant à désirer, c’est aussi parce que les fabricants n’appliquent pas toutes les bonnes pratiques en la matière, désactivent certains mécanismes, bref affaiblissent “volontairement” la sécurité des appareils, par commodité, méconnaissance ou (dés)intérêt.



Les Pixel sont les appareils les mieux conçus d’un point de vue sécurité, aussi bien du côté du matériel que de l’OS (màj de sécurité fréquentes, Android “renforcé”). Le seul gros point noir des Pixel, c’est qu’ils contiennent les applications et services de Google ! Idéalement, un Pixel avec un OS comme GrapheneOS (sans Gapps) sera bien plus sécurisé que la majorité des appareils sur le marché. Une fois encore, les risques existent toujours si l’utilisateur installe n’importe quoi ou une faille 0-day est exploitée…

votre avatar

en fait quelle importance que ce soient les données du TPm ce n’est pas ce qui les intéresse

votre avatar

Je pense que MS sortira Windows 12 avec de vrais prérequis obligatoire.
Le 11 n’aura servi qu’à préparer les esprits et forcer le renouvellement du parc.

votre avatar

Arona a dit:


Je pense que MS sortira Windows 12 avec de vrais prérequis obligatoire. Le 11 n’aura servi qu’à préparer les esprits et forcer le renouvellement du parc.


Très probable en effet

votre avatar

Arona a dit:


Je pense que MS sortira Windows 12 avec de vrais prérequis obligatoire. Le 11 n’aura servi qu’à préparer les esprits et forcer le renouvellement du parc.


Finalement, quels sont les intérêts de Microsoft à pousser aux renouvellement du parc ?
Est-ce uniquement pour augmenter les ventes de ses tablettes Surface ou a-t-il plus de contreparties financières au travers des licences OEM et des licences pour machine neuves?

votre avatar

Les intérêts financiers aucune idée et honnêtement je m’en fous.
Par contre forcer des renouvellements plus rapide en entreprise cela permet d’assurer une maturité suffisante permettant l’activation de solutions de sécurité devenant de plus en plus nécessaire.
Après la communication sur le sujet a été particulièrement nulle (comme d’habitude avec MS…).

votre avatar

Pour faire court, ça sert à pousser tous les utilisateurs pro vers AzureAD le plus vite possible sur tous les aspects de l’exploitation IT au point qu’il n’y ait plus rien dans le DC du client.

votre avatar

Je ne vois pas comment tu arrives à cette conclusion, si tu peux développer ça serait top.

votre avatar

(j’ai conscience que je réponds à un pro MS)
Mettons sur la table quelques éléments d’apparence indépendants les uns des autres, puis on fera un tableau global.



Office 2021
Lancé en même temps que Win11, MS a annoncé qu’il serait le dernier de la série des Office à licence et que les évolutions fonctionnelles seront réservées à Office365 (à abonnement).



Evolutions Azure AD
Depuis quelques temps, Azure AD propose aux clients de gérer la diffusion Windows Update à l’identique de ce que le client met sur son AD locale.
Nouvelle fonctionnalité, en déclarant un poste de travail BYOD (un PC acheté à l’épicerie du coin) dans le domaine Azure, ce dernier effectue la « masteristion » du poste de travail lors de la connexion du compte sur le domaine AD du client (dans Azure donc)
Mon petit doigt m’a dit que l’administration Azure des domaine AD tend à devenir l’instance principale du domaine en lien et place de l’AD locale du DC client.



Windows 10 & 11
Octobre 2025, fin de support Win10
Migration Win11 obligatoire … dans un périmètre où même les version Pro réclament un compte Microsoft pour fonctionner (ça se contourne, mais rien ne dit qu’on pourra le faire encore longtemps)



Les GAFAM poussent à la mise en cloud massive, mais ça tout le monde le sait.
Là nous avons tout un contexte où l’avenir se dessine en mode tout-cloud : office à abonnement, Azure AD couvrant les activités des AD locales (plus de produits à licence à distribuer, plus de mises à jour à gérer sur WindowsUpdate local …)



Pour les postes de travail, Win11 en déploiement massif et imposé, pourquoi s’emmerder à gérer une licence sur un Win11 alors que le compte Microsoft est obligatoire ? P’tet que la gestion d’abonnement (mode free-to-play etc …) pose plus de soucis pour Windows que pour Office ? Mais bon, m’est avis que les soucis rencontrés seront réglés dans Win12 (annoncé non officiellement pour le 1er semestre 2024) … CàD un Windows free-to-play où il faudra passer à la caisse pour accéder aux fonctionnalités plus ou moins évoluées.



Prise de recul sur ces éléments, tout est fait pour de l’abonnement massif pour tout le catalogue Microsoft … pouvant être exploiter depuis AzureAD en se passant des AD locales devant inutiles voire pouvant être décomissionnées.



Petit parallèle Tolkien : Les anneaux de pouvoir vs l’anneau de Soron.

votre avatar

Complément à la réflexion : Microsoft s’est fait rattraper par le fisc et va de voir sortir 28.9 milliards de $ … une raison de plus d’avoir du cash très très vite et le système d’abonnement en fournit tous les mois.

votre avatar

Ah ouais, si on essaye de synthétiser tes derniers messages, ça donnerait ça :



MS pousse vers du Cloud depuis des années et force “l’obsolescence programmée” de W10 pour que les clients migrent vers W11 afin qu’ils puissent avoir un device “intimement lié à l’utilisateur” pour les préparer à un monde où les DC des clients sont vides, parce que AAD est à la base de toute l’infra MS. Tout ça pour accélérer sur Win12 free-to-play edition, parce qu’il y a besoin d’argent pour développer des fixs pour les vulnérabilités (seulement une fois par mois parce que ça ne rapporte pas d’argent), et qu’en plus il va falloir payer une méga amende, basée sur une simple lettre reçue aujourd’hui.



Heureusement que des gentils “architectes”, qui eux ne sont pas des moutons, veillent au grain pour sauver le monde (et pérenniser les AD on-prem, parce que ça c’est quand même un vrai sujet qui fait avancer les entreprises) !



(Le jour où tu vas découvrir que Windows par abonnement existe depuis des années, ton monde va s’écrouler)

votre avatar

(j’ai conscience que je répond à un gros troll)



C’est bien beau tout ça, et tu as probablement raison sur plusieurs points, mais je ne vois toujours pas le rapport avec la brève en fait…



Pour rappel, tu réponds à la question




Finalement, quels sont les intérêts de Microsoft à pousser aux renouvellement du parc ?


par




TNZfr a dit:


Pour faire court, ça sert à pousser tous les utilisateurs pro vers AzureAD le plus vite possible sur tous les aspects de l’exploitation IT au point qu’il n’y ait plus rien dans le DC du client.


Alors que ça n’a aucun lien. Que tu sois sous Win10 ou Win11, tu as autant d’intérêts à conserver ton AD on-premise ou passer à Azure AD (le mode hybride n’est pas une option à mon avis, ça introduit plus de problème que ça n’en résout 😅).



Et non, les versions Pro de Windows ne demandent pas de compte Microsoft : si ton ordi est connecté à un domaine, il ne t’embête pas avec un compte Microsoft.



Concrètement, MS n’a pas grand chose à faire pour pousser les pros vers AAD, la pandémie a déjà beaucoup fait : de plus en plus de travail à distance dans les entreprises, ça favorise énormément l’utilisation d’un AAD.

votre avatar

Je ne vois pas quels problèmes sont introduits avec de l’hybride ? En tous cas, je n’en ai jamais eu pour ma part et je tire le meilleur parti des deux environnements depuis un moment. Ca permet une transition assez douce.
Il suffit de savoir ou appliquer les modifications, on-premise avec sync ou direct online, selon la modif à effectuer.



Enfin perso je trouve ca pas mal et pas besoin de payer un Azure AD.

votre avatar

(rester courtois … rester courtois)



Disons que tu ne vois pas le tableau dans son ensemble. Prend un peu plus de recul et représente toi l’avenir des métiers de l’informatique avec une AD mondiale tenue dans les mains de quelques personnes …
Aujourd’hui, MS est en train de faire à l’informatique des utilisateurs finaux (grand public & pros) ce que Monsanto faisait aux agriculteurs à son époque : vente forcée, dépendance, procès ….



Le jour où MS décidera pour n’importe quelle raison que tu ne leur conviens plus, ils te couperont ton compte Azure et tu devras poser le stylo : plus de données, plus de logiciels, ….

votre avatar

(rester courtois c’est très bien, mais étiqueter les gens gratuitement sans les connaitre ce n’est pas courtois)



Ce que tu n’as pas l’air de comprendre, c’est que je ne te reproche pas forcément d’avoir tort, mais de répondre à côté de la plaque, et de ramener tous les sujets que tu peux aux vilains méchants qui veulent tous nous contrôler, même quand ça en fait aucun sens avec l’article que tu commentes.

votre avatar

(j’en ai autant à ton service)



Tu ne vois pas de lien direct.
Ok.

votre avatar

(reply:2158145:Vekin) Mais attention, tous les Pixel ne sont pas égaux. Je peux retrouver le fil de discussion de GrapheneOS à ce sujet, si souhaité.


votre avatar

Comment faire pour que les utilisateurs migrent sous W11 ?



il suffit de leur dire que ce n’est pas autorisé… et laisser des moyens de contournement.

votre avatar

:neuf:

votre avatar

Vekin a dit:


Une enclave sécurisée dans laquelle les clés et autres données sensibles peuvent être placées et protégées. Pas parfait, mais infiniment mieux que de devoir les stocker sur le support de stockage !


Je ne vois pas en quoi ce serait un progrès car dans le cas d’une défaillance matérielle générale ou simplement du remplacement de la pièce contenant la partie TPM (mobo/CPU), comment procède-t-on pour récupérer les clés ?



Il faut donc espérer qu’une copie existe ailleurs, comme celle de déchiffrement de Bitlocker qui est envoyé de base chez Microsoft si on renseigne un compte Microsoft lors de l’allumage d’une machine neuve (ce qui ne me rassure en RIEN d’ailleurs). C’est juste externaliser la charge de la gestion des clés à une entitée extérieure auquel on doit faire pleinement confiance.



Je ne vois pas le gain d’un tel système pour un usager lambda. Au mieux c’est pratique pour les entreprises avec un administrateur compétent.

votre avatar

Pour rester sur l’exemple de la clé Bitlocker, tu dois la sauvegarder.



Par défaut, Microsoft va la sauvegarder dans ton compte Microsoft, ou dans le cas d’une utilisation pro, dans l’AD (ou AzureAD). Mais il est tout à fait possible de l’imprimer ou la stocker sur une clé USB (et de stocker ça dans un coffre ;-) )



Comme ça, en cas de défaillance du TPM, tu n’auras aucun souci pour saisir la clé de déchiffrement au boot (c’est un peu fastidieux tout de même…) et booter la machine.



Le gain d’un tel système pour un usager lambda ? Une sécurité augmentée pour ses données, par exemple. Ce n’est pas une raison suffisante ?

votre avatar

Sauf que l’on parle d’usagers lambda. La gestion des mots de passe est déjà presque une tâche herculéenne pour eux, alors gérer le stockage de la clé de chiffrement Bitlocker ? C’est pourquoi je prends l’habitude de le désactiver sur les machines pour particuliers, alors que c’est activé par défaut sur du neuf.




(quote:2158283:127.0.0.1)
On est dans une phase de transition avant l’adoption du zero-pwd avec une clé physique dédiée, ou plus certainement avec un smartphone. Ca se met lentement en place, mais je ne doute pas qu’il y aura un point de basculement à un moment ou un autre.


Donc au lieu du “je ne sais plus le mot de passe”, ce sera “je ne sais plus où j’ai rangé la clé FIDO” ou alors “mais je n’ai pas de smartphone/j’ai changé récemment de smartphone”. L’avenir s’annonce amusant :transpi: :D

votre avatar

J’utilise le “passwordless” de Microsoft, aussi bien en perso qu’au bureau, depuis quelques mois maintenant. Franchement c’est le pied. Pas de mot de passe à taper, tu reçois une notif sur le tel, à valider en tapant le numéro affiché, rien de plus simple.



Et bien sûr, tu peux toujours utiliser ton mot de passe si jamais tu avais perdu ton smartphone, ou une clé FIDO2 de secours (tu peux enregistrer autant de facteurs d’auth que tu veux, et utiliser celui qui est le plus pratique en fonction de la situation).

votre avatar

On sait depuis longtemps que Windows n’est plus une manne pour Microsoft puisque la firme tire aujourd’hui 90% de ses services ça fait des années que j’installe des licences officielles à 10 balles sans qu’aucune mise à jour n’ait été bloquée pour une raison de non conformité quelconque.
L’affaire des “nouvelles versions” réservées au public équipé ad hoc est juste là pour doper les ventes chez les fabricants de PC qui savent très bien par ailleurs que ça fait plus de 10 ans que 80% des ordinateurs de base remplissent 100% des taches qu’on leur demande de remplir sans hoqueter pour manque de ressources business is business Il n’y a que le jeu la recherche et la création multimédia qui ont besoin des ressources digne de ce qu’on appelait alors des “stations de travail”.
Par contre imaginez qu’on ne fabrique plus de PC X86 AMD64 et windows est mort car l’alternative ARM de chez crosoft est en gestation depuis 15 ans sans proposition réelle sur cette plateforme.
Autant dire que le vide sera vite comblé par Apple et Google.

votre avatar

TheKillerOfComputer a dit:


Je ne vois pas en quoi ce serait un progrès car dans le cas d’une défaillance matérielle générale ou simplement du remplacement de la pièce contenant la partie TPM (mobo/CPU), comment procède-t-on pour récupérer les clés ?
(…)
Je ne vois pas le gain d’un tel système pour un usager lambda. Au mieux c’est pratique pour les entreprises avec un administrateur compétent.


On est dans une phase de transition avant l’adoption du zero-pwd avec une clé physique dédiée, ou plus certainement avec un smartphone. Ca se met lentement en place, mais je ne doute pas qu’il y aura un point de basculement à un moment ou un autre.

votre avatar

On vient de réussir à le configurer nos Windows 11 pour ça au taff. Clavier NFC + Carte FIDO2. Le user l’enregistre sur son compte Entra ID et ensuite on a un full passworless sur n’importe quel Windows. Le user pose sa carte, tape le Pin et la session s’ouvre.



On a travaillé là dessus pour nos travailleurs dans les usines qui n’ont pas le droit à téléphone etc excepté le badge. Du coup c’était une galère car ils arrivaient pas à retenir leur mot de passe ou faire du MFA donc pour assurer la continuité de Prod on est en compte générique plus autologon.



L’avantage là c’est que c’est 100% natif Windows 10 et Windows 11. Suffit d’un lecteur NFC et le login ou le déverrouillage via FIDO2. Ça vient de nous ouvrir tellement de possibilités et le RSSI est aux anges.

votre avatar

TheKillerOfComputer a dit:


Sauf que l’on parle d’usagers lambda. La gestion des mots de passe est déjà presque une tâche herculéenne pour eux, alors gérer le stockage de la clé de chiffrement Bitlocker ? C’est pourquoi je prends l’habitude de le désactiver sur les machines pour particuliers, alors que c’est activé par défaut sur du neuf.


Désolé mais c’est à mon avis complètement stupide de désactiver Bitlocker, usagers lambda ou non. Même pour l’usager lambda c’est 100% transparent. Des récupérations de clé Bitlocker, j’ai du en faire deux fois dans ma vie, et les deux fois c’est moi qui avait fait de la merde en bidouillant dans le BIOS, donc pas trop le problème d’un usagers lambda ;-) . Donc le stockage dans le compte Microsoft de l’usager lambda, ça suffit largement (sauf si ta matrice de risques inclus une surveillance ciblée de la part de la NSA, bien sûr). Et ça apporte pas mal de sécurité pour l’utilisateur, que ça soit en cas de perte/vol du device, ou en cas de revente.



Par défaut les devices Android et iOS sont également chiffrés. Tu désactives aussi ce chiffrement ?

votre avatar

Freeben666 a dit:


Franchement c’est le pied. Pas de mot de passe à taper, tu reçois une notif sur le tel, à valider en tapant le numéro affiché, rien de plus simple.


Je me fais l’avocat du diable: on fait comment si là où on travaille on ne capte pas le tel? (genre au milieu d’une usine sans Wifi ouvert)
Et ça veut dire que dans le futur proche, tous les élèves, collège inclut, auront besoin d’un téléphone pour se connecter?



Perso, je ne suis pas du tout pour la solution du tel. C’est lourd, agaçant (je n’ai pas toujours mon tel), limite navrant niveau ressources…

votre avatar

Comme je l’ai mis au-dessus. Le téléphone sert de périph passwordless mais ce n’est pas le seul autorisé. Il est d’ailleur recommandé de mettre plusieurs MFA sur un compte.

votre avatar

Tu cliques sur “autre moyen de connexion” et tu passes par une identification (surement en double facteur) plus classique.

votre avatar

Comme déjà indiqué par d’autres personnes ci-dessus, plusieurs facteurs d’authentification sont utilisables :




  • App Microsoft Authenticator

  • N’importe quelle app TOTP (type Authy, Google Authenticator, … pas besoin de connexion réseau)

  • Clé FIDO2 (pas besoin de connexion réseau)

  • Passkeys (il me semble, c’est récent)

  • Windows Hello for Business

  • SMS (pas vraiment sécure)

  • Mail (pas vraiment sécure non plus…)

  • J’en oublie certainement



Par exemple sur mon compte MS, j’ai de configuré :




  • une app Microsoft Authenticator

  • un TOTP

  • 2 clés FIDO

  • Le Windows Hello for Business des différents PC que j’utilise régulièrement avec ce compte



Donc pour me retrouver bloqué, il faut que je le veuille vraiment.



Sinon pour des élèves de collège (aucune idée d’où ça sort comme exemple, mais pourquoi pas), une simple clé de sécurité physique suffit.

votre avatar

Kiroha a dit:


Comme je l’ai mis au-dessus. Le téléphone sert de périph passwordless mais ce n’est pas le seul autorisé. Il est d’ailleur recommandé de mettre plusieurs MFA sur un compte.


Et d’un autre côté, un vrai MFA, ce serait d’autoriser l’accès par une autre personne physique de confiance. Pas par soi-même.

votre avatar

TheKillerOfComputer a dit:


Donc au lieu du “je ne sais plus le mot de passe”, ce sera “je ne sais plus où j’ai rangé la clé FIDO” ou alors “mais je n’ai pas de smartphone/j’ai changé récemment de smartphone”. L’avenir s’annonce amusant :transpi: :D


L’avenir se conjugue au présent: Pass autoroute/navigo, Paiement sans contact, Badge de porte/parking, voiture avec système Keyless, …



L’authentification par clé physique est déjà dans la vie quotidienne. On a juste un peu de mal a abandonner l’habituel (et forcément confortable) système de “login+password” qu’on a toujours connu.

votre avatar

Et la prochaine « idée du siècle » sera un coffre-fort interactif permettant de stocker et d’utiliser tous ses codes d’accès avec un support moins fragile qu’un téléphone et rattaché intimement à l’utilisateur … vous la voyez venir la grosse douille Big Brother ?

votre avatar

TNZfr a dit:


Et la prochaine « idée du siècle » sera un coffre-fort interactif permettant de stocker et d’utiliser tous ses codes d’accès avec un support moins fragile qu’un téléphone et rattaché intimement à l’utilisateur … vous la voyez venir la grosse douille Big Brother ?


On s’oriente aussi vers une informatique entièrement dans le nuage où la seule et unique interface nécessaire aux utilisateurs est un browser web. Tant que ton browser te laissera choisir le provider de sécurité, tu pourras choisir d’utiliser le service de Big Brother ou celui d’OVH ou proton-bidule ou d’un truc framasoft auto-hébergé.

votre avatar

(quote:2158197:127.0.0.1)
Comment faire pour que les utilisateurs migrent sous W11 ?



il suffit de leur dire que ce n’est pas autorisé… et laisser des moyens de contournement.


Windows 11 Potatoes Edition ?

votre avatar

(reply:2158449:dvr-x)


L’hybride apporte une certaine complexité, et si on ne sait pas ce qu’on fait ça peut également abaisser significativement la sécurité (notamment avec les au moins 3 méthodes différentes de synchro des mots de passe entre AD et AAD).



Par contre ton Azure AD gratuit je veux bien savoir comment tu fais. Oui tu peux avoir un “Azure AD Free”, mais c’est que tu payes des licences Microsoft365 pour tes utilisateurs, c’est ça qui paye l’AAD ;-)

votre avatar

Myifee a dit:


Ah ouais, si on essaye de synthétiser tes derniers messages, ça donnerait ça :



MS pousse vers du Cloud depuis des années et force “l’obsolescence programmée” de W10 pour que les clients migrent vers W11 afin qu’ils puissent avoir un device “intimement lié à l’utilisateur” pour les préparer à un monde où les DC des clients sont vides, parce que AAD est à la base de toute l’infra MS. Tout ça pour accélérer sur Win12 free-to-play edition, parce qu’il y a besoin d’argent pour développer des fixs pour les vulnérabilités (seulement une fois par mois parce que ça ne rapporte pas d’argent), et qu’en plus il va falloir payer une méga amende, basée sur une simple lettre reçue aujourd’hui.



Heureusement que des gentils “architectes”, qui eux ne sont pas des moutons, veillent au grain pour sauver le monde (et pérenniser les AD on-prem, parce que ça c’est quand même un vrai sujet qui fait avancer les entreprises) !



(Le jour où tu vas découvrir que Windows par abonnement existe depuis des années, ton monde va s’écrouler)


Tu interprètes comme tu veux en introduisant des choses dont je n’ai pas parlé dans ce fil de discussion.



Le Windows à abonnement dont du parle concerne les licences entreprises renouvelées régulièrement, licences diffusées aux postes de travail via l’AD locale. Ce que tu oublies dans ton raisonnement, c’est que la notion de licence perdure dans ce schéma, même s’il s’agit d’une pour un domaine AD avec X utilisateurs. Au niveau des particuliers, tu n’avais pas ça … jusqu’à l’arrivée de Win11 et de sa proximité avec Azure.



(pour info, j’ai fait le béta-testeur office365 en 2012 … genre je vais tomber de l’armoire, mais bien sûr !)

votre avatar

TNZfr a dit:


(j’en ai autant à ton service)


C’est toi qui a engagé les hostilités à ce niveau. Et ça me fait bien marrer pour être tout à fait honnête. En fonction des news que je commente, l’étiquette change, c’est très marrant. Un coup je suis pro Windows, un coup pro Apple, l’autre pro Google (là ça fait mal, je dois le reconnaitre), suppôt de Stallman, groupie de Torvalds, … bref, merci de choisir, que je puisse ENFIN savoir ma propre identité !



Juste je ne crache pas ma bile sur tout ce qui passe. Oui MS est une multinationale géante qui n’a pas à cœur nos intérêts individuels, son but c’est de fait de la moula. Ça ne veut pas dire que tout ce qu’ils font est foncièrement le mal. Parfois ils font des choses bien, il faut savoir le reconnaitre.



On va finir avec Coluche :




Quand on pense qu’il suffirait que les gens n’achètent plus pour que ça ne se vende pas !


votre avatar

TNZfr a dit:


Tu interprètes comme tu veux en introduisant des choses dont je n’ai pas parlé dans ce fil de discussion.



Le Windows à abonnement dont du parle concerne les licences entreprises renouvelées régulièrement, licences diffusées aux postes de travail via l’AD locale. Ce que tu oublies dans ton raisonnement, c’est que la notion de licence perdure dans ce schéma, même s’il s’agit d’une pour un domaine AD avec X utilisateurs. Au niveau des particuliers, tu n’avais pas ça … jusqu’à l’arrivée de Win11 et de sa proximité avec Azure.


Ce dont tu parles, ce sont des licences Windows via contrat de type CSP / EAS, qui sont contractuellement des licences souscrites sur une durée prédéterminée, en effet; même s’il y a bien longtemps que chez la majorité des clients ce n’est plus l’AD local qui gère ça (et heureusement)
Par contre, il existe des licences d’abonnement liées à l’utilisateur et en dehors toute gestion AD via M365 ; ces licences Win E3/E5 ne sont pas arrivées avec Windows 11 (et ne sont pas forcément rattachées ni à un poste de travail, ni à Windows :))




(pour info, j’ai fait le béta-testeur office365 en 2012 … genre je vais tomber de l’armoire, mais bien sûr !)


Oui, après, les technos ont évoluées depuis 2012, c’est bien ça le problème

votre avatar

TNZfr a dit:


Office 2021 Lancé en même temps que Win11, MS a annoncé qu’il serait le dernier de la série des Office à licence et que les évolutions fonctionnelles seront réservées à Office365 (à abonnement).



Tu peux chopper un abonnement famille pour 60€ par année pour 5 users. En plus ça t’active la protection ATP sur la boite mail etc. 60€ pour 5 users… Avec l’abonnement tu es sous support non stop et c’est ce que demande les entreprises, d’être toujours à jours



Evolutions Azure AD Depuis quelques temps, Azure AD propose aux clients de gérer la diffusion Windows Update à l’identique de ce que le client met sur son AD locale. Nouvelle fonctionnalité, en déclarant un poste de travail BYOD (un PC acheté à l’épicerie du coin) dans le domaine Azure, ce dernier effectue la « masteristion » du poste de travail lors de la connexion du compte sur le domaine AD du client (dans Azure donc) Mon petit doigt m’a dit que l’administration Azure des domaine AD tend à devenir l’instance principale du domaine en lien et place de l’AD locale du DC client.



Oula tu ne connais pas le produit et tu racontes n’importe quoi là. Azure AD n’est pas un Active Directory. Pas de GPO, pas de LDAP etc. C’est un IAM. Si tu veux mettre ton AD dans le cloud tu prends Azure AD DS qui est un AD DS managé. La masterisation etc c’est dans Intune qui est un MDM et il faut Autopilot et Autopatch. Encore une fois c’est ce que les entreprises veulent. du SaaS avec des paiements récurrents et plus de l’amortissement.
Windows 10 & 11 Octobre 2025, fin de support Win10 Migration Win11 obligatoire … dans un périmètre où même les version Pro réclament un compte Microsoft pour fonctionner (ça se contourne, mais rien ne dit qu’on pourra le faire encore longtemps)



La version PRO oui la version Enterprise non. Ce n’est pas les memes éditions
Les GAFAM poussent à la mise en cloud massive, mais ça tout le monde le sait. Là nous avons tout un contexte où l’avenir se dessine en mode tout-cloud : office à abonnement, Azure AD couvrant les activités des AD locales (plus de produits à licence à distribuer, plus de mises à jour à gérer sur WindowsUpdate local …)



Oui c’est ce que les entreprises veulent car ça permet une diminution de la masse salariale, de ne plus gérer l’infra, les mise à jours etc
Pour les postes de travail, Win11 en déploiement massif et imposé, pourquoi s’emmerder à gérer une licence sur un Win11 alors que le compte Microsoft est obligatoire ? P’tet que la gestion d’abonnement (mode free-to-play etc …) pose plus de soucis pour Windows que pour Office ? Mais bon, m’est avis que les soucis rencontrés seront réglés dans Win12 (annoncé non officiellement pour le 1er semestre 2024) … CàD un Windows free-to-play où il faudra passer à la caisse pour accéder aux fonctionnalités plus ou moins évoluées.



En entreprise ce n’est pas imposé si on sait un tant soit peu gérer son parc…. Pour W12 c’est de la pure spéculation. Windows est déja en fonctionnalités c’est les différentes éditions
Prise de recul sur ces éléments, tout est fait pour de l’abonnement massif pour tout le catalogue Microsoft … pouvant être exploiter depuis AzureAD en se passant des AD locales devant inutiles voire pouvant être décomissionnées.



On est dans cette stratégie de ne plus dépendre de AD DS car ça impose une gestion plus complex que Azure AD. Sauf que, Windows Server ne permet pas l’authenth sur Azure AD, Linux encore moins et AD DS à encore de très nombreuses année de vie devant lui.


votre avatar

(quote:2158449:dvr-x)
Enfin perso je trouve ca pas mal et pas besoin de payer un Azure AD.


Azure AD est gratuit ! C’est la Plan 1 ou Plan 2 qui sont payants

votre avatar

Freeben666 a dit:


J’ai déjà eu l’occasion de devoir récupérer des données d’ordinateurs où l’usager :
n’a pas de sauvegardes, évidemment :roll:
n’a pas le mot de passe
ne sait même plus le compte microsoft utilisé, ni même qu’il en avait un…
…alors que Windows est hors-service



La récupération des données reste possible dans ce cas, mais avec Bitlocker autant leur dire adieu. Remarque, ça leur donnerait une bonne leçon mais ils vont être très énervés…



Maintenant la tendance est à l’ordinateur portable fixe (en permanence chez soi), donc un risque de vol un peu plus faible que pour un nomade qui ferait bien de chiffrer tout. Bref, la sécurité serait plutôt de les protéger de eux-même… mais Bitlocker fait le contraire. Le cloud n’est pas une solution non plus même si de base Onedrive se permet de déporter les fichiers locaux chez lui, car l’espace gratuit est bien maigre.



Idem sur les smartphones, il m’arrive de couper le verrouillage sécurisée car la personne est agée et a déjà du mal avec le simple concept de glisser le doigt pour débloquer. Sauf qu’en faisant cela je coupe de fait le chiffrement.




(quote:2158320:127.0.0.1)


Sauf que ceux que tu cites ne sont pas complètement physiques. Il est possible de détourner le paiement sans contact, ou d’ouvrir une voiture Keyless par amplification de signal, etc. Au nom du confort on a perdu en sécurité car ce n’est pas 100% physique, et on prétend que ça améliore la sécurité :fumer:



Quand au pass autoroute, je ne dois pas avoir de chance car j’ai essaié… et j’ai dû m’arrêter à chaque fois car je me serais pris la barre autrement :transpi: Autant faire à l’ancienne :D

votre avatar

TheKillerOfComputer a dit:


J’ai déjà eu l’occasion de devoir récupérer des données d’ordinateurs où l’usager : n’a pas de sauvegardes, évidemment :roll: n’a pas le mot de passe ne sait même plus le compte microsoft utilisé, ni même qu’il en avait un… …alors que Windows est hors-service


Désolé mais cet utilisateur n’a pas besoin qu’on lui désactive Bitlocker, mais qu’on lui file des cours d’informatique… Et au pire, une bonne perte intégrale de données, ça a tendance à vacciner ;-)




TheKillerOfComputer a dit:


Maintenant la tendance est à l’ordinateur portable fixe (en permanence chez soi), donc un risque de vol un peu plus faible que pour un nomade qui ferait bien de chiffrer tout. Bref, la sécurité serait plutôt de les protéger de eux-même… mais Bitlocker fait le contraire.


Non, Bitlocker ne fait pas le contraire. Il n’est pas là pour faire les sauvegardes à leur place, mais garantir la confidentialité de leurs données en cas de perte ou vol de l’ordinateur (ou en cas de revente, vu que l’utilisateur décrit ne va clairement pas faire un effacement complet du disque…). Peut-être que l’ordinateur ne sort jamais du domicile, mais les cambriolages ça existe, et on peut aussi revendre son vieux PC. Je suis sûr que la personne qui mettra la main sur le PC en question sera ravie d’avoir aussi facilement accès à leur vie numérique, leur comptabilité, les documents des impôts, accès à divers comptes comme leur boite mail…

votre avatar

La sauvegarde sera faite sur un disque dur externe qui ne sera pas bitlocké car l’usager veut pouvoir le brancher sur sa TV ou autres (et de toute façon il ne sait même pas ce qu’est Bitlocker ou qu’on peut chiffrer un externe), et qui sera volé en même temps que l’ordinateur durant le cambriolage et ça ne changera donc strictement rien.



Ton texte valide les raisons de ma haine des développeurs modernes/UX designers et divers, alors que je prônais leurs principes il y a encore quelques années mais plus maintenant : on impose NOS règles aux gens alors qu’il s’agit de LEUR ordinateur, et on est de fait totalement déconnecté du réel.



Les usagers devraient pouvoir se servir de leur machine de la façon qu’il est réalistiquement possible de leur demander quitte à devoir trouver un compromis entre simplicité/performances/sécurité et de fournir un maximum d’options possibles (alors que la tendance actuelle est à en retirer). Car si on veut vraiment la meilleure sécurité possible, la seule méthode fiable est de débrancher définitivement l’ordinateur, mais c’est infaisable aujourd’hui.



Je ne peux pas ordonner à une dame de 70 ans de procéder à des sauvegardes régulières si elle n’est pas apte à le faire. J’évalue, j’adapte si possible sinon je renonce à certains critères pour lui permettre d’utiliser sa propriété. Et non, l’option de le faire à sa place n’est pas acceptable pour sa petite retraite.



A un moment les arrogants que nous sommes vont devoir apprendre l’humilité. Il est grand temps d’aller voir des gens, d’observer en la fermant, puis d’ « innover » avec les conclusions obtenues.



Bitlocker est surtout comme un moyen pour Microsoft de promouvoir Onedrive à la façon iCloud, car la seule sécurité contre la perte totale sera le stockage distant à 7 € par mois pour 1 To (prix actuel), sans oublier l’abonnement fibre si on a la chance d’être couvert, et en espérant qu’ils ne nous feront pas un OVH.



Bienvenue dans le monde réel. Oui j’ai eu beaucoup du mal aussi au début.

votre avatar

Oui allez, tu es le seul à avoir des personnes de 60 ans et plus dans ton entourage que tu dois assister avec l’informatique. En ce qui me concerne je n’ai pas de souci avec ça, mes parents ont des PC avec Bitlocker activé depuis des années, et aucune perte de données n’est à déplorer. Il s’agit d’automatiser ce qui peut l’être, expliquer (et ré-expliquer parfois, c’est vrai) correctement ce qui doit l’être, et tout se passe bien.



Je t’invite à acheter des disques durs d’occasion (ou des PC, mais c’est plus cher) sur eBay ou autre. Tu verras la quantité de données qui s’y trouvent. Souvent il n’y a même pas eu ne serait-ce qu’un reformatage basique avant la revente…

votre avatar

Ce n’est pas mon entourage, sans pour autant être un pro (j’y réfléchis)… Si c’était ma famille ou un proche, j’aurai stocké mots de passe et Bitlocker au cas où (peut-être que tu le fais d’ailleurs) et/ou serait en capacité de ré-expliquer régulièrement.



Il me faut donc évaluer par une discussion assez brève vu que je ne repasserai pas avant longtemps voir jamais. Légalement je ne peux pas stocker leurs informations pour eux.



Bitlocker est une menace s’ils n’ont pas de proches derrière eux pour les aider, donc de base je désactive sauf contre-ordre afin que je puisse réparer en cas de problème.



Oui le disque dur est un danger. Je leur dis de m’appeler pour détruire les données s’ils remplacent leur ordinateur un jour. Certains le font, j’ai d’ailleurs des disques durs défectueux que j’ai cleané à dégager et j’ignore encore où cela peut se faire dans mon secteur.

votre avatar

Pour la destruction d’un HDD (magnétique), la commande shred sous Linux est très efficace. Pour un particulier 2 passes devraient être largement suffisantes (en vrai, même une). Sinon quelques trous à la perceuse et c’est réglé (mais ça se revend moins bien après).
Avec les SSD c’est quand même beaucoup plus simple : tout supprimer, forcer un trim, et s’assurer que celui-ci s’est bien effectué. La remise à zéro des cellules est globalement suffisante (bon après si en face tu as la NSA qui essaye de récupérer tes données, tu dois avoir des outils performants).



Je reste persuadé que Bitlocker pour un particulier est vraiment obligatoire. L’utilisateur est dans l’incapacité de sauvegarder la clé, ou ses données ? Dans ce cas on la sauvegarde dans son compte Microsoft, et on note dans son calepin d’informatique l’identifiant de ce compte.



Je connais également des personnes “agées” qui sont effectivement tout à fait à l’aise avec l’outil informatique, mais il faut quand même reconnaitre que ce n’est pas la norme (et toutes ces personnes travaillaient dans le domaine de l’informatique).



Par contre ça ne me surprend pas qu’aujourd’hui un jeune de 20 ans soit moins à l’aise avec l’informatique qu’une personne de 50 ans.



Effectivement, les compétences en COBOL sous AS400 ne se traduisent pas forcément vers Windows 11 😅

votre avatar

Je parlais de me débarrasser des cadavres, pas des données car déjà fait. Je ne pense pas avoir le droit de jeter des disques durs dans ma déchetterie locale :D




Dans ce cas on la sauvegarde dans son compte Microsoft, et on note dans son calepin d’informatique l’identifiant de ce compte.


Encore une fois, ça risque de ne pas suffire donc je ne prend pas de risques. J’ai déjà eu à retrouver des licences Office en fouillant plusieurs comptes Microsoft et dont en plus les mots de passe étaient perdus. C’est très chronophage de retrouver identifiant et/ou mots de passe, peu importe la raison.



Ce serait déjà BEAUCOUP plus simple si Microsoft (et Google et autres) explicitait clairement lors de la création des comptes que créer une adresse Outlook.fr/Gmail.com en même temps n’est PAS obligatoire.



Or ils n’ont aucun intêret à faire ça. Pourtant si le compte Microsoft était l’adresse e-mail réellement utilisé par l’usager, ce dernier ne le perdrait pas et reinitialiser le mot de passe ne prendrait que peu de temps au pire.



J’en ai d’autres, rien que pour les smartphones ce n’est pas joyeux non plus avec des usagers ayant 3/4/5+ comptes Google à force de renouveller.



La situation n’est pas là que par le manque d’expérience des usagers : elle est aussi causée plus haut par les développeurs et décisionnaires, soit par incompétence crasse soit parce que c’est voulue. Et ça m’exaspère.




Par contre ça ne me surprend pas qu’aujourd’hui un jeune de 20 ans soit moins à l’aise avec l’informatique qu’une personne de 50 ans.


J’ai vu un jeune en master développement informatique ne pas connaître des termes comme CPU/GPU :transpi: J’espère qu’il n’aura pas à concevoir de pilotes un jour :D

votre avatar

Freeben666 a dit:


des personnes de 60 ans et plus dans ton entourage que tu dois assister avec l’informatique.


J’ai un petit sourire en lisant ça, en tant que “60 ans et plus” et qui a toujours baigné dans l’informatique, sans être du métier, en ayant commencé par Fortran (toujours en vie), et dépanne surtout des plus jeunes que moi !

votre avatar

serpolet a dit:


J’ai un petit sourire en lisant ça, en tant que “60 ans et plus” et qui a toujours baigné dans l’informatique, sans être du métier, en ayant commencé par Fortran (toujours en vie), et dépanne surtout des plus jeunes que moi !


Au début de ma carrière, c’était de voir des utilisateurs métier à deux doigts de la retraite pianoter 5x plus vite que moi sur un AS400 qui m’a appris une certaine humilité sur ce point.



J’avoue que depuis, je trouve souvent amusant de toujours prendre pour exemple les personnes âgées alors que la compréhension et maîtrise de l’outil informatique n’est aucunement liée à l’âge. Les “digital native” ne sont qu’un renommage du “kissiconnait” d’antan et sont tout autant des ouiches.

votre avatar

Je suis d’accord, j’ai rencontré des cas particuliers comme un retraité qui a manipulé du SQL… mais ces cas sont RARES ou alors mon secteur géographique est une exception. Et pour autant ils ne savent pas réinstaller un Windows :D



C’est une question d’adopter la bonne logique d’apprentissage étant jeune sinon c’est fixé à vie, ou du moins c’est mon impression. Du coup même l’hésitation de Microsoft sur l’UI de Windows de ces 10 dernières années peut les perturber grandement, et je dois passer derrière pour limiter la casse.

Les prérequis de Windows 11 peuvent être contournés par une simple commande

Fermer