Les consultants constatent que le problème ronge de précieuses ressources de correctifs en raison d’un manque d’hygiène des mises à jour Microsoft.
« Quelque chose ne s’est pas passé comme prévu. Annulation des modifications. » C’est tout l’indice que certains utilisateurs de Windows 11 obtiendront lorsque la mise à jour de sécurité de mai de Microsoft ne parviendra pas à s’installer en raison d’un espace libre insuffisant sur la partition système EFI (ESP), laissant leurs systèmes non protégés par les dizaines de correctifs qu’elle contenait.
Ce problème affecte les appareils dont l’espace libre disponible est limité (généralement 10 Mo ou moins) sur l’ESP. « Sur les appareils concernés, l’installation peut passer par les phases initiales mais échouer pendant la phase de redémarrage à environ 35-36% d’achèvement », a déclaré Microsoft dans un avis. Il recommande de modifier un paramètre du registre Windows pour forcer la mise à jour ou d’annuler les modifications et d’attendre une future mise à jour pour résoudre le problème.
Les consultants ont déclaré qu’il s’agissait d’un problème potentiellement grave étant donné l’exposition inattendue et le temps nécessaire à l’installation du correctif destiné à échouer.
C’est le genre d’échec qui empêche les responsables informatiques de dormir la nuit, a déclaré le consultant en cybersécurité Brian Levine, qui est directeur exécutif d’FormerGov. « Lorsqu’une mise à jour de sécurité ne peut pas être installée parce que le système d’exploitation évalue mal l’état de sa propre partition de démarrage, le problème n’est pas seulement le stockage. Le vrai problème est la confiance dans le processus de mise à jour », a-t-il déclaré. « Il s’agit d’un problème d’hygiène de base déguisé en problème technique. Une mise à jour qui ne peut pas détecter de manière fiable l’espace disponible sur la partition système EFI n’est pas un petit échec. Cela rappelle que même les plates-formes matures ont encore du mal à prendre conscience des dépendances et à valider avant le vol. »
Eric Grenier, analyste directeur principal chez Gartner, a recommandé d’augmenter la taille de la partition de disque à 1,5 Go afin que la mise à jour puisse avoir lieu. « Cela ne devrait pas gêner les besoins de l’entreprise en termes de taille d’espace utilisable pour un utilisateur final », a-t-il déclaré, ajoutant que cela permettra également la mise à jour de l’environnement de récupération Windows. Il a averti que la propre recommandation de Microsoft pourrait entraîner des problèmes. « Je recommanderais que si une organisation souhaite utiliser le correctif de registre modifié, elle non seulement sauvegarde le registre au préalable, mais également le teste sur certains appareils pilotes avant de le déployer sur le reste de l’environnement et même dans ce cas, je procéderais à un déploiement lent et progressif pour être sûr que rien ne se casse », a-t-il déclaré. « Ce type de correctif dans un environnement de production doit être effectué avec une extrême prudence, car s’il est mal effectué, il nécessitera la main sur le clavier. »
Ishraq Khan, PDG du fournisseur d’outils de productivité de codage Kodezi, affirme que la faute incombe à la fois aux équipes informatiques et à Microsoft.
« La plupart des équipes informatiques supposent raisonnablement que si Windows Update réussit ses pré-vérifications et démarre l’installation, Microsoft a déjà suffisamment bien validé l’état du système pour éviter un échec au redémarrage. Si l’espace ESP est essentiel au succès de la mise à jour, le programme de mise à jour aurait dû détecter et bloquer cette condition plus tôt avec un message de correction clair », a déclaré Khan. « Ainsi, même si les environnements informatiques peuvent contribuer à la pression sur les partitions au fil du temps, Microsoft possède toujours la logique d’orchestration et de validation qui a permis de procéder à la mise à jour. »
Khan a ajouté que cela peut devenir un casse-tête informatique très coûteux pour l’entreprise. « Il s’agit d’un problème de conception pour l’informatique d’entreprise, car une panne lors du redémarrage est bien plus perturbante que le blocage de la mise à jour avant le début de l’installation. Du point de vue de la maintenance logicielle, c’est exactement le genre de cas extrême qui devient coûteux à l’échelle de l’entreprise. Une petite contrainte de partition sur un sous-ensemble de machines peut se transformer en tickets d’assistance, en cycles de restauration, en retard dans l’application de correctifs et en exposition à la sécurité. »
David Neumann, COO du cabinet de conseil Acceligence, reconnaît qu’il s’agit là d’un véritable casse-tête informatique.
« La mise à jour semble réussir les premières phases, mais échoue ensuite pendant la phase de redémarrage, ce qui signifie que le service informatique risque de ne pas le découvrir tant que le point final n’a pas dépassé la fenêtre de maintenance et n’a pas été restauré. Dans une entreprise, cela devient un problème d’hygiène de flotte plutôt qu’un problème ponctuel de service d’assistance », a-t-il déclaré. « Les points finaux concernés peuvent rester sans correctifs pendant que l’informatique passe du temps à diagnostiquer une panne qui aurait dû être expliquée plus tôt. La plus grande leçon est que le démarrage, la récupération et les partitions adjacentes au micrologiciel font désormais partie de l’hygiène de gestion des correctifs. Les équipes informatiques matures devraient ajouter des contrôles de taille ESP et d’espace libre aux rapports sur l’état des points finaux, mettre à jour les images Gold afin que les nouveaux déploiements aient une capacité ESP adéquate et traiter le nettoyage ou le redimensionnement de la partition de démarrage comme une ingénierie de cycle de vie plutôt que comme un script de réparation de pannes. «
Microsoft n’a pas répondu à une demande de commentaire.
