En septembre 2024, Microsoft lançait Windows 11, version 24H2. Cette version comporte une nouvelle fonctionnalité dans la configuration des imprimantes et des scanners appelée le mode Windows Protected Print . Vous vous demandez peut-être quelle est cette fonctionnalité et à quoi elle sert ?
Depuis de nombreuses années, Microsoft a mauvaise presse en raison de problèmes persistants de sécurité et de stabilité. Parmi ces problèmes, celui qui perdure depuis longtemps concerne l'impression sous Windows. Pour les personnes chargées d'administrer l'impression dans les organisations, le spouleur d'impression Windows est apparu comme instable et peu fiable. En effet, celui-ci se bloquait souvent, interrompant l’impression pendant un certain temps, ce qui entraînait la perte de documents et d'autres frustrations liées à l'impression. Si vous connaissez le film Office Space, vous savez comment cette histoire se termine.
Soyons clair : Les développeurs chez Microsoft n’étaient probablement pas à l’origine de ces problèmes. Des centaines de pilotes d’impression tiers était utilisés dans cet environnement et étaient souvent (voire toujours) à l’origine de l’instabilité. En outre, pour que le processus d’impression puisse fonctionner, les processus de spooling Windows de mise en file d’attente devaient s’exécuter avec beaucoup d’autorité. Cela a donné lieu à la faille de sécurité PrintNightmare et peut avoir ouvert la porte à d’autres vecteurs d’attaque.
Qu’est-ce qu’un pilote d’impression Windows ?
Mais au fait, qu’est-ce qu’un pilote d’impression ? La réponse à cette question est longue et complexe, mais pour simplifier, le pilote prend les données graphique de l’écran que peut voir l’utilisateur et les traduit dans le langage de l’imprimante. Ensuite, en utilisant certaines capacités réseau de Windows, le pilote d’impression envoie les données à l’appareil. De nombreux éléments sont associés à ce concept de base, notamment où le résultat est rendu (serveur ou poste de travail), les périphériques partagés, les capacités spécifiques du périphérique comme le recto-verso et la couleur, et bien d'autres encore. Puisque les fabricants d’imprimantes savent communiquer avec leurs propres imprimantes, Microsoft a permis que des pilotes de tierce partie soient utilisés à cette fin.
À mesure que Windows gagnait en popularité, des dizaines de milliers de développeurs se sont mis à concevoir des pilotes. Les risques ont alors augmenté de façon exponentielle, car les pilotes avaient tendance à ne pas bien évoluer, alors que Windows continuait à progresser. En 2005, Windows est passé d’un système d’exploitation 32 bits à un système 64 bits, tandis que les pilotes ont mis du temps à suivre. En fait, aujourd’hui encore, de nombreux pilotes 32 bits sont toujours utilisés bien qu’ils aient 25 ans ou plus. Les utilisateurs et les fournisseurs d’imprimantes ont exigé que Microsoft une compatibilité antérieure afin de protéger les anciens investissements et c’est exactement ce que Microsoft a fait, probablement à ses risques et périls.
Microsoft a tenté à plusieurs reprises de forcer la main de ceux qui continuaient d’utiliser l’ancien code. En 2009, Microsoft a présenté XPS comme le meilleur moyen de résoudre le problème de rendu dans le spool Windows. L’espoir était que les fournisseurs d’imprimantes adopteraient XPS plutôt que le large éventail de langages de rendu.
À l’époque, PCL, PostScript, Prescribe, ZPL, IPDS et bien d’autres flux de données étaient utilisés dans l’ensemble du secteur. Les fabricants d’imprimantes se sont montrés réticents à l’égard de l’approche de Microsoft et ont préféré autoriser l’entrée de XPS dans leurs pilotes, tout en assurant le rendu localement. Cela a permis aux fournisseurs de matériel de se distinguer les uns des autres et de rendre leurs propres produits plus attrayants.
Microsoft a certifié certains pilotes via Windows Update. Windows a signé les pilotes pour certifier qu’ils étaient corrects. Et cependant, les problèmes ont persisté.
Les problèmes liés à PrintNightmare et la mauvaise presse dont Microsoft a fait l’objet en matière de sécurité pour les problèmes d’impression ont incité la société à abandonner. Entrez dans le mode Windows Protected Print (WPP).
Mode d’impression protégé de Windows en action :
Lorsque le mode WPP est activé, plusieurs choses intéressantes se produisent. Cliquez sur ce lien pour obtenir l’explication complète de ce qui se passe. Poursuivez ensuite votre lecture pour en connaître les implications potentielles.
En bref, lors de la mise en œuvre du mode WPP, tous les pilotes tiers sont supprimés. Toutes les imprimantes qui utilisaient ces pilotes sont supprimées. Les processus d’impression sont alors « rétrogradés », ce qui signifie qu’ils ne s’exécutent qu’avec l’autorisation de l’utilisateur connecté. Quant à la définition de nouvelles imprimantes, il n’y a que deux façons de procéder. La première consiste à utiliser Microsoft Universal Print et la seconde à utiliser des périphériques certifiés Mopria détectables sur le réseau.
Pour que votre machine Windows 11 24H2 puisse localiser une imprimante Mopria (si vous en avez une), il faut, soit que celle-ci soit détectable sur le segment de réseau local via les mécanismes WSD, soit que vous connaissiez le nom d'hôte/l'adresse IP de l'imprimante. C’est assez facile pour les utilisateurs à domicile ou les très petites entreprises, mais pour une entreprise qui possède plus de 10 000 appareils, cela peut poser un réel problème. Par ailleurs, de nombreux clients LRS suppriment les imprimantes de tout réseau interne… ce qui signifie qu'aucun poste de travail ne peut communiquer avec une imprimante de quelque manière que ce soit.
Certains d’entre vous qui connaissent bien le sujet pourraient envisager d’utiliser un serveur d’impression Windows pour contourner ce problème. Mais peut-être pas. Windows n’a pas encore lancé son serveur 2025, mais les premières indications montrent qu’il est également sur Build 24H2 avec WPP disponible. Si une entreprise décide d’activer WPP sur tous ses serveurs et postes de travail, alors il ne peut y avoir de périphériques partagés. Par définition, les imprimantes Mopria sont IPP et Windows n’a jamais autorisé le partage d’un périphérique IPP. (Logiquement, elles sont déjà partagées si elles sont sur le réseau, n’est-ce pas ?)
Implications en situation réelle
Prenons l’exemple d’une entreprise, par exemple, l’hôpital le plus proche de chez vous. Aujourd’hui, de nombreux systèmes modernes de dossiers médicaux électroniques (systèmes EHR ou EMR) reposent aujourd’hui sur l’impression et les partages via un serveur Windows. En fait, presque tous utilisent l’impression Windows standard. Dans d’autres secteurs d’activités, de nombreux systèmes ERP s’appuient également sur des serveurs d’impression et des partages Windows. Et qu’en est-il des imprimantes d’étiquettes – le cœur et l’âme du processus d’acheminement des patients et des produits vers la sortie de l’hôpital ? Elles ne seront pas disponibles.
C’est déjà suffisamment grave. Mais le pire, c’est que Microsoft a l’intention d’activer WPP par défaut en 2027. Imaginez devoir changer l’ensemble de votre parc de périphériques d’impression, mettre à jour toutes vos applications en deux ans à peine. Songez au large éventail d’applications exécutées sur des serveurs, dans le Cloud et sur des postes de travail locaux, qui devront être testées et probablement mises à jour (Non, vraiment, réfléchissez-y.)
Comment pouvez-vous assurer aujourd’hui la pérennité de votre environnement d’impression tout en vous attaquant aux problèmes que le mode WPP est censé résoudre ?
Je vous explique comment faire depuis des années. Les processus LRS capturent directement l’impression depuis Windows dès qu’elle est rendue sur une machine locale. Vos postes de travail sont déjà sécurisés si vous utilisez les méthodes et les logiciels LRS. Il n’est pas nécessaire d’activer WPP si vous utilisez le composant Personal Print Manager de la solution LRS. Il n’est pas nécessaire de vous précipiter pour changer votre parc d’imprimantes. Vous êtes protégé dès aujourd’hui.
LRS étudie comment gérer l’existence du mode WPP à long terme. Comme nous effectuons l’impression IPP et IPPS depuis 2004 (à la fois en entrée et en sortie) et que nous essayons depuis longtemps d’éliminer notre dépendance à l’égard de tout type de spooling de système d’exploitation, nous sommes convaincus que nous pourrons travailler main dans la main à l’avenir – avec ou sans le mode WPP.
Comme nous le faisons depuis 1979, LRS est à votre disposition.