La mise à jour de décembre a officiellement cassé MSMQ sur Windows 10, un service système encore très utilisé en entreprise. Pour les organisations qui paient justement pour éviter ce genre de surprise, la pilule passe mal.
Avec le programme ESU, Windows 10 ne reçoit plus que des correctifs de bugs et de sécurité, précisément pour garantir sa stabilité et limiter les risques dans des environnements qui continuent d’en dépendre. Hélas pour les entreprises ayant dégainé la CB, la mise à jour de décembre est venue écorner le contrat. En perturbant MSMQ, un composant encore central dans de nombreuses infrastructures professionnelles, le dernier Patch Tuesday a entraîné des pannes bien concrètes : applications bloquées, services IIS à l’arrêt, erreurs serveur à répétition. Le genre de situation que le programme ESU est censé éviter, pas provoquer.
Une modification de sécurité qui tourne mal
La mise à jour KB5071546, déployée début décembre sur les systèmes Windows 10 inscrits au programme ESU, a introduit un dysfonctionnement dans Message Queuing, composant essentiel en entreprise, qui permet à des applications et des services de s’échanger des messages de manière différée, sans avoir besoin d’être actifs en permanence. Il est encore largement utilisé dans des applications métiers, pour orchestrer des traitements automatiques en arrière-plan, ou pour faire tourner des services web hébergés localement via IIS, le serveur web intégré à Windows.
Dans les environnements touchés, les symptômes sont sans équivoque. Les files de messages passent à l’état inactif, les tâches en arrière-plan ne s’exécutent plus et certaines applications cessent de répondre. Les journaux système évoquent des ressources insuffisantes, alors que ni le disque ni la mémoire ne sont en cause.
Selon Microsoft, le problème provient d’un changement introduit par la mise à jour dans le modèle de sécurité de MSMQ, combiné à une modification des permissions NTFS du dossier utilisé pour stocker les files de messages. Désormais, les comptes qui s’appuient sur MSMQ doivent disposer d’un accès en écriture à ce répertoire, une autorisation qui reste généralement réservée aux administrateurs.
Or, dans de nombreuses configurations professionnelles, des comptes de service pourtant courants, notamment ceux utilisés par IIS pour faire tourner des applications web, ou les identités système LocalService et NetworkService, ne disposent pas de ces droits. MSMQ ne peut alors plus créer ni gérer ses fichiers, ce qui bloque l’ensemble de la chaîne applicative et déclenche des erreurs trompeuses évoquant un manque de ressources.
Le caractère payant du support étendu change évidemment la perception de l’incident. Il ne s’agit pas d’un bug touchant une version de Windows en bout de course, mais d’un problème affectant un système toujours couvert par un engagement de maintenance contractuel, pour lequel les entreprises continuent d’investir afin de bénéficier d’un environnement stable. Alors forcément, quand une mise à jour facturée plusieurs dizaines de dollars par poste met à l’arrêt des applications utilisées tous les jours, ça coince.
Stabilité ou sécurité, il va falloir choisir
Microsoft a fini par reconnaître officiellement le bug et confirme enquêter. Pour l’instant, aucune date de correctif ni solution alternative n’a été communiquée.
Côté administrateurs, la marge de manœuvre reste étroite. Désinstaller la mise à jour permet de rétablir immédiatement le fonctionnement de MSMQ, à condition de suspendre ensuite les mises à jour dans l’attente du patch. Une décision difficile à assumer, à plus forte raison quand le correctif incriminé ne se contente pas d’ajustements secondaires. Car ce Patch Tuesday de décembre corrige également trois vulnérabilités zero-day, dont une déjà exploitée dans des attaques actives.
Bref, une situation difficile à avaler pour des entreprises qui paient justement pour éviter ce genre de dilemme. À environ 60 dollars par PC et par an, le support étendu de Windows 10 est censé réduire les risques, pas forcer à choisir entre sécurité et continuité de service. D’autant que le bug ne touche pas Windows 11, ce qui renforce encore cette désagréable impression d’une mise à jour critique insuffisamment testée sur un système dont dépendent toujours de nombreux environnements professionnels.
Source : Microsoft
