Microsoft explique dans un billet de blog que le souci a débuté le 1er novembre 2021 : « certains utilisateurs peuvent ne pas être en mesure d’ouvrir ou d’utiliser certaines applications Windows intégrées […] Cela est dû à un problème avec un certificat numérique Microsoft, qui a expiré le 31 octobre 2021 ».
Sont notamment concernés : l’outil Capture d’écran, les pages de compte et d’accueil (mode S uniquement), le clavier tactile, la saisie vocale, le panneau Emoji, l’éditeur de méthode d’entrée (IME) et les astuces.
La mise à jour KB5006746 permet de résoudre une partie des problèmes (du clavier tactile aux astuces), mais pour le reste il faudra patienter. Microsoft donne une méthode « contournement » pour l’outil capture : « utilisez la touche Imprimer l’écran de votre clavier et collez la capture d’écran dans votre document ».
Commentaires (50)
#1
Cela rappelle les oublis de renouvellement de nom de domaine qui se sont déjà produits chez d’autres acteurs.
#2
Microsoft teste le kill switch de ses appli ?
#3
Plutôt un oubli malencontreux dans ce cas.
Mais c’est vrai qu’au nom de la sécurité on est en train d’ériger les certificats numériques en DRM/kill-switch.
#3.1
Double effet kisscool.
A mon avis, le fait de pouvoir tuer l’ensemble des appli OS a l’expiration du certificat n’est pas un effet de bord malencontreux, mais bien une fonctionnalité recherché.
#4
Fabuleux … 🤦♂️
#5
Pour des petites structures je veux bien, mais pour Microsoft… Ils ont pas des outils automatisés pour ce genre de truc?
#6
Ca donne envie ça … Des applis aussi basiques qui dépendent d’un certificat…
#7
De toute façon sur mon w11 je n’ai plus accès à leur fonction Capture… obligé d’utiliser l’ancienne appli.
#8
Ce Windows 11 ne m donne pas du tout envie. J’ai vraiment l’impression que Windows 10 est mieux finalisé malgré tous ses errements d’interface.
#9
Depuis quand il y a besoin d’un certificat valide pour exécuter une application en mode utilisateur ?
#10
Les applications doivent être signées pour confirmer leur authenticité et prouver qu’elles ne sont pas vérolées.
Bon, ça vaut ce que ça vaut (comme le HTTPS ne garantit pas en soi que le site est bien celui qu’on désire), mais c’est déjà mieux que rien.
#11
Bof, personnellement, je ne trouve pas qu’il s’agisse d’une raison suffisante. Ça peut se justifier lorsque l’application est à distance et, donc, qu’il faut vérifier à la connexion que celle-ci soit la bonne, mais là l’application est hébergée localement. S’il y a besoin d’un certificat, c’est à l’installation ou à la mise à jour, afin d’accorder sa légitimité au fournisseur de celle-ci, mais pas à l’utilisation.
Et si l’argument est “oui mais il ne faudrait pas que l’application ait été modifiée depuis son installation”, il y a bien d’autres mécanismes (contrôle en temps réel de la modification des applications, vérification régulière d’une somme de contrôle, etc.).
Là, ça laisse entendre qu’on va vers un écosystème de moins en moins adapté à des fonctionnements hors-ligne, et de plus-en plus liés à des infrastructures dont la durée de vie est limitée. Outre les problèmes au quotidien, ça pose bien évidemment la question de la capacité à l’avenir à avoir des témoignages numériques utilisables.
#12
Sans demande de droits administrateur, un certificat invalide ne crée même pas de message d’avertissement sous Windows 10.
Et en cas de demande de droits admin, un certificat invalide affichera la même fenêtre qu’une application sans certificat.
Dans tous les cas, on peut toujours exécuter l’application.
#13
Comment fais-tu pour valider la somme de contrôle si tu n’as pas de certificat ? Si une application malveillante peut changer le code, elle pourrait aussi changer la somme de contrôle. Pour éviter cela, la somme de contrôle est signée numériquement. Ca s’appelle … un certificat.
#14
Il faut donc un certificat numérique pour utiliser des applis installées localement ?
C’est une mauvaise blague hein, hein ?
#15
Comme j’ai du mal à comprendre pourquoi un certif est nécessaire pour se servir de fonctionnalité local de l’OS.
Se serai bien de savoir.
#15.1
C’est juste normal d’avoir des applications signées, par contre, le certificat n’aurait pas du expiré, c’est juste ça le problème.
#15.2
non ça n’a rien de normal ni d’obligatoire c’est un choix volontaire
#16
Ce système de certificat pour les applications locales devrait être désactivable !
Marre qu’on choisisse pour nous entre pseudo-sécurité et liberté…
#17
Toutes ces étapes sont tout à fait normales en 2021.
On peut simplement regretter que:
a. le certificat soit périmé
b. on ne puisse pas désactiver/outrepasser la vérification des signatures (mode unsafe).
#18
j’étais même pas au courant qu’il y a une autre méthode sans installer une appli externe (et pour tout dire, cette méthode répond largement à mes besoins, d’où le fait que je n’en aie pas recherché d’autre)
#19
C’est peut être normal, mais j’ai encore du mal :)
Donc je met un Windows sur une machine hors réseau… Au d’un moment définit par une date celui-ci va cesser de fonctionner ?
#20
Non. Simplement non.
#20.1
Vu l’actu des derniers temps sur les attaques des chaînes de distribution, la notarisation est devenue incroyablement nécessaire. Nos machines sont de plus en plus interconnectées, les réseaux se développent, le logiciel accompagne la marche et cela démultiplie d’autant plus les vecteurs d’attaque.
Les certificats, ça expire, et heureusement. Et le cross signing c’est pas pour les chiens.
Au passage, y’a des gens ici qui se sont fait mordre le 30 septembre dernier quand le DST Root CA X3 a expiré?
#21
Pour info, c’est en place sous .Net depuis le début (en tout cas j’ai eu des problèmes avec les certificats en .Net 2.0, pour la DLL de Crystal Reports).
Par ailleurs, le petit délai sous Windows 10 quand tu lances une appli, qui n’existait pas sous Windows 8, c’est SmartScreen (entre autres). https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-smartscreen/microsoft-defender-smartscreen-overview
Microsoft vérifie la réputation de l’appli que tu lances.
Remarque: c’est une question de sécurité, ça a du sens mais c’est inquiétant en même temps.
#22
D’ailleurs avec Alt+Impr. Écran, tu peux capturer la fenêtre active au lieu de la totalité de l’écran.
#23
Pour moi, il n’y a pas besoin d’aller sur internet : le système utilise la date en cours (par défaut, synchronisée avec Windows) pour valider. Je n’ai pas fait le test, mais je suis plutôt sûr que si tu retardes ton horloge en étant hors ligne (câble réseau déconnecté pour être sûr 😅)
#24
Ça voudra dire qu’un jour, même dans une VM déconnecté du web, on ne pourrait plus tester certains trucs hors ligne de notre époque. Le futur semble aller vers toujours moins de pérennité et moins de mémoire.
#25
Oui, indirectement. Un presta a changé ses certificats, mais nos postes étant en session limitée en accès réseau et droits, le poste ne connaissait pas la nouvelle autorité de certification et a rejeté les nouveaux certificats.
#26
Depuis toujours. M$ aime bien contrôler ce que nous faisons
#27
Non. Les logiciels que j’écris n’ont pas de certificat et s’exécutent très bien quand même, du moins jusqu’à Windows 10.
Et en cas de certificat non valide, l’application peut quand même s’exécuter, même avec des droits administrateur (j’ai déjà essayé).
#28
Ah… T’es resté coincé dans les années 2000 avec “La base virale VPS à été mise à jour” ?
#29
Bienvenue en 2001 ! Au fait, nous, nous sommes en 2021.
Ça fait effectivement au moins 20 ans que la connexion permanente est devenue la norme, et que toute l’informatique depuis est désormais pensée ainsi (pense à Windows XP et son mécanisme d’activation, contrôlée régulièrement pour s’assurer que l’OS est bien legit). Le hors-ligne est l’exception, et même une anomalie qu’il faut corriger dès que possible.
Et ça ne concerne pas que Windows : macOS 12 Monterey refuse purement et simplement de poursuivre son installation si aucune connexion active n’est détectée (et contrairement à Windows 11, pas moyen de contourner). Thunderbird lui-même affiche des messages d’erreur si la connexion est coupée. Quant au monde Linux, n’en parlons pas (comment tu mets les distributions à jour, sans connexion ?).
As-tu au moins une preuve de ce que tu avances, ou tu nous la fais juste troll complotiste qui raconte n’importe quoi basé sur rien du tout, quitte à te cacher derrière l’excuse « mais aujourd’hui, c’est vendredi » (il a bon dos, le vendredi…) ?
Ça date juste des origines de Windows, dans les années 1980… Au lieu d’envoyer le contenu de l’écran sur l’imprimante, comme sous DOS, la touche « Impr. écran » copie une image de l’écran dans le presse-papiers (Alt-Impr. écran pour ne capturer que la fenêtre active).
L’Outil capture n’est apparu qu’à partir de Windows Vista, en 2006 ou 2007 selon les éditions : avant, il n’y avait aucun outil fourni nativement pour ça, et on n’avait que la méthode « Impr. écran → ouvrir Paint → coller l’image à éventuellement retoucher ou recadrer ».
(C’est d’ailleurs cet usage de Paint qui a sauvé le logiciel, en 2016, quand Microsoft voulait le virer au profit de Paint 3D ; ironiquement, c’est ce dernier qui aura fini placardisé, et Paint s’apprête à se faire rénover dans Windows 11, pour la première fois depuis 2009).
#30
A propos des certificats, y’a un truc que j’ai pas compris : la plupart des binaires sont signés. Et même si le certificat a expiré, il est toujours considéré comme “ok” si on check l’onglet signatures numériques.
Alors que lorsque on va dans la MMC, là il dit bien que c’est expiré.
J’ai pris pour exemple le Microsoft Root Authority valable du 10/01/1997 au 31/12/2020
#31
Une preuve, a moins de chercher dans les document interne sur les effet de bord de la signature par certificat, non.
Mais comme dit plus haut, c’est le double effet kisscool. Tu protèges tes applis, et cette protection peut servir de kill switch, c’est built in, c’est la conséquence de l’implémentation.
Donc a moins que Microsoft permette de bypasser cette vérification, cela reste un kill switch en puissance.
A moins que les dev de Microsoft soit des guignols, ils en sont parfaitement conscients.
Seul le futur nous dira si Microsoft laissera expirer ces certificats (par fin du support par exemple), laissant du matériel de valeur inutilisable.
Et il n’y a pas que des PC équipé de windows, mais aussi des équipement de test qui on une durée de vie largement supérieur a l’OS.
#32
On se retrouve presque dans le même paradigme que les DRM, soit un logiciel qui est normalement défectueux et dont le fonctionnement est conditionné à la vérification de son authenticité.
#33
hmm.. y aurait pas un timestamp dans la partie “contre-signature” ?
Le timestamp permet de différencier:
Dans le 1er cas, la signature est considérée “ok” car on a la double condition:
a. le binaire est bien celui d’origine (=il n’a pas été trafiqué)
b. à cette époque, le certificat assurait que ce binaire était légitime.
#33.1
Merci, bien résumé
et de toute facon pas besoin d’etre en ligne
beaucoup de machines en entreprise ne sont pas connectées a internet et aucun soucis de certif
#33.2
En effet y’a bien un timestamp, c’est donc pour ça. Merci pour la précision
#34
Bon, ben, au revoir. Reviens avec du concret et des exemples réels où il a pu être démontré que la chose avait bel et bien été faite de manière volontaire, et surtout dans un but malveillant comme tu le prétends, la prochaine fois. Mais pas avant. Je veux du béton, pas du vent : tout est potentiellement faisable, c’est pas pour autant que tout est ou sera forcément fait, que ce soit dans le meilleur ou le pire (même si j’aime la loi de Timo en général, je préfère la réalité).
#35
Je n’ai pas trop suivi ces histoires de windows 11, comme étant principalement sous linux et de temps en temps sur windows 10.
Cela veut-il dire que sous W11, il me serait impossible de lancer MES applications compilées avec mon bon vieux GCC sous msys/mingw ou celles de tiers car non signées !??
Si c’est le cas, je trouve cela inadmissible/ choquant, on est censé rester maître de son os (avec les risques possibles).
#35.1
Non non je pense pas, il s’agit des saloperies d’applis Windows Store, pas des executables classiques.
#35.2
Tu pourras lancer tes applications compilées sur ta machine sans aucun soucis. Par contre, si les applications proviennent d’ailleurs (notamment internet), tu auras un message t’indiquant que l’éditeur de l’application est inconnu.
En effet, NTFS dispose de metadata au niveau des fichiers permettant d’en déterminer la source. Si c’est une source extérieure, le fichier est considéré comme non sûr si non signé (ou si la signature est invalide).
Un fichier compilé en local est considéré comme sur.
#36
Merci de ta réponse :-)
Ce ne m’aurait pas étonné ceci dit, quand je vois que déjà sous windows 10, windows defender (que je dois désactiver à chaque install) bloque et supprime /met en quarantaine des applis qu’il n’aime pas (ex desassembleur..) et la difficulté pour installer des drivers non signés (ex des drivers USB maison).
Quant au store, j’ai bloqué tellement de trucs dans windows qu’il refuse de se lancer
Vu l’évolution de windows 11, mon incompatibilité matérielle (ryzen 1 et old i7), son exigence de tpm, windows 10 sera mon dernier windows d’installé en hard je pense avant mon passage au full linux.
Wine étant assez mur et les machines virtuelles venant à la rescousse au cas où..
Même pour le jeu, j’ai été bluffé comment Overwatch tournait bien (grâce à lutris).
#37
Je me demandais ce qu’il pourrait se passer sur un parc informatique national dans le cas où des tensions diplomatiques / militaires se produisaient entre les USA et un pays tiers ?
Si Microsoft révoquait ces certificats, en supposant qu’ils puissent cibler un pays spécifiquement.
Du coup, plus rien ne pourrait se lancer, les messageries seraient aussi bloquées ? En conséquence, ce serait comme une sorte d’Hiroshima numérique ?
Je peux comprendre le besoin de sécurité. Mais le mécanisme retenu est une bombe numérique potentielle absolument dévastatrice, il me semble.
#38
oui, ça, j’en use et abuse
#39
Les hauts parleurs à fond et le bordel à 3h du mat’ quand t’es jeune et que tu savais pas que tu pouvais décocher sa putain de voix dans les paramètres
C’était sympa à l’époque Avast quand même, ça rajeunit pas tout ça x)
#40
Microsoft sont de tels guignols qu’ils en oublient de renouveller leur Kill-switch. Et pourtant leurs profits ne cessent d’augmenter malgré leur amateurisme crasse.
Cherchez l’erreur.
#41
J’ai littéralement failli me pisser dessus jeune à cause de ça. Il devait être 2h du matin. Je jouais dans le noir à SIlent Hill, le son “à fond” pour entendre le moindre bruit. Moment tendu, l’angoisse à son paroxysme, et là, Avast qui m’annonce que la base de données virales a bien été mise à jour. J’ai du m’arrêter de jouer quelques minutes pour m’en remettre
#41.1
Et pourtant, tant d’années après, on se souvient de ça comme si c’était hier
Moi l’angoisse c’était d’entendre les pas du papa suite à la voix d’Avast.
La seconde fois j’ai supprimé les hauts parleurs pour être sûr de ne pas oublier de les éteindres.
Après tout, les casques à mousse dégueulasse existait déjà
(Bien vu pour les métadonnées NTFS, je ne savais pas)