Deux décennies durant, WMIC a servi de couteau suisse aux admins pour inventorier des machines, lancer des requêtes WMI ou automatiser des opérations à distance. Introduit à l’époque de Windows XP, il a finalement été rétrogradé au rang de fonctionnalité à la demande à partir de Windows 11 22H2, juste après avoir été déprécié sur Windows Server 2012, puis Windows 10.
Pour Microsoft, il s’agit avant tout de simplifier Windows et d’encourager l’usage d’outils plus actuels. PowerShell s’impose désormais comme l’interface de référence pour interroger ou piloter WMI, alors que ses cmdlets CIM (comme Get-CimInstance, Invoke-CimMethod ou les sessions CIM) offrent une syntaxe plus riche et s’intègrent bien mieux dans les scripts. Les devs et admins peuvent aussi s’appuyer sur l’API COM de WMI, sur les bibliothèques .NET ou sur des langages de script qui utilisent ces interfaces pour manipuler les mêmes informations système.
Mais ce coup de balai répond aussi à un enjeu de sécurité important, WMIC figurant depuis longtemps dans la liste des « living-off-the-land binaries », ces exécutables signés souvent détournés par les malwares. Ransomwares et outils offensifs l’ont régulièrement exploité pour supprimer les clichés instantanés de volumes et bloquer toute restauration de fichiers chiffrés, dresser la liste des antivirus installés pour les désinstaller, ou encore ajouter des exclusions dans Microsoft Defender afin d’échapper aux systèmes de détection sans éveiller les soupçons.
Bref, en supprimant définitivement cet ancien composant, Redmond cherche donc à limiter la surface d’attaque sans priver les pros d’un accès aux données de gestion, toujours disponibles via PowerShell et les API modernes, tandis que WMI lui-même n’est pas concerné.