Vue d'ensemble

Qu'est-ce que Windows Protected Print Mode (WPP) ?

Le nouveau modèle d'impression sans pilote de Microsoft pour Windows : ce qu'il fait, ce qu'il impacte, quand il deviendra le réglage par défaut, et ce que les équipes IT doivent savoir avant de planifier sa mise en œuvre.

Définition de Windows Protected Print Mode

Windows Protected Print Mode (WPP) est une fonctionnalité de sécurité de Microsoft, introduite avec Windows 11 version 24H2 (octobre 2024) et Windows Server 2025, qui limite l'impression à un modèle sans pilote basé sur le protocole IPP. Lorsque le WPP est activé, les pilotes d'impression tiers sont supprimés du système et l'installation de nouveaux pilotes est bloquée. Seules les imprimantes utilisant le pilote de classe IPP de Microsoft, qui communique avec Mopriales imprimantes certifiées fonctionnent nativement. La fonctionnalité s'inscrit dans la démarche plus large de Microsoft visant à renforcer l'environnement d'impression de Windows contre des vulnérabilités telles que PrintNightmare.

À la mi-2026, le WPP sera désactivé par défaut sur toutes les versions de Windows qui le prennent en charge. Les utilisateurs disposant des droits d'administrateur local peuvent l'activer via les paramètres de Windows. Les administrateurs IT peuvent activer ou bloquer le WPP via une stratégie de groupe (Group Policy) ou le Registre Windows. Microsoft a indiqué que le WPP deviendra le mode par défaut d'ici 2027, sans préciser de date. La transition est progressive : WPP peut être testé dès aujourd'hui, activé sur des machines ou des groupes d'utilisateurs spécifiques, puis déployé plus largement avant que le paramètre par défaut ne change.

Pourquoi Microsoft a développé le WPP

Les vulnérabilités du spouleur d'impression constituent un problème récurrent sur Windows depuis des années. PrintNightmare (CVE-2021-34527) en était l'exemple le plus médiatisé, mais il s'inscrit dans une longue série d'exploits reposant sur le spouleur. La cause fondamentale était la même : les pilotes d'impression tiers s'exécutent avec des privilèges élevés, et le spouleur d'impression de Windows devait faire confiance au code de chaque fournisseur pour fonctionner.

Le WPP comble cette faille en supprimant complètement les pilotes tiers de la pile d'impression. La décision s'aligne aussi sur l'orientation générale du système d'exploitation Windows : moins de code tiers avec des droits élevés, plus d'isolation en bac à sable, davantage de composants vérifiés. Des fonctionnalités modernes comme Smart App Control et l'abandon de certains pilotes hérités vont dans le même sens. Le WPP est la déclinaison de ce mouvement pour l'impression.

 

Fonctionnement

Comment fonctionne Windows Protected Print Mode (WPP)

L'architecture est fondamentalement différente de celle utilisée par Windows ces vingt dernières années. Dans le modèle traditionnel, chaque imprimante nécessitait l'installation locale d'un pilote fabricant sur chaque machine Windows. Le pilote traduisait les tâches d'impression en commandes spécifiques à l'appareil et s'exécutait avec des privilèges élevés pour ce faire. Avec WPP, quatre éléments changent.

Pilote de classe IPP Microsoft uniquement

Le pilote de classe IPP devient le seul pilote d'impression que le système d'exploitation chargera. C'est un pilote générique intégré à Windows qui prend en charge l'Internet Printing Protocol (IPP), une norme ouverte que la plupart des imprimantes réseau modernes implémentent déjà.

Pilote de classe IPP Microsoft uniquement

Les pilotes tiers V3 et V4 sont bloqués

V3 est l'ancien modèle de pilote qui a été la cible de PrintNightmare et de nombreux exploits similaires. V4 est le modèle plus récent introduit par Microsoft avec Windows 8. Aucun des deux ne se charge lorsque le WPP est activé.
Les pilotes tiers V3 et V4 sont bloqués

Les fonctionnalités des fournisseurs s'exécutent via des applications d'assistance à l'impression

Les PSA (Print Support Apps) sont des applications UWP exécutées en bac à sable et distribuées via le Microsoft Store. Elles gèrent les options de finition (agrafage, perforation, pliage de livrets), les paramètres avancés et d'autres fonctionnalités spécifiques au fabricant sans intervenir dans le spouleur d'impression. Le pilote lui-même ne change pas : les options facultatives sont ajoutées en surcouche via l'application.
Les fonctionnalités des fournisseurs s'exécutent via des applications d'assistance à l'impression

La communication s'effectue via IPP

Le trafic d'impression transite via IPP, généralement sur le port 631 en TCP et UDP. L'imprimante doit être joignable sur ce port, et les protocoles IPP ou IPPS doivent être activés sur l'appareil (le nom exact du paramètre varie selon le fabricant).
La communication s'effectue via IPP

Ce que WPP ne fait pas

Quelques points reviennent régulièrement dans les conversations sur WPP et méritent d'être clarifiés, car ils sont souvent mal compris.

WPP ne remplace pas une solution de gestion d'impression d'entreprise. Il ne fournit pas de Pull Printing, d'impression follow‑me, d'authentification des utilisateurs sur l'appareil, de comptabilisation, de quotas ni de suivi des documents. Il s'agit de catégories de fonctionnalités distinctes.

WPP ne chiffre pas les tâches d'impression de bout en bout. IPP prend en charge IPPS (IPP sur HTTPS) pour le chiffrement du transport entre la machine Windows et l'imprimante, mais il s'agit d'une protection au niveau du transport, pas d'un chiffrement au niveau du document.

WPP ne permet pas le déploiement centralisé des imprimantes. Il restreint la manière dont les imprimantes peuvent être installées localement sur chaque machine Windows, mais il n'offre pas de plan de gestion central. La Stratégie de groupe peut gérer WPP, mais les anciennes options de déploiement d'imprimantes par Stratégie de groupe (qui reposaient sur l'architecture traditionnelle avec serveurs d'impression) sont affectées par les changements liés à WPP.

WPP ne corrige pas les vulnérabilités du firmware des imprimantes. La protection se situe au niveau de la pile d'impression de Windows. Si le firmware d'une imprimante présente une vulnérabilité, WPP n'y change rien.

Ce qui change

Ce qui change lorsque vous activez WPP

L'ampleur du changement dépasse ce que son nom suggère. Une fois WPP activé, six éléments changent.

Toutes les imprimantes non-IPP cessent de fonctionner

Tout pilote V3 ou V4 tiers installé est déchargé et ne fonctionne plus. Les files d'impression existantes qui dépendaient de ces pilotes deviennent inactives.

Toutes les imprimantes non-IPP cessent de fonctionner

Les nouvelles installations de pilotes sont bloquées

Point and Print est désactivé. Les installations manuelles via des fichiers INF ou les installateurs fournisseurs échouent. La Stratégie de groupe ne peut pas réactiver l'installation de pilotes.

Les nouvelles installations de pilotes sont bloquées

La fonctionnalité « Client d'impression Internet » est supprimée

Il s'agit d'une fonctionnalité Windows distincte sur laquelle reposent certaines solutions d'impression. La désactivation ultérieure de WPP ne la réinstalle pas automatiquement.

XPS et la fonction Fax intégrée sont supprimés

Ces deux fonctionnalités sont dépréciées sous WPP et sont désinstallées lors de son activation.

XPS et la fonction Fax intégrée sont supprimés

OneNote (Desktop) est remplacé

L'impression OneNote standard est désinstallée. Une nouvelle imprimante virtuelle, « OneNote (Desktop) Protected virtual printer », la remplace sur Windows 11 (build 26100) ou version ultérieure, avec l'application OneNote en version 2410 ou ultérieure.

Seules les imprimantes certifiées Mopria fonctionnent nativement

Les imprimantes plus anciennes et celles des fabricants qui n'ont pas été certifiées par Mopria n'apparaissent pas parmi les destinations d'impression disponibles.

Prérequis et configuration de WPP

Prérequis pour WPP

Pour utiliser WPP, un environnement doit disposer de :

  • Un système d'exploitation pris en charge : Windows 11 version 24H2 ou ultérieure, ou Windows Server 2025 ou une version ultérieure.
  • Des imprimantes certifiées Mopria. L'Alliance Mopria maintient une liste publique des appareils certifiés. La plupart des imprimantes modernes des grands fabricants (Canon, HP, Epson, Brother, Lexmark, Ricoh, Toshiba, Xerox) sont certifiées Mopria, bien que la prise en charge des fonctionnalités puisse varier. Les imprimantes plus anciennes et de nombreux appareils spécialisés (imprimantes d'étiquettes, traceurs, imprimantes industrielles) ne sont souvent pas certifiés Mopria.
  • IPP et IPPS activés sur l'imprimante. Le nom du paramètre varie selon le fabricant.
  • Accessibilité réseau via le port TCP 631. Les règles de pare-feu doivent autoriser le trafic IPP entre la machine Windows et l'imprimante. Si l'environnement impose l'impression chiffrée (IPPS), le port 443 doit également être débloqué.
  • Le pilote de classe IPP de Microsoft est installé par défaut avec Windows. Aucun téléchargement de pilote supplémentaire n'est requis.

Pour les fonctionnalités spécifiques au fabricant qui vont au-delà de l'ensemble IPP standard, le fabricant doit publier une Print Support App sur le Microsoft Store, et l'utilisateur ou l'organisation doit l'installer.

Activation de WPP

WPP peut être activé de trois manières.

Via les Paramètres de Windows : Paramètres → Bluetooth et appareils → Imprimantes et scanners → faites défiler jusqu'à Préférences de l'imprimante → Mode d'impression protégé de Windows → Configurer. L'utilisateur doit disposer des droits d'administrateur local.

Via la stratégie de groupe : Configuration ordinateur → Modèles d'administration → Imprimantes → Configurer l'impression protégée de Windows → Modifier. Le modèle ADMX de la stratégie de groupe pour WPP est inclus dans les versions actuelles de Windows 11 et de Windows Server 2025.

Via le Registre : Les clés se trouvent sous HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\Printers\\WPP. Définissez la WindowsProtectedPrintModevaleur DWORD sur 1 1 pour activer.

Un redémarrage du système peut être nécessaire pour que la modification prenne pleinement effet, en particulier lors de la suppression de files d'impression TCP/IP existantes qui ne sont pas effacées lors du premier basculement.

Désactivation de WPP

WPP peut être désactivé en utilisant les mêmes trois méthodes, mais en sens inverse. La désactivation de WPP n'annule pas les modifications effectuées lors de son activation initiale.

⚠️ Les pilotes supprimés ne se réinstallent pas automatiquement. Les fonctionnalités Windows supprimées (Client d'impression Internet, XPS, télécopie intégrée) ne sont pas restaurées d'elles‑mêmes. Les files d'impression existantes qui dépendaient des pilotes supprimés doivent être recréées. Activer WPP est simple. Revenir en arrière proprement est un projet à part entière.

ezeep et le WPP

Comment ezeep aborde le WPP

Le modèle d'impression sans pilote d'ezeep, basé sur le rendu dans le cloud, s'aligne sur l'orientation que prend Microsoft pour Windows. La dernière version de l'ezeep App for Windows est une application Windows dédiée qui permet d'associer des imprimantes gérées par ezeep aux appareils des utilisateurs, même lorsque le WPP est activé. Elle utilise le rendu dans le cloud d'ezeep, donc aucun pilote local n'est requis. Les utilisateurs continuent d'imprimer sur les imprimantes ezeep sans désactiver le WPP, et le niveau de sécurité choisi par l'équipe informatique reste intact.

En savoir plus sur le Print App d'ezeep
print-from-windows
Articles connexes

Plongez dans le monde d'ezeep

what-is-cloud-printing

Qu'est-ce que l'impression cloud ?

Les bases : ce qu'est l'impression cloud et ce qu'elle remplace.

Qu'est-ce que l'impression cloud ?
cloud-print-security

Sécurité de l'impression cloud

Comment la suppression des pilotes renforce votre posture de sécurité.

Sécurité de l'impression cloud
how-cloud-printing-works

Comment fonctionne l'impression cloud ?

L'architecture complète, de l'appareil à l'imprimante en passant par le cloud.

Comment fonctionne l'impression cloud ?

Foire aux questions

Curieux de savoir comment tout cela fonctionne ? Voici tout ce que vous vouliez savoir sur la solution d'impression cloud d'ezeep.

Le mode d'impression protégé de Windows (WPP) est-il activé par défaut ?

Non. Depuis la mi-2026, le WPP est désactivé par défaut dans toutes les versions de Windows qui le prennent en charge. Microsoft a indiqué que le WPP deviendra le paramètre par défaut d'ici 2027.

Puis-je utiliser n'importe quelle imprimante avec le WPP ?

Non. Seules les imprimantes certifiées Mopria et accessibles via le pilote de classe IPP de Microsoft fonctionnent nativement. Les imprimantes anciennes et de nombreux appareils spécialisés (certains traceurs, imprimantes d'étiquettes, équipements industriels) ne sont pas certifiés Mopria et n'apparaîtront pas comme disponibles lorsque le WPP est activé. L'impression de base fonctionne généralement sur les modèles certifiés ; les fonctionnalités avancées nécessitent souvent une Print Support App fournie par le fabricant.

Puis-je annuler les modifications apportées par le WPP ?

Le WPP lui-même peut être désactivé. Les modifications qu'il a entraînées lors de son activation initiale (suppression de pilotes, retrait de fonctionnalités Windows, suppression de files d'impression) ne s'annulent pas automatiquement. Chaque composant supprimé doit être réinstallé ou reconstruit manuellement.

Le WPP remplace-t-il mon serveur d'impression ?

Non. Le WPP est une fonctionnalité de sécurité des endpoints Windows qui change le fonctionnement de l'impression sur chaque machine Windows. Ce n'est pas une plateforme de gestion de l'impression : il n'offre pas de déploiement centralisé des imprimantes, ni de contrôles utilisateurs ou de rapports.

Le WPP est-il requis pour la compliance ?

Le WPP n'est aujourd'hui requis par aucun cadre de compliance spécifique. C'est une approche pour réduire le risque lié à l'infrastructure d'impression. D'autres architectures (le rendu dans le cloud, par exemple) traitent le même risque différemment.

PostScript fonctionne-t-il toujours avec WPP ?

Le pilote de classe IPP de Microsoft ne produit pas de PostScript. Il génère du PWG Raster, du PCLm ou d'autres formats pris en charge par IPP, selon ce que l'imprimante accepte. Les flux de travail qui dépendaient d'une sortie PostScript doivent être réévalués.

En quoi WPP diffère-t-il de Universal Print ?

WPP est une fonctionnalité de sécurité au niveau du système d'exploitation Windows qui restreint la façon dont l'impression locale fonctionne sur chaque poste Windows. Universal Print est un service cloud Microsoft distinct qui assure une gestion centralisée des imprimantes et une impression cloud basée sur IPP. Les deux peuvent être utilisés ensemble, mais ils répondent à des besoins différents.

WPP concerne-t-il les clients Mac ou Linux ?

WPP est une fonctionnalité spécifique à Windows. Les clients Mac et Linux ne sont pas directement concernés. Cependant, si des clients Mac ou Linux impriment via un serveur d'impression Windows, les modifications apportées à la pile d'impression de ce serveur (suppression des pilotes, reconstruction de la file d'impression) les affecteront indirectement.

WPP est-il compatible avec les serveurs d'impression traditionnels ?

WPP modifie la façon dont les postes Windows locaux gèrent les pilotes d'imprimante. Les serveurs d'impression traditionnels qui reposent sur des pilotes partagés V3 ou V4 sont affectés, car le client ne peut plus charger ces pilotes. Certaines méthodes de déploiement de files d'impression basées sur l'ancien modèle de pilotes devront être repensées.

Back to top

Besoin d'une impression qui fonctionne sous WPP ?

ezeep est gratuit jusqu'à 10 utilisateurs. Configurez-le en quelques minutes et découvrez comment le rendu dans le cloud fonctionne avec n'importe quelle configuration Windows, y compris WPP.

ezeep-chart (1)