csrss.exe : explication du processus d’exécution client-serveur

Les systèmes d’exploitation modernes sont des structures complexes. En 1982, lorsque Microsoft a commercialisé MS-DOS, le prédécesseur de la version actuelle de Windows, il se composait de sept fichiers d’un volume total de 400 kilooctets environ. Au démarrage, seuls une ligne de commande et un curseur clignotant, en attente de commandes, s’affichaient.

De nos jours, au démarrage d’un système d’exploitation Windows, un nombre incalculable de programmes sont chargés dans la mémoire de travail. Plusieurs douzaines de processus et services sont activés avant même que vous puissiez vous connecter au système. Le programme csrss.exe est l’un de ces programmes. Cet article vous explique les fonctions au sein du système Windows.

L’abréviation « csrss » est celle du programme « Client Server Runtime Subsystem ». Dans les anciennes versions de Windows, l’application faisait office de serveur de requêtes pour les interfaces utilisateurs graphiques. Depuis, cette zone sensible a été déplacée vers le noyau du système d’exploitation(kernel). Cependant csrss.exe fonctionne toujours comme serveur et prend en charge des tâches essentielles au sein du système. Ce processus est responsable, entre autres, de la capacité de démarrage et d’arrêt de nombreux autres processus du système. Il gère également la ligne de commande qui n’est plus aujourd’hui qu’un des nombreux programmes du système d’exploitation. En raison de ces tâches, csrss.exe est considéré comme un processus critique.

Le Client Server Runtime Subsystem est démarré une fois pas session, sachant que les instances de Windows démarrées contiennent toujours deux sessions minimum – une session « 0 » pour les Services et une autre pour les processus utilisateurs. Le fichier csrss.exe est donc systématiquement démarré au moins deux fois.

Chaque processus csrss.exe charge plusieurs DLL (bibliothèques de liens dynamiques), telles que basesrv.dll, winsrv.dll ou csrsv.dll. Celles-ci offrent, entre autres, les fonctions suivantes :

• Démarrage et arrêt de processus
• Démarrage et arrêt de fils d’exécution
• Mise à disposition de la fenêtre de l’application Console (ligne de commande)
• Arrêt du système

D’autres programmes et processus peuvent ouvrir et utiliser ces fonctions à l’aide de ce processus, d’où sa grande utilité. Lorsque csrss.exe n’est pas exécuté correctement ou est désactivé, des fonctions importantes du système d’exploitation ne sont soudainement plus disponibles. Des processus actifs cessent de fonctionner dès qu’ils ne peuvent plus démarrer de fils d'exécution.

Il existe plusieurs moyens pour examiner précisément le processus csrss.exe. Le plus simple est d'utiliser le Gestionnaire de tâches intégré. Vous pouvez l’ouvrir, par exemple, via le raccourci clavier [Ctrl] + [Maj] + [Echap] ou en le saisissant dans le champ de recherche de Windows. Le Gestionnaire de tâches, également appelé Gestionnaire des processus, fournit, dans différents onglets, des informations sur le taux d’utilisation du système, les processus et les services actifs.

Depuis Windows 10, csrss.exe est affiché dans le Gestionnaire des tâches, à l’onglet « Processus », sous l’appellation « Processus d’exécution client-serveur ». Dans les versions précédentes, il était désigné par son nom d’application (c.-à-d. csrss.exe). Un clic droit sur le processus vous propose plusieurs options. Pour examiner le processus, utilisez :

• Ouvrir le chemin d’accès au fichier : ouvre une fenêtre de l’explorateur de fichiers et affiche l’emplacement de stockage de csrss.exe. Le chemin d’accès doit toujours être « Windows\System32\ ». Dans le cas contraire, il ne s’agit pas du bon processus.
• Afficher les détails : outre l’ID du processus, découvrez ici si le processus est en cours d'exécution et au nom de quel utilisateur. Pour csrss.exe, l’utilisateur doit toujours être « Système », car il s’agit d’un processus système.
• Propriétés : l’onglet « Détails » affiche les caractéristiques détaillées de l’application. L’onglet « Signatures numériques » permet de consulter le certificat du programme. L’émetteur du certificat de csrss.exe doit toujours être la société Microsoft.

Les programmes du spécialiste Windows Mark Russinovitch forment une alternative reconnue au contrôle général des processus de système, tels que csrss.exe. Il a publié une compilation volumineuse de logiciels utiles intitulée « Sysinternals Suite » qui contient le programme Process Explorer et permet une représentation hiérarchique des processus actifs. Ce logiciel propose également un lien direct à la plateforme Virustotal.com qui permet de contrôler rapidement les processus souhaités.

La question de la possibilité d’arrêter ou de supprimer des processus tels que csrss.exe revient souvent sur les forums en ligne. Fermer csrss.exe entraînerait l'arrêt immédiat du système. C’est là une raison suffisante pour comprendre l’absurdité de cette manœuvre. Dans le gestionnaire des tâches, le processus ne peut pas être arrêté par manque des droits correspondants.

Si le processus pose problème, entraînant par exemple un taux d’utilisation élevé de l'UC, votre rôle est plutôt de reconnaître les composants du système en cause. Vous devez également vérifier s’il s’agit bien du « vrai » processus csrss.

La suppression totale de l’application csrss.exe du dossier système entraînerait la perte de fonctionnalité du système.

Le processus csrss.exe étant toujours actif, il est mis en évidence lors du contrôle des processus en cours. Son nom cryptique incite les développeurs de logiciels malveillants à programmer et injecter des applications aux noms similaires, comme par exemple « crss.exe » ou « cssrs.exe » dans des systèmes mal protégés. Ces noms, contrairement à des désignations totalement étrangères, sont difficiles à détecter ou peuvent facilement être confondus avec le fichier d’origine.

Vérifiez donc systématiquement l'orthographe, puis le bon emplacement du logiciel. L’application csrss.exe du dossier système .\Windows\System32\ n’est très probablement pas un logiciel malveillant. Malgré tout, en cas de suspicion de manipulation, nous vous conseillons de procéder à la réinstallation du système au complet. Ce dernier doit, en effet, être considéré comme non sécurisé.