Microsoft fait le ménage dans ses vieux outils. Avec Windows 11 25H2, l’éditeur tourne la page WMIC, fidèle compagnon des admins sys depuis l’ère XP.
Après plus de vingt ans de bons et loyaux services, WMIC s’apprête à disparaître des installations standard de Windows 11. Cette interface en ligne de commande, qui permettait de dialoguer avec le service Windows Management Instrumentation, ne sera en effet plus du tout disponible à partir de la mise à jour 25H2. Les environnements existants pourront toujours s’appuyer sur WMI, mais il faudra migrer scripts et habitudes vers PowerShell ou d’autres API .NET/COM pour exécuter les mêmes requêtes.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Rationaliser le système et réduire la surface d'attaque
Deux décennies durant, WMIC a servi de couteau suisse aux admins pour inventorier des machines, lancer des requêtes WMI ou automatiser des opérations à distance. Introduit à l’époque de Windows XP, il a finalement été rétrogradé au rang de fonctionnalité à la demande à partir de Windows 11 22H2, juste après avoir été déprécié sur Windows Server 2012, puis Windows 10.
Pour Microsoft, il s’agit avant tout de simplifier Windows et d’encourager l’usage d’outils plus actuels. PowerShell s’impose désormais comme l’interface de référence pour interroger ou piloter WMI, alors que ses cmdlets CIM (comme Get-CimInstance, Invoke-CimMethod ou les sessions CIM) offrent une syntaxe plus riche et s’intègrent bien mieux dans les scripts. Les devs et admins peuvent aussi s’appuyer sur l’API COM de WMI, sur les bibliothèques .NET ou sur des langages de script qui utilisent ces interfaces pour manipuler les mêmes informations système.
Mais ce coup de balai répond aussi à un enjeu de sécurité important, WMIC figurant depuis longtemps dans la liste des « living-off-the-land binaries », ces exécutables signés souvent détournés par les malwares. Ransomwares et outils offensifs l’ont régulièrement exploité pour supprimer les clichés instantanés de volumes et bloquer toute restauration de fichiers chiffrés, dresser la liste des antivirus installés pour les désinstaller, ou encore ajouter des exclusions dans Microsoft Defender afin d’échapper aux systèmes de détection sans éveiller les soupçons.
Bref, en supprimant définitivement cet ancien composant, Redmond cherche donc à limiter la surface d’attaque sans priver les pros d’un accès aux données de gestion, toujours disponibles via PowerShell et les API modernes, tandis que WMI lui-même n’est pas concerné.
Source : Microsoft
