Quoi de plus banal que les actions d’allumer ou d’éteindre son PC ? Peu de gens y pensent si bien que par une série de choix, les pertes de temps associées symbolisent à merveille les irritants de l’informatique « traditionnelle », surtout quand on la compare aux smartphones.
Aujourd’hui l’expérience utilisateur aux MTEL est typiquement la suivante. Appui sur le bouton marche/arrêt, saisie d’un premier mot de passe (Cryhod) pour arriver à la mire Windows et saisie d’un deuxième mot de passe. Évidemment les deux mots de passe doivent être complexes, différents et changés selon des cycles distincts. On y perd au bas mot 30s.
L’effet moins visible de l’emploi de Cryhod pour chiffrer les disques de la machine est qu’il interfère avec les mécanismes de Windows de mise en veille. Ce qui conduit à voir régulièrement des personnes dans les couloirs avec leur PC portable semi-ouvert, pour éviter un cycle complet extinction / rallumage, puis à des « accidents » avec des écrans cassés par un stylo introduit entre la clavier et l’écran…
Bilan : peut mieux faire.
Chiffrement intégré
S’il y a bien une décision dont je me félicite a posteriori, c’est la position que j’ai adoptée en 2016 quand la question du chiffrement des PC Windows est survenue aux ministères économiques et financiers. L’ANSSI pressait tous les ministères d’adopter Cryhod qu’elle finançait à l’époque pour sécuriser leurs parcs face aux vols et aux risques de fuite de données associés. On peut débattre des heures des mérites techniques de cet outil par rapport à Bitlocker mais celui de Microsoft (comme celui d’Apple pour les Mac) est totalement intégré et simplifie la vie des utilisateurs comme des gestionnaires de machines. En tant que responsable SSI des ministères basés à Bercy, j’ai donné mon aval à l’emploi de Bitlocker, ce qui fut immédiatement mis à profit. Mine de rien, perdre 30s par machine, à l’échelle de ces ministères, c’est l’équivalent de plus de 100 ETP !
Pour simplifier la vie de leurs utilisateurs, les MTEL vont donc adopter Biltocker (hors PC sensibles), ce qui aura aussi pour effet de faciliter le passage à Windows 11. Cela impliquera pour les machines existantes une opération de déchiffrement puis de rechiffrement. En retour, les utilisateurs y gagneront post-opération d’utiliser un seul mot de passe (celui de Windows), et de pouvoir mettre temporairement en veille leur PC portable simplement en refermant puis en rouvrant l’écran.
Comme toute opération de masse et d’infrastructure, le chantier sera réalisé en cercles progressifs, pour sécuriser et perturber au minimum les utilisateurs (prévoir tout de même un reboot et des ralentissements pendant le déchiffrement / rechiffrement qui peuvent durer 30 min pour un PC portable raisonnablement plein).
Extinction simplifiée
Vous avez remarqué que c’est toujours au moment de partir pour attraper un RER ou les enfants à la sortie de l’école que votre PC se décide de faire une mise à jour particulièrement longue ? Vous voilà coincé devant le dilemme, attendre ou enfreindre l’instruction à l’écran de ne pas forcer l’arrêt…
Le principal système de maintenance des PC qui vous retient s’appelle ODAIM (cela peut aussi être Windows lui-même mais c’est une autre histoire). Si vous avez la curiosité de regarder les paquets qu’il met à jour, la majorité de son activité est dédiée aux navigateurs web. Ceux-ci sont particulièrement exposés à Internet et leurs éditeurs les mettent à jour mensuellement. Chaque mois, c’est un paquet d’à peine moins de 100 Mo pour Firefox comme pour Chrome.
Pour autant, votre PC à la maison utilise aussi Chrome ou Firefox et ceux-ci ne bloquent pas l’arrêt de votre PC. Par défaut, ils s’appuient sur des mécanismes de mises à jour automatiques mis en place directement par leurs éditeurs, Google et Mozilla. Le choix de ne pas procéder de la même manière dans les entreprises relève d’une crainte mal placée que des applications internes ne soient pas compatibles avec la nouvelle version mensuelle des navigateurs (vous vous souvenez des messages « Works with IE11 » ?).
Pour alléger la phase d’arrêt des PC tout en permettant une distribution plus rapide des nouvelles versions (et donc un comblement plus efficace des failles de sécurité), ODAIM va être déchargé de la responsabilité de mise à jour de Firefox et de Chrome.
Allégement des navigateurs
Courant 2025, Firefox se mettra à jour par lui-même, en tâche de fond comme Edge, qui bénéficie de Windows Update. Ce dernier utilisant le même moteur que Chrome, déployer les deux fait clairement double emploi.
En conséquence, les paquets ODAIM pour Chrome devenant rapidement obsolètes, ce navigateur sera progressivement désinstallé dans son mode actuel. Pour les utilisateurs qui tiennent particulièrement à conserver l’usage de Chrome (notamment des développeurs), ils seront toujours libres d’utiliser directement l’installateur fourni par Google (pour l’utilisateur courant, ils n’auront pas perdu leur profil au changement de canal de distribution mais leur « installation » ne concernera que l’utilisateur courant avec des mises à jour sur les serveurs de Google par Internet).