La Stratégie de sécurité locale (secpol.msc) est un outil d’administration intégré à Windows qui permet de configurer les principaux paramètres de sécurité de votre ordinateur. Il offre notamment la possibilité de définir des règles de mot de passe, de verrouillage des comptes, d’auditer les événements de sécurité ou encore de gérer les droits attribués aux utilisateurs.
Contrairement à gpedit.msc, qui permet d’administrer l’ensemble des stratégies de groupe, secpol.msc est spécialisé dans la sécurité. Il constitue un outil particulièrement utile pour renforcer la protection d’un PC, appliquer des règles de sécurité ou limiter certaines actions des utilisateurs.
Dans ce guide, découvrez comment ouvrir secpol.msc, comprendre son fonctionnement, utiliser les principales stratégies de sécurité et connaître les différences avec gpedit.msc, RSOP et les autres outils d’administration de Windows.
Qu’est-ce que la stratégie de sécurité locale (secpol.msc) ?
La Stratégie de sécurité locale (secpol.msc) est une console d’administration de Windows permettant de configurer les paramètres de sécurité de l’ordinateur. Elle fait partie des outils Microsoft Management Console (MMC) et est principalement destinée aux administrateurs système ainsi qu’aux utilisateurs souhaitant renforcer la sécurité de leur PC.
Contrairement à gpedit.msc, qui permet de gérer l’ensemble des stratégies de groupe, secpol.msc est exclusivement consacré aux paramètres de sécurité. Il permet notamment de définir les règles de mot de passe, les stratégies d’audit, les droits attribués aux utilisateurs et d’autres paramètres de protection du système.
Vous pouvez par exemple l’utiliser pour :
Définir la longueur minimale et la complexité des mots de passe
Configurer le verrouillage des comptes après plusieurs tentatives de connexion
Auditer les connexions, les accès aux fichiers et les événements de sécurité
Attribuer des droits particuliers à certains utilisateurs ou groupes
Configurer des options de sécurité avancées de Windows
La console est organisée en plusieurs catégories, notamment :
Stratégies de compte
Stratégies locales
Stratégies de gestion des listes réseau
Stratégies de clé publique
Stratégies de restriction logicielle
Stratégies de contrôle des applications
Pare-feu Windows Defender avec fonctions avancées de sécurité
À noter : les paramètres configurés avec secpol.msc sont appliqués uniquement à l’ordinateur local. Dans un environnement professionnel, ils peuvent être remplacés par des stratégies déployées via Active Directory, Microsoft Entra ID ou Microsoft Intune.
Comme gpedit.msc, la console secpol.msc est disponible uniquement sur les éditions Professionnelle, Entreprise et Éducation de Windows. Elle n’est pas incluse dans Windows 11/10 Famille.
Quelle différence entre secpol.msc et gpedit.msc ?
Bien que secpol.msc et gpedit.msc soient deux consoles d’administration de Windows, elles ne remplissent pas le même rôle.
gpedit.msc permet de gérer l’ensemble des stratégies de groupe locales, tandis que secpol.msc est spécialisé dans les paramètres de sécurité du système.
En pratique, secpol.msc constitue un sous-ensemble de gpedit.msc : il regroupe uniquement les stratégies liées à la sécurité, ce qui le rend plus simple à utiliser lorsque vous souhaitez renforcer la protection de votre ordinateur.
Fonction
secpol.msc
gpedit.msc
Gérer les stratégies de sécurité
Configurer les mots de passe
Définir les stratégies d’audit
Attribuer les droits des utilisateurs
Configurer Windows Update
Gérer Microsoft Defender
Modifier les paramètres de confidentialité
Configurer l’Explorateur de fichiers
Gérer les stratégies Microsoft Edge
Administrer l’ensemble des stratégies Windows
En résumé :
Utilisez secpol.msc si vous souhaitez configurer la sécurité de Windows (mots de passe, audits, droits des utilisateurs, stratégies de sécurité…).
Utilisez gpedit.msc si vous souhaitez administrer l’ensemble des stratégies de groupe, y compris Windows Update, Microsoft Defender, l’Explorateur de fichiers, Microsoft Edge ou les paramètres système.
Si votre objectif est simplement de renforcer la sécurité de votre ordinateur, secpol.msc est généralement le meilleur choix. En revanche, pour gérer toutes les stratégies de Windows, gpedit.msc reste l’outil de référence.
La Stratégie de sécurité locale peut être ouverte de plusieurs façons. La méthode la plus simple consiste à utiliser la boîte de dialogue Exécuter, mais vous pouvez également y accéder depuis la recherche Windows, l’Invite de commandes ou Windows PowerShell.
Remarque :secpol.msc est disponible uniquement sur les éditions Professionnelle, Entreprise et Éducation de Windows. Si vous utilisez Windows 11/10 Famille, un message d’erreur indiquera que Windows ne trouve pas secpol.msc.
Avec la boîte de dialogue Exécuter
Sur votre clavier, appuyez sur les touches
+ R
Saisissez secpol.msc
Cliquez sur OK ou appuyez sur Entrée
La console Stratégie de sécurité locale s’ouvre alors.
Depuis la recherche Windows
Cliquez sur le bouton Rechercher de la barre des tâches
Saisissezsecpol.msc ou Stratégie de sécurité locale
Cliquez sur le résultat correspondant
Depuis l’Invite de commandes ou Windows PowerShell
Vous pouvez également lancer la console depuis un terminal.
Ouvrez l’Invite de commandes ou Windows PowerShell
Exécutez la commande suivante :
secpol.msc
Depuis le Gestionnaire des tâches
Une autre méthode consiste à utiliser le Gestionnaire des tâches.
Puis Gestionnaire des tâches. Vous pouvez aussi utiliser le raccourci clavier CTRL+MAJ+ESC
Saisissez secpol.msc
Validez avec OK
Les principales stratégies de sécurité locale
La console Stratégie de sécurité locale est organisée sous la forme d’une arborescence, similaire à celle de l’Éditeur de stratégie de groupe (gpedit.msc). Chaque catégorie regroupe un ensemble de stratégies permettant de configurer un aspect particulier de la sécurité de Windows.
Elle regroupe plusieurs catégories de paramètres permettant de renforcer la sécurité de Windows et de contrôler les droits accordés aux utilisateurs. Selon vos besoins, vous pouvez définir des règles de mot de passe, auditer les événements de sécurité ou encore limiter certaines actions sur l’ordinateur.
Voici les principales catégories de stratégies disponibles.
Catégorie
À quoi sert-elle ?
Exemples de paramètres
Stratégies de mot de passe
Définir les règles applicables aux mots de passe des comptes locaux.
Longueur minimale, complexité, durée de validité, historique des mots de passe, âge minimal du mot de passe.
Stratégies de verrouillage des comptes
Protéger les comptes contre les tentatives de connexion répétées.
Nombre maximal de tentatives, durée du verrouillage, réinitialisation du compteur.
Stratégies d’audit
Enregistrer les événements de sécurité dans le Journal des événements.
Audit des connexions, des accès aux fichiers, des privilèges, des modifications de stratégies.
Attribution des droits utilisateur
Déterminer les actions autorisées pour chaque utilisateur ou groupe.
Ouverture de session, Bureau à distance, arrêt du système, sauvegarde et restauration, chargement de pilotes.
Options de sécurité
Configurer le comportement de nombreux composants de sécurité de Windows.
Pare-feu Windows Defender avec fonctions avancées de sécurité
Gérer les règles du pare-feu Windows.
Règles entrantes et sortantes, profils Domaine/Privé/Public, sécurité des connexions.
Stratégies de gestion des listes réseau
Définir le comportement des réseaux détectés par Windows.
Type de réseau (Public/Privé), autorisations, découverte réseau.
Stratégies de clé publique
Gérer les certificats et l’infrastructure à clé publique (PKI).
Certificats de confiance, EFS, autorités de certification.
Stratégies de restriction logicielle
Contrôler les applications autorisées à s’exécuter.
Blocage par chemin, certificat, hachage ou zone Internet.
Stratégies de contrôle des applications
Autoriser ou interdire l’exécution d’applications selon des règles avancées.
AppLocker, Windows Defender Application Control (WDAC), contrôle des scripts et exécutables.
Cas d’utilisation
La Stratégie de sécurité locale est principalement utilisée pour renforcer la sécurité d’un ordinateur, limiter les actions des utilisateurs ou appliquer des règles de sécurité adaptées à un environnement professionnel ou personnel.
Le tableau ci-dessous présente les principaux cas d’utilisation ainsi que les paramètres que vous pouvez configurer avec secpol.msc.
Cas d’utilisation
Objectif
Exemples de paramètres
Renforcer la sécurité d’un ordinateur
Améliorer la protection du système contre les accès non autorisés et les attaques.
Complexité des mots de passe, verrouillage des comptes, UAC, options de sécurité.
Définir les droits des utilisateurs
Contrôler les actions autorisées pour chaque utilisateur ou groupe.
Ouverture de session, Bureau à distance, arrêt du système, sauvegarde et restauration, chargement des pilotes.
Auditer les événements de sécurité
Enregistrer les événements importants afin de surveiller l’activité du système.
Connexions réussies ou échouées, accès aux fichiers, utilisation des privilèges, modifications des stratégies.
Contrôler l’exécution des applications
Limiter les logiciels pouvant être exécutés sur l’ordinateur.
Stratégies de restriction logicielle (SRP), AppLocker, Windows Defender Application Control (WDAC).
Configurer le Pare-feu Windows Defender
Définir les règles de filtrage des connexions réseau.
Règles entrantes et sortantes, profils Domaine, Privé et Public, sécurité des connexions.
Gérer les certificats et le chiffrement
Renforcer la confiance des communications et protéger les données.
Stratégies de clé publique, certificats, EFS, autorités de certification.
Les sections suivantes détaillent chacune de ces catégories et présentent les principaux paramètres que vous pouvez configurer avec secpol.msc afin d’améliorer la sécurité de Windows.
Les limites de secpol.msc
Bien que secpol.msc soit un outil puissant pour administrer la sécurité de Windows, il présente certaines limites. Il ne permet pas de gérer toutes les stratégies de Windows et certaines fonctionnalités ne sont disponibles que sur les éditions professionnelles du système d’exploitation.
Limite
Explication
Disponible uniquement sur Windows Professionnel, Entreprise et Éducation
La console secpol.msc n’est pas incluse dans Windows 11/10 Famille.
Limité aux stratégies de sécurité
Il ne permet pas de gérer les stratégies de Windows Update, de Microsoft Defender, de l’Explorateur de fichiers, de Microsoft Edge ou des Paramètres de Windows.
Ne permet pas d’afficher les stratégies appliquées
Pour vérifier les stratégies effectivement en vigueur, utilisez plutôt RSOP ou GPResult.
Ne permet pas de gérer toutes les stratégies de groupe
Pour administrer l’ensemble des stratégies locales, utilisez gpedit.msc ou Policy Plus.
Certaines stratégies sont remplacées en entreprise
Si votre ordinateur est joint à un domaine Active Directory ou géré par Microsoft Intune ou Microsoft Entra ID, les stratégies définies par l’administrateur sont prioritaires sur les paramètres locaux.
Les modifications prennent parfois effet après une actualisation
Certaines stratégies nécessitent un redémarrage, une fermeture de session ou l’exécution de la commande gpupdate /force avant d’être appliquées.
En résumé, secpol.msc est l’outil idéal pour configurer les stratégies de sécurité locales, mais il ne remplace pas gpedit.msc lorsqu’il s’agit d’administrer l’ensemble des stratégies de Windows. Il constitue plutôt un outil spécialisé, centré sur la protection du système et la gestion des comptes utilisateurs.
RSOP (Resultant Set of Policy – Jeu de stratégie résultat) est un outil intégré à Windows qui permet d’afficher les stratégies de groupe effectivement appliquées à votre ordinateur et à votre compte utilisateur. Contrairement à gpedit.msc, qui sert à modifier les stratégies, RSOP est un outil de diagnostic en lecture seule. Il est particulièrement utile pour identifier l’origine d’une restriction, comprendre pourquoi un paramètre est grisé ou résoudre des problèmes tels que « Certains paramètres sont gérés par votre organisation ».
Dans ce guide, découvrez comment ouvrir RSOP, parcourir les stratégies appliquées, identifier une restriction et connaître les limites de cet outil sous Windows 11/10.
RSOP (Resultant Set of Policy, ou Jeu de stratégies résultant) est un outil intégré à Windows permettant d’afficher les stratégies de groupe réellement appliquées à un ordinateur et à l’utilisateur connecté.
Contrairement à gpedit.msc, qui permet de modifier les stratégies disponibles, RSOP est un outil de diagnostic. Il analyse la configuration du système puis affiche uniquement les stratégies effectivement en vigueur.
Il est particulièrement utile pour comprendre pourquoi un paramètre est verrouillé ou pourquoi une restriction est appliquée. Par exemple, RSOP permet de vérifier les stratégies configurées pour :
Windows Update
Microsoft Defender
L’Explorateur de fichiers
Le Panneau de configuration
Les Paramètres de Windows
Les stratégies de sécurité
RSOP est souvent utilisé pour diagnostiquer des problèmes tels que :
Des options grisées dans les Paramètres de Windows
Des fonctionnalités désactivées par une stratégie
Des restrictions appliquées par un administrateur ou un logiciel de confidentialité
À noter : RSOP est un outil en lecture seule. Il permet de consulter les stratégies appliquées, mais il ne permet pas de les modifier. Pour changer une stratégie, vous devrez utiliser gpedit.msc, Policy Plus ou modifier les clés Policies du Registre.
Il est disponible sur les éditions Professionnelle, Entreprise et Éducation de Windows. Sur Windows 11/10 Famille, la console RSOP n’est généralement pas disponible.
Comment ouvrir RSOP
RSOP s’ouvre à l’aide de la console rsop.msc. Lors de son lancement, Windows analyse les stratégies appliquées à l’ordinateur et à l’utilisateur, puis affiche le résultat dans une console MMC (Microsoft Management Console).
Pour ouvrir RSOP :
Sur votre clavier, appuyez sur les touches + R
Saisissez rsop.msc
Cliquez sur OK ou appuyez sur Entrée
Patientez quelques instants pendant que Windows collecte les informations. Cette opération peut prendre quelques secondes selon la configuration de votre ordinateur.
Une fois l’analyse terminée, la console Jeu de stratégies résultant s’ouvre. Vous pouvez alors parcourir les différentes catégories de stratégies appliquées à votre ordinateur et à votre compte utilisateur.
Si un message d’erreur s’affiche ou que la console ne s’ouvre pas, vérifiez que vous utilisez une édition Professionnelle, Entreprise ou Éducation de Windows. L’outil RSOP n’est généralement pas disponible sur Windows 11/10 Famille.
Vous pouvez également lancer RSOP depuis une Invite de commandes ou Windows PowerShell en exécutant simplement la commande :
rsop.msc
Après son ouverture, vous pourrez consulter les stratégies appliquées dans les rubriques Configuration ordinateur et Configuration utilisateur, puis rechercher le paramètre responsable d’une restriction ou d’un message tel que « Certains paramètres sont gérés par votre organisation ».
Parcourir les stratégies appliquées dans Windows 11/10
La console RSOP est organisée de manière similaire à l’Éditeur de stratégie de groupe (gpedit.msc). Les stratégies sont classées dans une arborescence, ce qui permet de retrouver rapidement le composant concerné et de vérifier si une restriction est appliquée.
Les deux principales catégories sont :
Configuration ordinateur : contient les stratégies appliquées à l’ensemble de l’ordinateur, quel que soit l’utilisateur connecté.
Configuration utilisateur : regroupe les stratégies appliquées uniquement à l’utilisateur actuellement connecté.
Dans chacune de ces catégories, développez Modèles d’administration pour accéder aux différents composants de Windows.
Vous y trouverez notamment des stratégies concernant :
Windows Update
Microsoft Defender
L’Explorateur de fichiers
Le Panneau de configuration
Le menu Démarrer et la barre des tâches
Le système
Le réseau
Microsoft Edge (si des stratégies sont configurées)
Lorsqu’une stratégie est configurée, RSOP affiche notamment :
Le nom de la stratégie
Son état (Activé ou Désactivé)
Sa description
La valeur appliquée
Cela permet de comprendre rapidement pourquoi une fonctionnalité est verrouillée ou pourquoi un paramètre est grisé dans Windows.
Par exemple, si Windows Update indique que certaines options sont gérées par votre organisation, ouvrez le dossier :
Configuration ordinateur > Modèles d’administration > Composants Windows > Windows Update
Vous pourrez alors vérifier si une stratégie est responsable de ce comportement.
De même, si le problème concerne Microsoft Defender, consultez le dossier correspondant afin de voir quelles stratégies sont actuellement appliquées.
Astuce : si vous connaissez déjà le composant concerné (Windows Update, Microsoft Defender, Microsoft Edge, etc.), accédez directement au dossier correspondant plutôt que de parcourir toute l’arborescence. Cela facilite grandement le diagnostic des restrictions appliquées.
Rechercher une stratégie
RSOP ne dispose pas de fonction de recherche intégrée. Si vous recherchez une stratégie précise, vous devrez parcourir l’arborescence jusqu’au composant concerné.
Selon le problème rencontré, les stratégies se trouvent généralement dans l’un des dossiers suivants :
Problème rencontré
Emplacement dans RSOP
Windows Update
Configuration ordinateur > Modèles d’administration > Composants Windows > Windows Update
Microsoft Defender
Configuration ordinateur > Modèles d’administration > Composants Windows > Microsoft Defender Antivirus
Explorateur de fichiers
Configuration utilisateur > Modèles d’administration > Composants Windows > Explorateur de fichiers
Panneau de configuration
Configuration utilisateur > Modèles d’administration > Panneau de configuration
Menu Démarrer et barre des tâches
Configuration utilisateur > Modèles d’administration > Menu Démarrer et barre des tâches
Système
Configuration ordinateur > Modèles d’administration > Système
Une fois dans le dossier correspondant, sélectionnez la stratégie souhaitée. Le volet de droite affiche plusieurs informations, notamment :
Le nom de la stratégie
Son état
La valeur appliquée
Son chemin d’accès
Une description de son rôle
Ces informations permettent de déterminer rapidement si une stratégie est responsable d’une restriction ou d’un paramètre verrouillé.
Astuce : si vous ne connaissez pas le nom exact de la stratégie, commencez par identifier le composant concerné (Windows Update, Microsoft Defender, Explorateur de fichiers, etc.), puis parcourez uniquement le dossier correspondant. Vous gagnerez ainsi un temps précieux lors du diagnostic.
Utiliser RSOP pour résoudre un problème
RSOP est particulièrement utile pour déterminer si une stratégie est responsable d’un dysfonctionnement. Lorsqu’une fonctionnalité de Windows est inaccessible ou qu’un paramètre est grisé, cet outil permet de vérifier rapidement si une stratégie de groupe est à l’origine du problème.
Voici quelques exemples d’utilisation.
Le message « Certains paramètres sont gérés par votre organisation »
Si ce message apparaît dans les Paramètres de Windows, Windows Update ou Microsoft Defender, RSOP permet de vérifier si une stratégie locale est responsable de cette restriction.
Parcourez l’arborescence jusqu’au composant concerné et vérifiez si une stratégie est configurée. Si c’est le cas, vous pourrez ensuite la modifier avec gpedit.msc ou la supprimer si elle n’est plus nécessaire.
Si certaines options de Windows Update sont grisées ou qu’un message indique que votre organisation gère certains paramètres, ouvrez le dossier :
Configuration ordinateur > Modèles d'administration > Composants Windows > Windows Update
Vous pourrez vérifier si une stratégie impose un comportement particulier, comme la configuration des mises à jour automatiques, l’utilisation d’un serveur WSUS ou la définition d’une version cible de Windows.
Pour corriger ce problème, suivez aussi ce guide :
RSOP est également utile lorsque des composants de Windows ne fonctionnent plus normalement. Par exemple, il permet de rechercher des stratégies qui :
Masquent des options du Panneau de configuration
Désactivent le Gestionnaire des tâches
Interdisent l’accès à l’Éditeur du Registre
Masquent des éléments du menu Démarrer ou de l’Explorateur de fichiers
En consultant les stratégies appliquées, vous pourrez déterminer si le problème provient réellement d’une stratégie ou s’il faut orienter vos recherches vers une autre cause.
Attention : RSOP n’affiche que les stratégies de groupe. Si aucune stratégie n’est présente alors que le problème persiste, vérifiez également les clés Policies du Registre. Certains logiciels de confidentialité ou d’optimisation modifient directement le Registre sans que ces changements apparaissent dans RSOP.
Les limites de RSOP
Bien que RSOP soit un excellent outil de diagnostic, il ne permet pas d’afficher toutes les informations relatives aux stratégies de Windows. Selon votre version de Windows et l’origine des restrictions, certaines stratégies peuvent ne pas apparaître dans la console.
Avant de conclure qu’aucune stratégie n’est appliquée, gardez à l’esprit les limitations suivantes :
RSOP est un outil en lecture seule : il permet uniquement de consulter les stratégies appliquées. Pour les modifier, vous devrez utiliser gpedit.msc, Policy Plus ou le Registre Windows.
Il n’est pas disponible sur Windows 11/10 Famille. Cette édition ne comprend généralement pas la console rsop.msc.
Toutes les restrictions ne proviennent pas de stratégies de groupe. Certains logiciels modifient directement les clés Policies du Registre, ce qui peut ne pas être visible dans RSOP.
Les paramètres propres à certaines applications (Microsoft Edge, Google Chrome, Firefox, etc.) peuvent être gérés par leurs propres stratégies et ne sont pas toujours affichés dans la console.
RSOP ne permet pas de rechercher une stratégie par son nom. Vous devez parcourir manuellement l’arborescence pour trouver le composant concerné.
Les stratégies provenant d’un domaine Active Directory, de Microsoft Entra ID ou de Microsoft Intune peuvent être plus facilement analysées avec GPResult, qui fournit davantage d’informations sur leur origine.
Si RSOP n’affiche aucune stratégie alors qu’un paramètre reste verrouillé ou qu’un message comme « Certains paramètres sont gérés par votre organisation » apparaît, il est recommandé de vérifier également :
Les clés Policies du Registre
Le rapport généré avec GPResult
Les logiciels de confidentialité ou d’optimisation installés sur votre ordinateur (WPD, O&O ShutUp10++, Win11Debloat, etc.)
En pratique, RSOP est idéal pour identifier rapidement une stratégie de groupe locale, mais il ne remplace pas les autres outils de diagnostic lorsque les restrictions proviennent d’une autre source.
Alternatives à RSOP
Bien que RSOP soit un excellent outil pour afficher les stratégies de groupe appliquées, il n’est pas le seul. Selon vos besoins, d’autres utilitaires peuvent être plus adaptés pour modifier une stratégie, générer un rapport détaillé ou vérifier les restrictions enregistrées dans le Registre.
Pour gérer les stratégies sur Windows 11/10 Famille ou disposer d’une alternative à gpedit.msc.
Registre Windows
Pour vérifier ou modifier directement les clés Policies utilisées par Windows et certains logiciels.
Chaque outil répond à un besoin différent :
RSOP permet de consulter les stratégies réellement appliquées.
gpedit.msc sert à modifier les stratégies de groupe locales.
GPResult produit un rapport complet, particulièrement utile pour le diagnostic ou en environnement professionnel.
Policy Plus offre une interface proche de gpedit.msc et constitue une solution pratique sur les éditions Famille de Windows.
Le Registre Windows permet de vérifier les stratégies enregistrées dans les clés Policies, notamment lorsqu’elles ont été créées par un logiciel de confidentialité, un script ou une modification manuelle.
Microsoft déploie la mise à jour cumulative KB5101650 pour Windows 11 24H2 et 25H2 dans le cadre du Patch Tuesday de juillet 2026. Cette mise à jour obligatoire porte les systèmes aux builds 26100.8875 et 26200.8875.
Au-delà des correctifs de sécurité, Microsoft intègre plusieurs fonctionnalités déjà testées dans la mise à jour de prévisualisation KB5095093, notamment Restauration à un instant dans le passé, Teinte de l’écran, des améliorations Bluetooth, des Widgets moins intrusifs ainsi que plusieurs optimisations de l’Explorateur de fichiers.
Mais cette mise à jour est surtout marquée par un record : 570 vulnérabilités corrigées, dont 3 zero-day, deux étant déjà exploitées dans des attaques.
Un Patch Tuesday record : 570 vulnérabilités corrigées
Le Patch Tuesday de juillet 2026 est l’un des plus importants publiés par Microsoft.
Au total, l’entreprise corrige 570 vulnérabilités, parmi lesquelles :
254 élévations de privilèges.
145 exécutions de code à distance (RCE).
102 divulgations d’informations.
35 dénis de service.
17 contournements de fonctionnalités de sécurité.
16 vulnérabilités d’usurpation d’identité.
Parmi elles figurent 3 failles zero-day, dont 2 déjà exploitées avant la publication des correctifs.
Microsoft recommande donc d’installer cette mise à jour dès que possible.
Trois zero-day corrigées, dont deux déjà exploitées
Parmi les 570 vulnérabilités corrigées ce mois-ci figurent trois failles zero-day, dont deux étaient déjà activement exploitées avant la publication des correctifs.
CVE-2026-56155 – Élévation de privilèges dans Active Directory Federation Services (AD FS)
Cette vulnérabilité affecte Active Directory Federation Services (AD FS), le composant de Microsoft utilisé pour l’authentification unique (SSO) dans de nombreux environnements professionnels.
En raison d’un contrôle d’accès insuffisamment granulaire, un utilisateur déjà authentifié pouvait obtenir des privilèges administrateur sur le système.
Microsoft n’a pas communiqué de détails sur les attaques observées, mais indique que cette faille a été découverte par son équipe Detection and Response Team (DART) lors d’investigations menées sur des incidents réels.
CVE-2026-56164 – Élévation de privilèges dans Microsoft SharePoint Server
La seconde zero-day activement exploitée concerne Microsoft SharePoint Server.
Cette vulnérabilité permet à un attaquant distant non authentifié d’obtenir des privilèges élevés sur un serveur SharePoint en exploitant un défaut d’authentification sur une fonction critique.
En attendant l’installation du correctif, Microsoft recommande d’activer AMSI (Antimalware Scan Interface) sur le serveur et de configurer le mode Request Body Scan sur Full afin de limiter les risques d’exploitation.
Comme pour la précédente vulnérabilité, Microsoft n’a pas publié de détails sur les attaques observées.
La troisième zero-day avait déjà été rendue publique avant la publication du correctif.
Cette vulnérabilité concerne BitLocker et permet de contourner le chiffrement d’un disque système. Un attaquant disposant d’un accès physique à l’ordinateur pourrait exploiter cette faille pour accéder aux données pourtant protégées par BitLocker.
Même si cette attaque nécessite un accès direct à la machine, Microsoft recommande d’installer rapidement la mise à jour afin d’empêcher toute tentative de contournement du chiffrement.
La restauration à un instant dans le passé arrive pour davantage d’utilisateurs
L’une des principales nouveautés de KB5101650 est le déploiement plus large de Restauration à un instant dans le passé.
Cette nouvelle fonction modernise la restauration système et permet de revenir plus facilement à un état précédent du PC après un problème logiciel, une mise à jour défaillante ou l’installation d’un pilote instable.
Microsoft corrige également le bug du fichier CapabilityAccessManager.db-wal.
À cause d’un dysfonctionnement du composant Capability Access Manager, ce fichier journal pouvait grossir de manière incontrôlée et consommer plusieurs dizaines, voire plusieurs centaines de gigaoctets d’espace disque sur certains PC.
KB5101650 intègre le correctif afin d’empêcher cette croissance anormale.
Microsoft poursuit la refonte des Widgets de Windows 11.
Avec KB5101650 :
les badges de notification deviennent plus discrets ;
le tableau de bord est plus lisible ;
les couleurs s’adaptent mieux au thème Windows ;
l’ouverture accidentelle au survol est moins fréquente.
L’objectif est de rendre les Widgets plus utiles sans qu’ils monopolisent l’attention de l’utilisateur.
Teinte de l’écran améliore l’accessibilité
KB5101650 déploie également Teinte de l’écran, une nouvelle fonction d’accessibilité.
Contrairement au mode Éclairage nocturne, qui modifie principalement la température des couleurs, Teinte de l’écran applique une teinte personnalisable sur l’ensemble de l’écran afin d’améliorer le confort visuel.
Cette fonctionnalité s’adresse notamment aux personnes sensibles à la luminosité ou souffrant de certains troubles de la vision.
L’Explorateur de fichiers gagne en performances
Microsoft apporte également plusieurs optimisations à l’Explorateur de fichiers.
La mise à jour améliore notamment :
la vitesse d’ouverture de certaines fenêtres ;
la fiabilité de la barre d’adresse ;
le renommage des fichiers ;
la stabilité générale d’Explorer.exe.
Ces optimisations visent à rendre l’utilisation quotidienne de Windows plus fluide.
Bluetooth devient plus fiable
Microsoft poursuit également ses améliorations du Bluetooth.
KB5101650 améliore notamment :
la compatibilité avec les appareils Bluetooth LE Audio ;
la stabilité des connexions ;
les appels audio ;
la gestion des microphones Bluetooth ;
la reconnexion après une sortie de veille.
Ces changements devraient être particulièrement appréciés par les utilisateurs d’écouteurs et de casques Bluetooth.
Une nouvelle option pour le pavé tactile
Les utilisateurs de PC portables peuvent désormais personnaliser plus finement la taille de la zone utilisée pour le clic droit du pavé tactile.
Windows propose plusieurs tailles prédéfinies afin d’adapter le comportement du pavé tactile aux préférences de chacun.
Cette option est accessible dans : Paramètres > Bluetooth et appareils > Pavé tactile
Améliorations apportées à Mobile connecté
Dans le cadre de l’expérience Phone Link, la gestion des appels entre un téléphone appairé et un ordinateur via Bluetooth gagne en cohérence et en prévisibilité, notamment en ce qui concerne l’acheminement du son au début d’un appel. Les appels sortants restent désormais sur le téléphone pendant la phase de sonnerie et ne basculent de manière transparente vers l’appareil qu’une fois l’appel pris sous Windows 11.
Le comportement des appels entrants a également été optimisé lorsque le mode « Ne pas déranger » est activé, ce qui évite les interruptions audio indésirables sur le PC lorsque les appels sont gérés sur un téléphone connecté. Accès vocal et langues de saisie vocale
L’Accès vocal et la Saisie vocale prennent désormais en charge le français, l’allemand et l’espagnol, élargissant ainsi les options de dictée à davantage de régions.
De plus, au fur et à mesure que vous parlez, le système affine le texte en temps réel en corrigeant les erreurs de grammaire, de ponctuation et de reconnaissance. Il s’adapte également mieux au bruit de fond, ce qui améliore la clarté et réduit le besoin de corrections manuelles. Cette fonctionnalité est disponible sur les PC équipés de Copilot+.
Corrections relatives à la virtualisation réseau
Le réseau bénéficie d’améliorations tant dans les environnements virtualisés que standard. Les machines virtuelles confidentielles utilisent désormais par défaut l’accélération matérielle SR-IOV pour de meilleures performances et un débit accru.
Un problème de réseau Hyper-V imbriqué a été résolu afin d’améliorer la fiabilité de l’approvisionnement des machines virtuelles. De plus, des mises à jour au niveau du système réduisent les erreurs Wi-Fi, améliorent la connectivité cellulaire, y compris la prise en charge des VPN IPv6, et renforcent la compatibilité avec les outils VPN tiers.
Windows modernise aussi l’installation des imprimantes
Microsoft améliore également la prise en charge des imprimantes modernes.
Windows privilégie désormais Windows Protected Print basé sur Internet Printing Protocol (IPP) pour les imprimantes compatibles.
Cette évolution permet de limiter la dépendance aux pilotes propriétaires et simplifie l’installation des imprimantes tout en renforçant la sécurité.
Autres corrections et améliorations
Cette mise à jour apporte également quelques corrections et améliorations supplémentaires :
Audio : améliore la fiabilité du pilote audio HD intégré.
Barre des tâches : corrige un problème où le clic sur le bord gauche de la barre des tâches pour ouvrir le menu Démarrer pouvait ne pas fonctionner correctement lorsque les icônes étaient alignées à gauche.
Panneau Emoji : remplace le fournisseur de GIF Tenor par GIPHY pour une expérience de navigation et de partage plus fluide.
Sous-système Windows pour Linux (WSL) : améliore la stabilité en mode réseau miroir lors de l’utilisation de connexions VPN.
Affichage : améliore la fiabilité du défilement dans les applications sur plusieurs écrans et optimise l’application et la persistance des profils de couleurs.
Authentification : améliore les connexions via le canal sécurisé Netlogon pour les contrôleurs de domaine et les anciennes configurations de serveur.
Réseau : améliore la fiabilité lors de la connexion à des ressources réseau partagées, y compris NetUseAdd et les connexions non authentifiées. De plus, le géant du logiciel a renforcé la sécurité de l’enregistrement des transports TDI. Les applications utilisant des transports TDI tiers non enregistrés pourraient cesser de fonctionner après cette mise à jour.
Menu Démarrer : les nouvelles applications et celles supprimées se mettent désormais à jour sans nécessiter de déconnexion ni de redémarrage.
Barre des tâches : corrige des problèmes liés aux badges de notification afin que les compteurs et les éléments visuels s’actualisent correctement dans toutes les applications.
Stratégie de groupe : le comportement de la stratégie de groupe lié à la recherche est désormais plus fiable, ce qui améliore la cohérence dans les environnements gérés et d’entreprise.
Corbeille : corrige un problème dans lequel la boîte de dialogue de confirmation pouvait
Applications : correction d’un problème pouvant entraîner l’affichage inattendu de messages de contrôle des comptes d’utilisateurs (UAC) par certaines applications et certains programmes d’installation après l’installation de la mise à jour KB5089549. Par ailleurs, une correction a été apportée pour certaines applications tierces utilisant OLE Automation qui pouvaient ne pas parvenir à lancer Microsoft Office ou à ouvrir des documents après l’installation de la mise à jour de sécurité de juin 2026 (KB5094126).
Bureau à distance : la conception de la boîte de dialogue qui s’affiche lors de l’activation du Bureau à distance dans Paramètres > Système > Bureau à distance a été actualisée. De plus, la société a ajouté la prise en charge des empreintes de certificats SHA-2 pour les éditeurs RDP de confiance. Microsoft recommande de passer à SHA-256 ou à des algorithmes plus puissants, car la prise en charge de SHA-1 sera à terme supprimée.
Noyau graphique : Amélioration de la gestion de la mémoire sur les PC dotés de plus de 32 Go de RAM, permettant l’exécution locale de modèles d’IA plus volumineux.
Performances : Amélioration des performances d’arrêt grâce à la réduction du temps nécessaire pour arrêter le service de transfert intelligent en arrière-plan (BITS) lors de la mise hors tension de l’ordinateur.
Stockage : correction d’un problème d’utilisation de l’espace de stockage par le fichier CapabilityAccessManager.db-wal, qui entraînait une augmentation de la taille de la base de données de plusieurs gigaoctets.
Sécurité : mise à jour de l’outil curl de Windows 11 vers la version 8.21.0 et intégration d’améliorations de sécurité supplémentaires.
Saisie : mise à jour du comportement de nettoyage des raccourcis clavier. Dans de rares cas, certaines fonctionnalités intégrées peuvent temporairement cesser de répondre aux raccourcis clavier. Le redémarrage de l’application concernée résout généralement le problème.
Conclusion
Avec KB5101650, Microsoft signe l’un des Patch Tuesday les plus importants de ces dernières années. Outre la correction d’un nombre record de 570 vulnérabilités, dont 3 zero-day, cette mise à jour apporte de nombreuses améliorations attendues par les utilisateurs : restauration système modernisée, Widgets plus discrets, Teinte de l’écran, optimisations Bluetooth, Explorateur de fichiers plus rapide et correction de plusieurs bugs importants.
Elle illustre également la nouvelle stratégie de Microsoft : faire évoluer Windows 11 progressivement, en ajoutant régulièrement de nouvelles fonctionnalités via les mises à jour mensuelles plutôt que d’attendre les grandes versions annuelles.
Microsoft a reconnu un nouveau problème empêchant l’installation des certificats Secure Boot 2023 sur certains PC Windows 11.
Ce blocage concerne une partie des appareils participant à la transition vers les nouveaux certificats de démarrage sécurisé, destinés à remplacer les certificats historiques de 2011 qui arriveront à expiration à partir de 2026.
L’entreprise indique travailler sur un correctif et recommande aux utilisateurs concernés de patienter jusqu’à la publication d’une nouvelle mise à jour.
Depuis plusieurs semaines, Microsoft déploie progressivement les nouveaux certificats Secure Boot 2023 via Windows Update.
Toutefois, l’entreprise a confirmé que certains appareils ne parviennent pas à terminer correctement cette mise à jour.
Dans les journaux d’événements Windows, les utilisateurs concernés peuvent notamment observer des événements indiquant que la mise à jour des certificats n’a pas pu être appliquée.
Microsoft précise que ce problème est actuellement à l’étude et qu’un correctif est en préparation.
À ce stade, Microsoft n’a pas publié de liste précise des modèles affectés.
Le problème semble toucher uniquement une partie des appareils compatibles avec Secure Boot et ne concerne pas tous les PC Windows 11.
L’entreprise poursuit son déploiement progressif afin de limiter les risques de compatibilité, notamment avec certains firmwares UEFI.
« De nombreux fabricants publient activement ces mises à jour de micrologiciel via leurs canaux de mise à jour habituels. Si une mise à jour de micrologiciel est nécessaire, consultez la page d’assistance relative au démarrage sécurisé de votre fabricant pour connaître la marche à suivre », a indiqué Microsoft, ce qui corrobore nos conclusions précédentes.
Pourquoi ces certificats sont-ils importants ?
Les certificats Secure Boot 2023 remplacent progressivement ceux introduits en 2011.
Ils permettent de continuer à vérifier l’intégrité de la chaîne de démarrage de Windows et de protéger le système contre les chargeurs de démarrage malveillants ou compromis.
Sans cette mise à jour, un ordinateur continuera généralement à fonctionner normalement, mais il pourrait ne plus recevoir certaines futures mises à jour de révocation (DBX) destinées à bloquer des composants vulnérables.
Microsoft préfère bloquer la mise à jour plutôt que de prendre un risque
Ce nouveau problème illustre la prudence adoptée par Microsoft dans le déploiement des certificats Secure Boot 2023.
Plutôt que de forcer une mise à jour susceptible de provoquer un problème de démarrage, l’entreprise préfère suspendre temporairement son installation sur les appareils concernés.
Cette stratégie avait déjà été observée lors des premiers déploiements, notamment après plusieurs incidents liés à certains firmwares UEFI de constructeurs.
Que faire si votre PC est concerné ?
Microsoft ne recommande actuellement aucune manipulation particulière.
Si votre appareil ne reçoit pas encore les certificats Secure Boot 2023 ou si leur installation échoue, il est conseillé :
d’installer les dernières mises à jour Windows ;
de vérifier si une mise à jour du BIOS/UEFI est disponible auprès du constructeur ;
d’attendre la publication du correctif annoncé par Microsoft.
L’entreprise indique qu’une prochaine mise à jour permettra de résoudre ce problème sur les appareils concernés.
Une transition toujours en cours
Ce nouvel incident montre que la migration vers les certificats Secure Boot 2023 reste un chantier important pour Microsoft.
Depuis plusieurs mois, l’entreprise procède par étapes afin de limiter les risques d’incompatibilité avec les nombreux matériels et firmwares UEFI encore en circulation.
Même si certains utilisateurs rencontrent actuellement des difficultés, Microsoft confirme que cette transition reste indispensable avant l’expiration définitive des anciens certificats.
Consultez également notre dossier complet consacré à Secure Boot 2023, qui explique le fonctionnement des certificats, les dates importantes et les vérifications à effectuer sur votre PC.
Conclusion
Microsoft poursuit le déploiement des certificats Secure Boot 2023, mais un nouveau problème empêche actuellement leur installation sur certains PC Windows 11. L’entreprise travaille sur un correctif et recommande aux utilisateurs concernés de patienter avant toute intervention manuelle.
Cette nouvelle difficulté rappelle que la migration vers les nouveaux certificats constitue une opération sensible, qui dépend à la fois de Windows, du firmware UEFI et des fabricants de matériel.
Microsoft estime que les futures mises à jour de sécurité de Windows contiendront un nombre croissant de correctifs grâce à l’utilisation de l’intelligence artificielle.
L’entreprise explique que l’IA lui permet désormais d’identifier des vulnérabilités plus tôt dans le cycle de développement, mais aussi d’accélérer leur analyse et la création des correctifs. Cette évolution s’inscrit dans un contexte où les cybercriminels utilisent eux aussi l’IA pour rechercher plus rapidement de nouvelles failles de sécurité.
Une course entre les attaquants et les défenseurs
L’intelligence artificielle transforme progressivement la cybersécurité.
Jusqu’à récemment, la découverte de vulnérabilités reposait essentiellement sur des chercheurs en sécurité, des équipes d’audit et des programmes de bug bounty. Désormais, les modèles d’IA sont capables d’analyser de très grandes quantités de code et d’identifier des schémas susceptibles de révéler des erreurs de programmation ou des vulnérabilités.
Le problème est que cette évolution profite aussi bien aux défenseurs qu’aux attaquants.
Les cybercriminels peuvent utiliser l’IA pour accélérer la recherche de nouvelles failles, tandis que les éditeurs de logiciels, comme Microsoft, s’appuient sur ces mêmes technologies pour les détecter et les corriger avant qu’elles ne soient exploitées.
Microsoft s’attend à publier davantage de correctifs
Microsoft indique que cette évolution aura une conséquence directe sur les futures mises à jour de sécurité de Windows.
L’entreprise prévoit d’intégrer un plus grand nombre de correctifs dans les Patch Tuesday, simplement parce que davantage de vulnérabilités seront découvertes grâce à l’IA.
Il ne s’agit donc pas nécessairement d’une baisse de la qualité du code de Windows, mais d’une capacité accrue à détecter des problèmes qui seraient auparavant passés inaperçus.
Selon Microsoft, les outils d’IA permettent notamment :
d’identifier plus rapidement des vulnérabilités potentielles ;
d’analyser automatiquement certaines portions de code ;
de proposer des correctifs ;
de valider les modifications avant leur intégration.
L’entreprise précise toutefois que les décisions finales restent prises par des ingénieurs, qui continuent de relire et de valider les correctifs avant leur publication.
MDASH analyse les composants critiques de Windows avec plusieurs modèles d’IA
Pour rechercher plus efficacement les vulnérabilités dans Windows, Microsoft utilise un système baptisé MDASH, pour Multi-model Agentic Scanning Harness.
Cet outil de découverte de failles repose sur plusieurs modèles d’intelligence artificielle qui travaillent ensemble afin d’analyser les composants et fichiers binaires critiques de Windows. Plutôt que de confier l’examen du code à un seul modèle, Microsoft utilise une approche multimodale destinée à confronter les résultats et à améliorer leur fiabilité.
Le processus fonctionne en plusieurs étapes :
les composants critiques de Windows sont analysés à la recherche de comportements potentiellement vulnérables ;
plusieurs modèles d’IA examinent et comparent les résultats ;
les signalements peu fiables ou les faux positifs sont éliminés ;
les vulnérabilités jugées suffisamment crédibles passent dans un second processus de validation spécialement conçu pour Windows ;
les résultats les plus sérieux sont ensuite transmis aux ingénieurs Microsoft pour une analyse humaine.
Cette succession de contrôles est importante, car les outils automatisés peuvent détecter de nombreuses anomalies qui ne correspondent pas nécessairement à de véritables failles exploitables.
MDASH ne remplace donc pas les chercheurs et les ingénieurs en sécurité. Il agit plutôt comme un système de présélection capable d’examiner rapidement de grandes quantités de code et de faire remonter les candidats les plus intéressants.
Selon Microsoft, les progrès de l’IA accélèrent à la fois la découverte et l’analyse des vulnérabilités. Des problèmes qui auraient autrefois demandé de longues recherches manuelles peuvent désormais être repérés plus tôt et dans un volume de code beaucoup plus important.
Une évolution du cycle de développement sécurisé
Microsoft profite également de cette évolution pour adapter son Secure Development Lifecycle (SDL).
Le cycle de développement sécurisé prend désormais explicitement en compte les scénarios d’attaque rendus possibles par l’intelligence artificielle. L’objectif est d’anticiper les nouvelles méthodes utilisées pour découvrir ou exploiter des vulnérabilités.
En parallèle, Microsoft investit dans de nouveaux outils internes, notamment des systèmes d’IA spécialisés capables d’assister les développeurs dans la génération et la validation des correctifs de sécurité.
Une tendance déjà visible
Cette annonce n’est pas isolée.
Lors du Patch Tuesday de juin 2026, Microsoft avait déjà publié un nombre record de correctifs de sécurité. L’entreprise reconnaît désormais que l’utilisation de l’intelligence artificielle contribue à cette augmentation du nombre de vulnérabilités détectées.
Cette tendance devrait se poursuivre dans les prochains mois, à mesure que les outils d’analyse automatisée gagneront en efficacité.
Un sujet déjà abordé sur Malekal
Cette annonce confirme une tendance que nous avions déjà évoquée : l’intelligence artificielle accélère la découverte des vulnérabilités, aussi bien du côté des chercheurs en sécurité que des cybercriminels.
L’augmentation du nombre de failles découvertes ne signifie donc pas forcément que Windows devient moins sûr. Elle traduit également une meilleure capacité à détecter des erreurs qui auraient auparavant pu rester invisibles pendant plusieurs années.
Pour approfondir le sujet, consultez également notre dossier :
L’intelligence artificielle est en train de transformer la cybersécurité. Les attaquants disposent de nouveaux outils pour rechercher des vulnérabilités, mais les éditeurs de logiciels bénéficient eux aussi de ces progrès pour renforcer la sécurité de leurs produits.
Microsoft s’attend ainsi à publier davantage de correctifs dans les futures mises à jour de Windows. Si cette évolution peut donner l’impression que davantage de failles sont découvertes, elle reflète surtout une amélioration des capacités de détection et une adaptation du développement de Windows aux nouveaux défis posés par l’IA.
Vous utilisez régulièrement les options Arrêter, Redémarrer, Mettre en veille ou Fermer la session de Windows ? Il est possible de créer des raccourcis permettant d’exécuter ces actions en un seul clic depuis le Bureau, le menu Démarrer ou la barre des tâches.
Windows intègre pour cela la commande shutdown, ainsi que d’autres commandes système permettant d’arrêter le PC, de redémarrer l’ordinateur, de verrouiller la session, de mettre le PC en veille ou en veille prolongée. Il suffit de créer un raccourci pointant vers la commande appropriée pour accéder rapidement à ces fonctionnalités.
Dans ce tutoriel, découvrez comment créer un raccourci pour arrêter Windows, redémarrer le PC, fermer la session, verrouiller votre ordinateur, mettre le PC en veille ou en veille prolongée, puis comment personnaliser son icône et l’épingler au menu Démarrer ou à la barre des tâches.
Créer un raccourci pour arrêter son PC en Windows
Windows permet de créer un raccourci qui arrête immédiatement l’ordinateur en utilisant la commande shutdown. Cette méthode est pratique si vous souhaitez arrêter rapidement votre PC depuis le Bureau, la barre des tâches ou le menu Démarrer.
Pour créer ce raccourci :
Faites un clic droit sur un emplacement vide du Bureau.
Sélectionnez Nouveau > Raccourci.
Dans le champ Entrez l’emplacement de l’élément, saisissez la commande suivante :
shutdown /s /t 0
Cliquez sur Suivant.
Donnez un nom au raccourci, par exemple Arrêter Windows.
Cliquez sur Terminer.
Le raccourci est immédiatement créé. Un double-clic dessus lance l’arrêt immédiat de Windows.
À quoi correspond cette commande ?
La commande est composée de plusieurs paramètres :
/s : arrête complètement Windows.
/t 0 : lance l’arrêt immédiatement, sans délai.
Vous pouvez modifier le délai en remplaçant 0 par le nombre de secondes souhaité. Par exemple, pour arrêter le PC au bout d’une minute :
shutdown /s /t 60
Pendant le compte à rebours, un message informe l’utilisateur que Windows va s’arrêter.
Par défaut, le raccourci utilise une icône générique. Vous pouvez lui attribuer une icône plus représentative.
Faites un clic droit sur le raccourci, puis sélectionnez Propriétés.
Dans l’onglet Raccourci, cliquez sur Changer d’icône….
Si Windows indique qu’aucune icône n’est disponible, saisissez le chemin suivant :
%SystemRoot%\System32\shell32.dll
Choisissez une icône représentant l’arrêt ou l’alimentation.
Cliquez sur OK, puis sur Appliquer.
Vous pouvez ensuite épingler ce raccourci au menu Démarrer ou à la barre des tâches pour y accéder encore plus rapidement.
Créer un raccourci pour redémarrer le PC
Vous pouvez également créer un raccourci permettant de redémarrer immédiatement Windows. Cette solution est pratique si vous redémarrez fréquemment votre ordinateur après une mise à jour, l’installation d’un logiciel ou pour résoudre un problème.
Pour créer ce raccourci :
Faites un clic droit sur un emplacement vide du Bureau.
Sélectionnez Nouveau > Raccourci.
Dans le champ Entrez l’emplacement de l’élément, saisissez la commande suivante :
shutdown /r /t 0
Cliquez sur Suivant.
Donnez un nom au raccourci, par exemple Redémarrer le PC.
Cliquez sur Terminer.
Un double-clic sur ce raccourci redémarre immédiatement l’ordinateur.
À quoi correspond cette commande ?
La commande utilise les paramètres suivants :
/r : redémarre Windows après avoir fermé les applications.
/t 0 : exécute le redémarrage immédiatement, sans délai.
Si vous souhaitez laisser quelques secondes avant le redémarrage, remplacez 0 par le délai souhaité. Par exemple, pour redémarrer le PC après 30 secondes :
shutdown /r /t 30
Personnaliser l’icône du raccourci
Comme pour le raccourci d’arrêt, vous pouvez modifier son icône :
Faites un clic droit sur le raccourci, puis sélectionnez Propriétés.
Dans l’onglet Raccourci, cliquez sur Changer d’icône….
Si nécessaire, indiquez le fichier suivant :
%SystemRoot%\System32\shell32.dll
Choisissez une icône représentant le redémarrage ou le système.
Cliquez sur OK, puis sur Appliquer.
Vous pouvez ensuite épingler ce raccourci au menu Démarrer ou à la barre des tâches afin de redémarrer votre ordinateur en un seul clic.
Si vous souhaitez fermer rapidement votre session Windows sans arrêter ni redémarrer l’ordinateur, vous pouvez créer un raccourci utilisant la commande shutdown. Cette solution est pratique sur un ordinateur partagé ou lorsque vous changez régulièrement d’utilisateur.
Pour créer ce raccourci :
Faites un clic droit sur un emplacement vide du Bureau.
Sélectionnez Nouveau > Raccourci.
Dans le champ Entrez l’emplacement de l’élément, saisissez la commande suivante :
shutdown /l
Cliquez sur Suivant.
Donnez un nom au raccourci, par exemple Fermer la session.
Cliquez sur Terminer.
Un double-clic sur ce raccourci ferme immédiatement la session en cours et affiche l’écran de connexion de Windows.
À quoi correspond cette commande ?
La commande utilise le paramètre suivant :
/l : ferme la session de l’utilisateur actuellement connecté.
Contrairement aux commandes d’arrêt ou de redémarrage, il n’est pas possible d’utiliser le paramètre /t avec shutdown /l. La fermeture de session est donc exécutée immédiatement.
Avant de fermer la session, pensez à enregistrer les documents ouverts afin d’éviter toute perte de données. Si des applications empêchent la fermeture de la session, Windows peut vous demander de confirmer leur fermeture.
Personnaliser l’icône du raccourci
Pour faciliter son identification, vous pouvez modifier l’icône du raccourci :
Faites un clic droit sur le raccourci, puis sélectionnez Propriétés.
Dans l’onglet Raccourci, cliquez sur Changer d’icône….
Si Windows ne trouve aucune icône, indiquez le fichier suivant :
%SystemRoot%\System32\shell32.dll
Sélectionnez une icône adaptée.
Cliquez sur OK, puis sur Appliquer.
Vous pouvez ensuite épingler ce raccourci au menu Démarrer ou à la barre des tâches afin de fermer votre session en un seul clic.
Créer un raccourci pour verrouiller Windows
Si vous souhaitez verrouiller rapidement votre session sans la fermer, vous pouvez créer un raccourci dédié. Le verrouillage permet de protéger votre ordinateur lorsque vous vous absentez quelques instants, tout en laissant vos applications et vos documents ouverts.
Pour créer ce raccourci :
Faites un clic droit sur un emplacement vide du Bureau.
Sélectionnez Nouveau > Raccourci.
Dans le champ Entrez l’emplacement de l’élément, saisissez la commande suivante :
rundll32.exe user32.dll,LockWorkStation
Cliquez sur Suivant.
Donnez un nom au raccourci, par exemple Verrouiller Windows.
Cliquez sur Terminer.
Un double-clic sur ce raccourci verrouille immédiatement la session en cours et affiche l’écran de verrouillage de Windows 11/10.
À quoi correspond cette commande ?
Cette commande utilise rundll32.exe pour appeler la fonction LockWorkStation de la bibliothèque système user32.dll.
Contrairement à la fermeture de session, le verrouillage :
Conserve toutes les applications ouvertes.
Maintient les documents en cours d’édition.
Demande votre mot de passe, votre code PIN ou Windows Hello pour accéder de nouveau à la session.
C’est la méthode recommandée lorsque vous quittez temporairement votre poste de travail.
Créer un raccourci pour mettre le PC en veille
La veille permet d’éteindre la plupart des composants de l’ordinateur tout en conservant les applications et les documents ouverts en mémoire. Le PC consomme très peu d’énergie et reprend son activité en quelques secondes lorsque vous appuyez sur une touche ou déplacez la souris.
Vous pouvez créer un raccourci permettant de mettre immédiatement votre ordinateur en veille.
Pour créer ce raccourci :
Faites un clic droit sur un emplacement vide du Bureau.
Sélectionnez Nouveau > Raccourci.
Dans le champ Entrez l’emplacement de l’élément, saisissez la commande suivante :
rundll32.exe powrprof.dll,SetSuspendState Sleep
Cliquez sur Suivant.
Donnez un nom au raccourci, par exemple Mettre en veille.
Cliquez sur Terminer.
Un double-clic sur ce raccourci met immédiatement l’ordinateur en veille.
Utiliser la commande PowerShell (recommandé)
La commande précédente peut ne pas fonctionner correctement sur certaines versions de Windows ou si la veille prolongée est activée. Une alternative plus fiable consiste à utiliser PowerShell.
Créer un raccourci pour mettre le PC en veille prolongée
La veille prolongée (Hibernate) enregistre le contenu de la mémoire vive (RAM) sur le disque, puis éteint complètement l’ordinateur. Au prochain démarrage, Windows restaure votre session telle que vous l’avez laissée, avec les applications et les documents ouverts.
Cette fonctionnalité est particulièrement utile sur un ordinateur portable pour économiser la batterie tout en reprenant rapidement votre travail.
Pour créer un raccourci permettant de mettre le PC en veille prolongée :
Faites un clic droit sur un emplacement vide du Bureau.
Sélectionnez Nouveau > Raccourci.
Dans le champ Entrez l’emplacement de l’élément, saisissez la commande suivante :
shutdown /h
Cliquez sur Suivant.
Donnez un nom au raccourci, par exemple Mettre en veille prolongée.
Cliquez sur Terminer.
Un double-clic sur ce raccourci met immédiatement l’ordinateur en veille prolongée.
Vérifier que la veille prolongée est activée
Si le raccourci ne fonctionne pas, il est possible que la veille prolongée soit désactivée.
Pour vérifier les états d’alimentation disponibles :
Ouvrez l’Invite de commandes ou Windows PowerShell en tant qu’administrateur.
Exécutez la commande suivante :
powercfg /a
Si la veille prolongée n’est pas disponible, vous pouvez l’activer avec la commande suivante :
Créer un raccourci pour ouvrir les options d’alimentation
Si vous accédez régulièrement aux options d’alimentation pour modifier le mode de gestion de l’énergie, choisir un plan d’alimentation ou configurer les boutons Marche/Arrêt, vous pouvez créer un raccourci permettant d’ouvrir directement cette page.
Pour créer ce raccourci :
Faites un clic droit sur un emplacement vide du Bureau.
Sélectionnez Nouveau > Raccourci.
Dans le champ Entrez l’emplacement de l’élément, saisissez la commande suivante :
control.exe /name Microsoft.PowerOptions
Cliquez sur Suivant.
Donnez un nom au raccourci, par exemple Options d’alimentation.
Cliquez sur Terminer.
Un double-clic sur ce raccourci ouvre immédiatement les Options d’alimentation du Panneau de configuration.
Que peut-on faire depuis les options d’alimentation ?
Cette fenêtre permet notamment de :
Choisir un plan d’alimentation (Équilibré, Économies d’énergie, Performances élevées…).
Modifier les paramètres du mode de gestion de l’alimentation.
Configurer le comportement du bouton Marche/Arrêt et de la fermeture du capot sur un ordinateur portable.
Définir les délais de mise en veille et d’extinction de l’écran.
Activer ou désactiver la veille prolongée, selon la configuration de votre ordinateur.
Par défaut, un raccourci utilise généralement l’icône du programme qu’il lance. Vous pouvez toutefois la remplacer par une autre afin de le distinguer plus facilement sur le Bureau, dans le menu Démarrer ou sur la barre des tâches.
Pour modifier l’icône d’un raccourci :
Faites un clic droit sur le raccourci.
Sélectionnez Propriétés.
Ouvrez l’onglet Raccourci.
Cliquez sur Changer d’icône….
Si Windows indique qu’aucune icône n’est disponible, saisissez le chemin suivant :
%SystemRoot%\System32\shell32.dll
Ce fichier contient plusieurs centaines d’icônes intégrées à Windows. Sélectionnez celle de votre choix, puis cliquez sur OK et enfin sur Appliquer.
Vous pouvez également utiliser les icônes contenues dans d’autres bibliothèques système, par exemple :
Bibliothèque
Contenu
%SystemRoot%\System32\shell32.dll
Nombreuses icônes système (dossiers, disques, alimentation, sécurité, etc.)
%SystemRoot%\System32\imageres.dll
Icônes modernes utilisées par Windows 11/10
%SystemRoot%\System32\pifmgr.dll
Anciennes icônes Windows, toujours disponibles
Fichier .exe ou .dll
Les programmes contiennent souvent leurs propres icônes
Il est également possible d’utiliser un fichier .ico personnalisé en cliquant sur Parcourir…. Cette solution est idéale pour créer des raccourcis facilement identifiables ou harmoniser l’apparence de votre Bureau.
Une fois l’icône modifiée, le raccourci conserve toutes ses propriétés. Seule son apparence est changée.
Épingler le raccourci au Bureau, au menu Démarrer ou à la barre des tâches
Une fois votre raccourci créé, vous pouvez le placer à l’emplacement de votre choix afin d’y accéder plus rapidement. Windows permet notamment de le conserver sur le Bureau, de l’épingler au menu Démarrer ou à la barre des tâches.
Cette faille permettait à un attaquant disposant déjà d’un accès limité à une machine Windows d’obtenir des privilèges élevés sur le système. Elle a été découverte par les chercheurs en sécurité de SafeBreach Labs, qui l’ont signalée de manière responsable à Microsoft.
L’entreprise a intégré le correctif directement dans les mises à jour de la plateforme Microsoft Defender, sans nécessiter l’installation d’une mise à jour Windows spécifique.
Qu’est-ce que RoguePlanet ?
RoguePlanet est le nom donné à une vulnérabilité permettant une élévation de privilèges (Elevation of Privilege).
Concrètement, un utilisateur ou un logiciel malveillant disposant déjà d’un accès limité au système pouvait exploiter cette faille afin d’exécuter du code avec des privilèges beaucoup plus élevés.
Cette technique peut notamment être utilisée pour :
Désactiver certaines protections de sécurité.
Installer des logiciels malveillants persistants.
Accéder à des fichiers normalement protégés.
Compromettre complètement un ordinateur.
La faille ne permet cependant pas une compromission à distance. Un attaquant doit déjà avoir obtenu un accès au PC pour pouvoir l’exploiter.
Contrairement à ce que l’on pourrait penser, la vulnérabilité ne concerne pas directement le moteur d’analyse antivirus.
Elle touche un composant de Microsoft Defender chargé de certaines opérations système exécutées avec des privilèges élevés.
Les chercheurs de SafeBreach ont montré qu’il était possible d’exploiter ce comportement afin d’obtenir une élévation de privilèges.
Microsoft indique n’avoir observé aucune exploitation active de cette faille avant la publication du correctif.
Quelle version corrige RoguePlanet ?
Microsoft a corrigé la vulnérabilité RoguePlanet avec la version 1.1.26060.3008 du moteur du moteur (Microsoft Malware Protection Engine).
Ce composant est le moteur d’analyse utilisé par Microsoft Defender et par plusieurs solutions de sécurité Microsoft. Il est mis à jour automatiquement via les mises à jour de sécurité de Defender, indépendamment des mises à jour cumulatives de Windows.
Les utilisateurs doivent donc vérifier que leur moteur de protection Microsoft Defender est au moins en version 1.1.26060.3008 afin de bénéficier du correctif.
Pour vérifier la version installée :
Ouvrez Sécurité Windows.
Cliquez sur Paramètres en bas à gauche.
Cliquez sur A propos.
Vérifiez la version du moteur de sécurité.
Si la mise à jour n’est pas encore installée, lancez une recherche de mises à jour de protection depuis cette même page.
Microsoft poursuit le renforcement de Windows
Cette correction intervient quelques semaines après plusieurs autres annonces de sécurité importantes :
Microsoft poursuit ainsi sa stratégie consistant à renforcer progressivement les différents composants de sécurité de Windows 11.
Conclusion
Même si RoguePlanet nécessite déjà un accès au système pour être exploitée, cette faille montre qu’une élévation de privilèges reste une étape importante dans une chaîne d’attaque. Grâce au signalement responsable de SafeBreach Labs, Microsoft a pu corriger la vulnérabilité avant qu’elle ne soit exploitée à grande échelle.
Les utilisateurs de Microsoft Defender ont donc intérêt à vérifier que leur plateforme de sécurité est bien à jour afin de bénéficier automatiquement de cette protection.
Depuis le début des années 2000, les botnets ont profondément transformé le paysage de la cybercriminalité. D’abord utilisés pour envoyer des campagnes massives de spam ou lancer des attaques par déni de service (DDoS), ils sont progressivement devenus de véritables plateformes criminelles, capables de diffuser des malwares, déployer des ransomwares, réaliser de la fraude publicitaire (Ad Fraud), fournir des proxys résidentiels ou encore être loués sous forme de Botnet-as-a-Service (BaaS).
Cette évolution s’est accompagnée de nombreux changements techniques : apparition des architectures pair-à-pair (P2P), des algorithmes DGA, du Fast Flux DNS, des rootkits, puis des botnets ciblant les objets connectés (IoT) et les Android TV Box. Les opérations de démantèlement menées par Microsoft, Europol, le FBI et d’autres acteurs ont également joué un rôle majeur dans cette course permanente entre cybercriminels et défenseurs.
Dans ce dossier, découvrez l’histoire des botnets, leur évolution au fil des années, les principaux réseaux qui ont marqué la cybersécurité, les grandes opérations de démantèlement et les nouvelles tendances qui façonnent les botnets modernes.
En un peu plus de vingt ans, les botnets ont profondément évolué. D’abord simples réseaux d’ordinateurs Windows contrôlés via des serveurs IRC, ils sont progressivement devenus des plateformes criminelles sophistiquées capables de diffuser des malwares, lancer des attaques DDoS, exploiter des objets connectés ou fournir des services de proxys résidentiels.
La frise ci-dessous résume les principales étapes de cette évolution.
Les premiers botnets (2000-2006)
Les premiers botnets apparaissent au début des années 2000, à une époque où Internet connaît une forte croissance et où les ordinateurs personnels sont de plus en plus connectés en permanence. Les cybercriminels découvrent alors qu’il est beaucoup plus efficace de contrôler des milliers d’ordinateurs à distance que d’agir depuis leur propre machine.
À cette époque, les botnets restent relativement simples. Ils sont principalement composés de PC Windows infectés et utilisent un modèle client/serveur reposant sur des serveurs IRC (Internet Relay Chat). Les ordinateurs compromis rejoignent automatiquement un canal de discussion (channel), sur lequel le botmaster envoie ses commandes.
Le fonctionnement est alors le suivant :
Ces premiers botnets sont utilisés pour plusieurs activités malveillantes :
Lancer des attaques DDoS
Envoyer des campagnes de spam
Télécharger et installer d’autres malwares
Ouvrir une porte dérobée (backdoor) sur les ordinateurs infectés
Parmi les botnets les plus connus de cette période figurent :
Botnet
Particularité
GTBot
L’un des premiers botnets basés sur IRC.
Agobot (Gaobot)
Très modulaire, il exploitait de nombreuses vulnérabilités Windows et pouvait lancer des attaques DDoS.
SDBot
Botnet IRC largement diffusé, souvent utilisé pour des attaques DDoS et l’installation d’autres malwares.
SpyBot
Utilisé pour le contrôle à distance, les attaques DDoS et le téléchargement de nouveaux composants malveillants.
À cette époque, les botnets étaient encore principalement développés par des individus ou de petits groupes. Leur objectif était souvent de démontrer leurs compétences techniques, de perturber des services en ligne ou de contrôler un grand nombre de machines.
Cette période marque toutefois les débuts d’une évolution qui transformera progressivement les botnets en véritables infrastructures criminelles, capables de générer des revenus importants grâce au spam, au vol de données, à la fraude publicitaire ou encore aux proxys résidentiels. Les années suivantes verront apparaître des botnets beaucoup plus massifs, comme Storm puis Conficker, qui changeront profondément l’échelle de la cybercriminalité.
2007-2012 : les grands botnets Windows
Entre 2007 et 2012, les botnets connaissent une croissance spectaculaire. Cette période est souvent considérée comme l’âge d’or des botnets Windows. Grâce aux campagnes massives de spam, aux vers informatiques (worms) et à l’exploitation de failles de sécurité, certains réseaux atteignent plusieurs millions d’ordinateurs infectés.
Les cybercriminels commencent également à se structurer. Les botnets ne sont plus uniquement développés par des passionnés ou de petits groupes, mais par de véritables organisations criminelles, où chacun possède un rôle bien défini : développement des malwares, gestion des serveurs, diffusion des infections, exploitation des données et blanchiment des revenus.
Les principaux botnets de cette période sont les suivants.
L’un des plus importants spambots au monde, capable d’envoyer jusqu’à 200 millions de spams par jour.
Cutwail (Pushdo)
2007
Immense réseau spécialisé dans l’envoi de courriers indésirables et de campagnes de phishing.
Waledac
2008
Botnet de spam utilisant des techniques avancées de communication P2P.
Kelihos
2010
Successeur de Waledac, principalement utilisé pour le spam et le téléchargement d’autres malwares.
Durant cette période, les spambots dominent largement le paysage. Les revenus proviennent principalement :
de l’envoi massif de courriers indésirables (spam) ;
des campagnes de phishing ;
de la diffusion de faux antivirus (rogues) ;
de l’installation d’autres malwares.
Plusieurs botnets commencent à intégrer des rootkits afin d’améliorer leur discrétion. Un rootkit permet de masquer les fichiers, les processus, les connexions réseau ou encore les clés du Registre utilisés par le malware. Cette technique rend la détection beaucoup plus difficile et permet au botnet de rester actif pendant de longues périodes sans être remarqué. Des botnets comme Rustock ou, plus tard, TDSS (Alureon) illustrent parfaitement cette évolution.
Parallèlement, les techniques utilisées par les botnets évoluent rapidement. Les opérateurs mettent en place des architectures P2P, des algorithmes DGA (Domain Generation Algorithm) et des communications chiffrées afin de rendre leur démantèlement plus difficile.
Cette période marque également le début des grandes opérations internationales de démantèlement. Microsoft, les éditeurs de sécurité et les forces de l’ordre commencent à coordonner leurs actions afin de saisir les serveurs de commande (C2), mettre en place des sinkholes DNS et neutraliser les infrastructures utilisées par les cybercriminels.
À partir de 2010, le modèle économique évolue progressivement. Les botnets ne servent plus uniquement à envoyer du spam : ils deviennent des plateformes de services, capables de distribuer d’autres malwares, de réaliser de la fraude publicitaire ou de générer des revenus grâce à de nouvelles activités criminelles. Cette professionnalisation ouvrira la voie à la génération suivante de botnets, comme ZeroAccess, TDSS ou Necurs.
2009 – down en 2009 par FireEye, remis en ligne un mois après.
Gheg (Tofsee/Mondera)
50 000 à 70 000
2013
Xarvester (Rlsloup/Pixoliz)
20 000 à 36 000
2010
2010-2015 : la professionnalisation des botnets
À partir de 2010, les botnets évoluent profondément. Les cybercriminels ne cherchent plus seulement à envoyer du spam ou à lancer des attaques DDoS : ils transforment leurs infrastructures en véritables plateformes criminelles, capables de générer des revenus de multiples façons.
Les groupes derrière ces botnets deviennent également beaucoup plus organisés. Ils se répartissent les tâches entre plusieurs équipes spécialisées :
Les développeurs, qui conçoivent les malwares et les techniques d’évasion.
Les opérateurs, qui administrent le botnet et les serveurs C2.
Les équipes chargées de la diffusion, qui infectent de nouveaux appareils.
Les affiliés, qui monétisent le botnet via différentes activités criminelles.
Cette période voit également apparaître les premiers modèles de Malware-as-a-Service (MaaS). Certains groupes vendent ou louent leurs malwares, tandis que d’autres paient pour faire installer leurs propres logiciels malveillants sur des ordinateurs déjà compromis.
Les botnets les plus emblématiques de cette période sont les suivants.
Botnet P2P spécialisé dans le cryptominage et la fraude publicitaire (Ad Fraud).
Citadel
2011
Évolution de Zeus, largement utilisée pour les attaques bancaires et les campagnes de malware.
Ponmocup
2011
L’un des plus grands botnets de téléchargement (downloader), utilisé pour installer d’autres malwares.
Necurs
2012
Immense botnet spécialisé dans le spam et la distribution de ransomwares et de chevaux de Troie bancaires.
Les activités évoluent elles aussi rapidement. Les opérateurs ne se limitent plus au spam et développent de nouvelles sources de revenus :
Fraude publicitaire (Ad Fraud) en simulant des clics sur des publicités.
Cryptominage, utilisant la puissance de calcul des ordinateurs compromis.
Installation de chevaux de Troie bancaires, comme Zeus ou Citadel.
Distribution d’autres malwares, les groupes étant rémunérés pour installer un logiciel malveillant sur les appareils infectés.
Services de proxy, revendant déjà l’accès à des connexions Internet compromises.
Cette période marque également une avancée technique importante. Les botnets adoptent progressivement :
Les architectures P2P, afin d’éliminer les points de défaillance uniques.
Les algorithmes DGA, pour renouveler automatiquement les domaines utilisés par les serveurs C2.
Les rootkits, qui masquent le malware et renforcent sa persistance.
Des communications chiffrées, rendant l’analyse réseau beaucoup plus difficile.
ZeroAccess (également connu sous les noms Sirefef ou Max++) est un malware et un botnet apparu vers 2011. Il se distingue par son architecture pair-à-pair (P2P), qui le rend particulièrement résistant aux tentatives de démantèlement.
Contrairement aux spambots de l’époque, ZeroAccess est principalement utilisé pour la fraude publicitaire (click fraud) et, sur certaines variantes, pour le cryptominage de Bitcoin. Il peut également télécharger et installer d’autres logiciels malveillants sur les ordinateurs compromis.
Au plus fort de son activité, la taille du botnet est estimée entre 1,9 et 2,2 millions d’ordinateurs infectés, avec environ 800 000 bots actifs simultanément selon Microsoft.
En 2013, une opération conjointe menée par Microsoft, Europol (EC3), le FBI et plusieurs partenaires industriels, dont A10 Networks, a fortement perturbé le botnet en neutralisant une partie de son infrastructure. Malgré cela, son architecture P2P lui a permis de survivre plusieurs mois avant de perdre progressivement de son importance
Les grandes opérations internationales de démantèlement se multiplient également. Des botnets comme Citadel, ZeroAccess ou TDSS subissent d’importantes perturbations grâce à la coopération entre les éditeurs de sécurité, les hébergeurs, les registrars et les forces de l’ordre.
Cette professionnalisation prépare l’arrivée d’une nouvelle génération de botnets. À partir de 2016, les cybercriminels ne ciblent plus uniquement les ordinateurs : les objets connectés (IoT) deviennent à leur tour une cible privilégiée, ouvrant la voie à des botnets comme Mirai, capables de contrôler des centaines de milliers de caméras IP, de routeurs et d’autres équipements connectés.
2016 : l’arrivée des objets connectés
L’année 2016 marque un tournant majeur dans l’histoire des botnets. Jusqu’alors, les cybercriminels ciblaient principalement les ordinateurs Windows. Avec l’essor des objets connectés (IoT), ils découvrent un nouveau terrain de jeu : des millions d’appareils connectés à Internet, souvent mal sécurisés et laissés avec leurs paramètres par défaut.
Les premières victimes sont notamment :
Les caméras IP
Les routeurs
Les enregistreurs vidéo (DVR)
Les box Internet
Les objets connectés utilisant Linux embarqué
Le botnet qui symbolise cette évolution est Mirai, découvert en 2016.
Botnet
Année
Particularité
Mirai
2016
Premier botnet IoT de très grande ampleur, exploitant les mots de passe par défaut des objets connectés pour lancer des attaques DDoS massives.
Linux/Moose
2015
Botnet ciblant les routeurs Linux afin de détourner le trafic réseau et les réseaux sociaux.
Rakos
2016
Ver Linux ciblant principalement les serveurs et les objets connectés mal configurés.
Contrairement aux botnets Windows de la décennie précédente, Mirai ne reposait pas sur des failles complexes. Il exploitait principalement un problème très courant : les identifiants administrateur par défaut laissés inchangés sur les appareils connectés.
Une fois compromis, les équipements rejoignaient automatiquement le botnet et pouvaient recevoir des ordres pour lancer des attaques DDoS.
Mirai s’est illustré par plusieurs attaques historiques :
En septembre 2016, une attaque de plus de 620 Gbit/s contre le site du journaliste Brian Krebs.
Quelques jours plus tard, une attaque dépassant 1 Tbit/s contre l’hébergeur français OVH.
En octobre 2016, l’attaque contre le fournisseur DNS Dyn, qui a perturbé l’accès à de nombreux services majeurs comme Twitter, GitHub, Netflix, Reddit, Spotify et Airbnb.
Ces événements ont mis en évidence une réalité inquiétante : des appareils peu puissants, mais très nombreux, peuvent générer des attaques d’une ampleur considérable.
À partir de cette période, les opérateurs de botnets ne ciblent plus uniquement les ordinateurs. Les objets connectés (IoT) deviennent une cible privilégiée, car ils présentent plusieurs avantages :
Ils restent allumés en permanence.
Ils sont rarement mis à jour.
Ils utilisent encore des mots de passe par défaut.
Leurs propriétaires surveillent peu leur activité réseau.
Cette évolution ouvre la voie à une nouvelle génération de botnets spécialisés dans les objets connectés. Les années suivantes verront apparaître des variantes toujours plus sophistiquées, comme Mozi, puis plus récemment BADBOX 2.0 et Kimwolf, qui ne se limitent plus aux attaques DDoS mais exploitent également les appareils compromis comme proxys résidentiels ou plateformes de monétisation.
2017-2020 : les botnets deviennent des plateformes criminelles
À partir de 2017, les botnets changent une nouvelle fois de dimension. Ils ne sont plus seulement utilisés pour envoyer du spam ou lancer des attaques DDoS : ils deviennent de véritables plateformes de cybercriminalité, capables de fournir différents services selon les besoins des groupes criminels.
Les opérateurs cherchent désormais à rentabiliser au maximum chaque appareil compromis. Un même botnet peut être utilisé successivement pour diffuser un malware, installer un ransomware, voler des données ou encore relayer du trafic Internet.
Parmi les botnets les plus représentatifs de cette période figurent :
Botnet
Année
Particularité
Emotet
2017
D’abord cheval de Troie bancaire, il devient une plateforme de distribution de malwares utilisée par de nombreux groupes criminels.
TrickBot
2017
Malware modulaire capable de télécharger d’autres charges utiles, notamment des ransomwares comme Ryuk ou Conti.
QakBot (Qbot)
2018
Cheval de Troie bancaire devenu une plateforme d’accès initial pour les opérateurs de ransomware.
Necurs
Jusqu’en 2020
L’un des plus grands spambots au monde, utilisé pour diffuser Locky, Dridex et d’autres malwares.
De nouvelles méthodes d’infections par mail
Les méthodes d’infection évoluent également durant cette période. Les cybercriminels délaissent progressivement les vers informatiques exploitant des failles réseau au profit de campagnes massives de phishing.
Les victimes reçoivent des e-mails imitant des factures, des bons de livraison, des devis ou des documents administratifs, contenant une pièce jointe ou un lien malveillant.
Les fichiers utilisés sont notamment :
Des documents Microsoft Word ou Excel contenant des macros malveillantes.
Des archives ZIP renfermant des scripts.
Des fichiers JavaScript (.js), VBScript (.vbs), Windows Script File (.wsf) ou JScript Encoded (.jse), exécutés par Windows Script Host (WSH).
Des raccourcis Windows (.lnk), devenus très populaires à partir de 2021.
Plus rarement, des fichiers ISO ou IMG, qui permettaient de contourner certaines protections de Windows.
Une fois exécuté, le premier malware installé (souvent appelé loader ou dropper) télécharge les différents composants du botnet, puis établit la communication avec les serveurs de commande (C2).
Cette évolution marque le passage d’attaques principalement techniques à des campagnes reposant largement sur l’ingénierie sociale, où le facteur humain devient la principale porte d’entrée des botnets modernes.
Contrairement aux générations précédentes, ces botnets ne cherchent plus uniquement à contrôler des ordinateurs. Ils servent également de porte d’entrée (Initial Access) vers les réseaux d’entreprises.
Ouvrir un accès distant pour d’autres groupes criminels
Cette évolution s’accompagne d’une professionnalisation du cybercrime. Les différents acteurs se spécialisent :
certains développent les malwares ;
d’autres diffusent les infections ;
d’autres encore exploitent les accès obtenus pour déployer un ransomware ou voler des données.
Les botnets deviennent ainsi de véritables plateformes de services, où un accès à un ordinateur compromis peut être revendu ou loué à d’autres groupes criminels. Ce modèle économique annonce l’émergence du Botnet-as-a-Service (BaaS) et du Malware-as-a-Service (MaaS), qui se développeront fortement au cours des années suivantes.
Cette période marque également une montée en puissance des malwares modulaires. Plutôt que d’effectuer une seule tâche, ils téléchargent dynamiquement les composants nécessaires en fonction des objectifs du botmaster, ce qui les rend beaucoup plus flexibles et difficiles à détecter.
À partir de 2020, une nouvelle évolution apparaît : les cybercriminels s’intéressent de plus en plus aux objets connectés, aux Android TV Box et aux proxys résidentiels, ouvrant la voie à des botnets comme BADBOX 2.0 ou Kimwolf, dont l’objectif principal n’est plus seulement l’attaque, mais également la monétisation de la connexion Internet des victimes.
Depuis 2020 : les botnets deviennent des plateformes de services
Depuis 2020, les botnets connaissent une nouvelle évolution. Leur objectif n’est plus uniquement de contrôler un grand nombre d’ordinateurs, mais de rentabiliser chaque appareil compromis en proposant différents services à d’autres groupes cybercriminels.
Cette nouvelle génération se caractérise par plusieurs tendances :
Les malwares modulaires permettent d’ajouter ou de supprimer des fonctionnalités à distance.
Les infrastructures sont de plus en plus distribuées et résilientes, rendant leur démantèlement plus complexe.
Les botnets les plus représentatifs de cette période sont les suivants.
Botnet
Année
Particularité
Emotet
2021 (retour)
Reprend son activité après son démantèlement et continue de servir de plateforme de distribution de malwares.
Mozi
2020
Botnet IoT basé sur une architecture P2P, ciblant principalement les routeurs et les objets connectés.
Glupteba
2020
Utilise la blockchain Bitcoin pour retrouver ses serveurs de commande et renforcer sa résilience.
BADBOX 2.0
2025
Botnet ciblant principalement les Android TV Box et autres appareils Android connectés afin d’alimenter un réseau de proxys résidentiels.
Kimwolf
2025
Botnet Android spécialisé dans les proxys résidentiels, le scan du réseau local et la compromission d’autres appareils Android.
L’une des principales évolutions concerne les appareils ciblés. Alors que les premiers botnets infectaient essentiellement des ordinateurs Windows, les cybercriminels visent désormais :
Les Android TV Box
Les box IPTV
Les téléviseurs connectés
Les routeurs
Les caméras IP
Les NAS
Les objets connectés (IoT)
Ces appareils présentent plusieurs avantages : ils restent généralement allumés en permanence, reçoivent peu de mises à jour de sécurité et leurs propriétaires surveillent rarement leur activité réseau.
Les objectifs des opérateurs ont également évolué. Les botnets modernes sont désormais utilisés pour :
Fournir des services de proxys résidentiels
Effectuer du web scraping à grande échelle
Contourner les systèmes anti-bot et les CAPTCHA
Réaliser de la fraude publicitaire (Ad Fraud)
Distribuer d’autres malwares ou des ransomwares
Louer leur infrastructure sous forme de Botnet-as-a-Service (BaaS)
Une autre évolution importante est l’apparition de SDK de proxy résidentiel intégrés directement dans certaines applications ou de firmwares compromis installés sur des appareils dès leur fabrication. Dans ces scénarios, aucun malware classique n’est nécessaire : l’appareil peut relayer du trafic Internet simplement parce qu’il embarque un composant prévu à cet effet.
Cette nouvelle génération montre que les botnets ne sont plus uniquement des réseaux de machines zombies. Ils sont devenus de véritables plateformes de services, capables de monétiser la bande passante, les adresses IP et les ressources de millions d’appareils connectés répartis dans le monde entier.
Virus de fichiers devenu un Trojan bancaire et un botnet de vol de données.
Tous les botnets n’ont pas connu la même notoriété que Storm, Conficker, Mirai ou Emotet. De nombreux réseaux plus spécialisés ont marqué l’évolution de la cybercriminalité en se concentrant sur la fraude bancaire, le click fraud, les réseaux sociaux ou encore la distribution d’autres malwares. Certains, comme Zeus ou TDSS, ont profondément influencé les générations suivantes de malwares.
Les principaux démantèlements de botnets
Depuis le début des années 2010, de nombreuses opérations internationales ont permis de neutraliser certains des plus grands botnets de l’histoire. Elles sont généralement menées par les forces de l’ordre, des organismes comme Europol, Interpol, le FBI, ainsi que des entreprises telles que Microsoft, Google, Lumen, ESET, Symantec ou CrowdStrike.
Le tableau ci-dessous présente les opérations les plus marquantes.
Année
Botnet
Opération
Taille estimée
Résultat
2010
Waledac
Microsoft Sinkhole
~90 000 bots
Saisie des domaines et mise en place d’un sinkhole DNS.
2011
Rustock
Operation b107
~800 000 bots
Saisie des serveurs C2, forte baisse mondiale du spam.
2012
Bamital
Microsoft / Symantec
~120 000 bots
Redirection des bots vers des serveurs de désinfection.
Prise de contrôle du C2 et désinstallation automatique du malware.
2021
Emotet
Europol / Eurojust
Plusieurs centaines de milliers de machines
Les serveurs C2 sont saisis et un désinstalleur est diffusé.
2023
QakBot
Operation Duck Hunt
~700 000 appareils
Infrastructure saisie et malware neutralisé.
2023
Mozi
Collaboration internationale
Plusieurs millions d’appareils IoT
Les opérateurs diffusent une mise à jour mettant fin au botnet.
Ces opérations montrent que les botnets ne sont pas invulnérables, mais leur démantèlement nécessite souvent plusieurs mois, voire plusieurs années d’enquête. Les opérateurs utilisent des techniques de plus en plus sophistiquées (P2P, DGA, Fast Flux DNS, Tor, blockchain, etc.) afin de rendre leur infrastructure plus résiliente et de compliquer les opérations des autorités.
Conclusion
En un peu plus de vingt ans, les botnets ont profondément évolué. D’abord limités à quelques centaines ou milliers d’ordinateurs Windows contrôlés via des serveurs IRC, ils sont devenus de véritables plateformes criminelles capables de piloter des millions d’appareils connectés, de diffuser des malwares, de lancer des attaques DDoS, de voler des données ou encore de fournir des services de proxys résidentiels.
Cette évolution illustre parfaitement la professionnalisation de la cybercriminalité. Les opérateurs de botnets s’appuient désormais sur des architectures distribuées, des malwares modulaires et des modèles économiques comme le Botnet-as-a-Service (BaaS) afin de rendre leurs infrastructures plus rentables et plus difficiles à démanteler.
Si les grandes opérations internationales ont permis de neutraliser plusieurs botnets emblématiques comme Rustock, ZeroAccess, Emotet ou QakBot, de nouveaux réseaux apparaissent régulièrement en ciblant les objets connectés, les équipements Android ou d’autres appareils insuffisamment sécurisés.
Comprendre l’histoire des botnets permet également de mieux comprendre les menaces actuelles. Les techniques employées aujourd’hui — phishing, chevaux de Troie, loaders, ransomware ou compromission d’objets connectés — sont souvent directement héritées de cette évolution.
La meilleure protection reste d’adopter de bonnes pratiques de sécurité : maintenir Windows et ses logiciels à jour, utiliser un antivirus, se méfier des pièces jointes et des liens suspects, sécuriser les appareils connectés et remplacer les mots de passe par défaut des équipements réseau et IoT.
Les proxys résidentiels sont devenus un outil très recherché par les cybercriminels. Contrairement aux VPN, qui utilisent généralement des adresses IP appartenant à des centres de données, ils s’appuient sur les connexions Internet de particuliers, beaucoup plus difficiles à détecter et à bloquer par les sites web.
Le plus inquiétant est qu’il n’est plus forcément nécessaire qu’un ordinateur soit infecté par un malware. Une Android TV Box, une box IPTV, un téléviseur connecté, une caméra IP, un routeur, un NAS ou un autre objet connecté vulnérable peut être détourné afin de relayer le trafic Internet de tiers, parfois simplement à cause d’un firmware compromis, d’une application contenant un SDK spécifique ou d’une mauvaise configuration.
Dans ce guide, découvrez ce qu’est un proxy résidentiel, pourquoi les cybercriminels cherchent à exploiter votre connexion Internet, comment des appareils connectés peuvent être transformés en nœuds d’un réseau de proxys résidentiels et les bonnes pratiques pour protéger votre réseau domestique.
Un proxy résidentiel est un serveur intermédiaire qui utilise l’adresse IP d’une connexion Internet résidentielle, c’est-à-dire celle d’un particulier, plutôt que celle d’un centre de données ou d’un fournisseur de services cloud.
Lorsqu’une personne ou un logiciel utilise un proxy résidentiel, les sites web voient l’adresse IP du particulier et non celle du véritable utilisateur. Les requêtes semblent donc provenir d’un ordinateur ou d’un foyer « normal », ce qui les rend plus difficiles à détecter ou à bloquer.
Le fonctionnement peut être résumé ainsi :
Une IP résidentielle vaut de l’or pour les cybercriminels
En pratique, une adresse IP résidentielle a beaucoup plus de valeur qu’une adresse IP provenant d’un VPN ou d’un centre de données.
En effet, la plupart des services VPN utilisent des adresses IP appartenant à des fournisseurs de cloud ou à des organisations. Ces plages d’adresses sont bien connues des sites web et peuvent être facilement identifiées, voire bloquées.
À l’inverse, une adresse IP résidentielle appartient à un particulier et est fournie par un fournisseur d’accès à Internet (Orange, Free, SFR, Bouygues Telecom, etc.). Pour un site web, cette connexion ressemble donc à celle d’un utilisateur classique naviguant depuis son domicile.
Créer de nombreux comptes sur des services en ligne
Effectuer du web scraping à grande échelle
Contourner les limitations de débit ou les blocages d’adresses IP
Masquer l’origine d’activités frauduleuses
Ad Fraud peut charger et cliquer sur des publicités en arrière-plan pour générer des revenus publicitaires
C’est pourquoi les réseaux de proxys résidentiels sont devenus très recherchés. Plus un service dispose de connexions Internet résidentielles réparties dans différents pays, plus il est capable de faire passer son trafic pour celui de véritables internautes.
Je pense même qu’un petit tableau serait excellent.
Adresse IP résidentielle
Adresse IP de VPN / Datacenter
Fournie par un FAI
Appartient à un hébergeur ou un fournisseur VPN
Ressemble à un particulier
Facilement identifiable comme un VPN
Plus difficile à bloquer
Souvent présente dans des listes de blocage
Passe plus facilement les systèmes anti-bot
Déclenche plus souvent des CAPTCHA ou des restrictions
Comment un appareil devient-il un proxy résidentiel ?
Contrairement à une idée reçue, il n’est pas toujours nécessaire qu’un ordinateur soit infecté par un malware pour devenir un proxy résidentiel. De nombreux appareils connectés peuvent être détournés de différentes manières afin de relayer le trafic Internet de tiers.
Les méthodes les plus courantes sont les suivantes.
Infection par un malware
Le scénario le plus classique consiste à infecter un ordinateur, un NAS ou un routeur avec un malware. Une fois installé, celui-ci contacte un serveur de commande et de contrôle (C2) et attend les instructions de l’attaquant.
Au lieu de lancer uniquement des attaques DDoS ou d’envoyer du spam, le malware peut également transformer l’appareil en proxy résidentiel. Les connexions de tiers transitent alors par votre accès Internet.
Firmware ou système compromis
Certains appareils sont vendus avec un firmware vulnérable, voire compromis dès leur fabrication ou leur distribution.
Si une porte dérobée (backdoor) est présente ou qu’une faille de sécurité permet une prise de contrôle à distance, l’appareil peut être intégré à un réseau de proxys résidentiels sans que son propriétaire ne s’en aperçoive.
Applications ou SDK préinstallés
Dans certains cas, le problème ne provient pas d’un malware mais d’une application installée par le fabricant ou d’un SDK intégré à une application.
Consultez le paragraphe plus bas de ce guide pour plus de détails.
Services exposés sur Internet
Certains appareils sont accessibles depuis Internet à cause d’une mauvaise configuration.
Par exemple :
ADB (Android Debug Bridge) laissé activé sur une Android TV Box.
Interface d’administration exposée sans protection.
Mots de passe par défaut jamais modifiés.
Failles de sécurité non corrigées.
Ces erreurs permettent à un attaquant de prendre le contrôle de l’appareil et d’y installer un logiciel de relais ou un malware.
Botnets spécialisés dans les objets connectés
Les cybercriminels ciblent de plus en plus les objets connectés (IoT), souvent moins bien protégés que les ordinateurs.
Les appareils les plus visés sont notamment :
Android TV Box
Box IPTV
Téléviseurs connectés
Caméras IP
Routeurs
NAS
Cadres photo connectés
Boîtiers domotiques
Une fois compromis, ces appareils peuvent être regroupés au sein d’un botnet et utilisés comme nœuds d’un vaste réseau de proxys résidentiels.
À retenir : dans de nombreux cas, le propriétaire de l’appareil ne remarque aucun symptôme visible. Son téléviseur, sa caméra ou son routeur continuent de fonctionner normalement, tandis qu’ils relaient discrètement le trafic Internet d’autres utilisateurs ou de cybercriminels. C’est cette discrétion qui rend les réseaux de proxys résidentiels particulièrement difficiles à détecter.
Quels sont les appareils les plus concernés
Tous les appareils connectés à Internet peuvent, en théorie, être détournés pour servir de proxy résidentiel. Toutefois, certains sont plus exposés que d’autres en raison de leur système d’exploitation, de mises à jour de sécurité insuffisantes ou de mauvaises configurations.
Le tableau ci-dessous présente les appareils les plus fréquemment ciblés.
Appareil
Niveau de risque
Pourquoi ?
Android TV Box / Box IPTV
Très élevé
Souvent vendues avec un Android modifié, des applications préinstallées, des mises à jour rares et parfois ADB activé par défaut.
Routeurs et box Internet
Très élevé
Exposés directement à Internet. Une mauvaise configuration ou une faille peut compromettre tout le trafic réseau.
Caméras IP
Très élevé
Mots de passe par défaut, firmwares rarement mis à jour et nombreuses failles connues.
NAS
Élevé
Souvent accessibles depuis Internet et contenant des données sensibles. Ils sont régulièrement ciblés par les attaquants.
Téléviseurs connectés (Smart TV)
Élevé
Certaines applications ou SDK peuvent être utilisés pour relayer du trafic Internet à l’insu de l’utilisateur.
Objets connectés (IoT)
Modéré
Les prises connectées, assistants vocaux ou équipements domotiques peuvent être compromis si leur firmware n’est pas maintenu à jour.
Cadres photo connectés
Modéré
Certains modèles utilisent un firmware peu sécurisé et ne reçoivent pratiquement jamais de mises à jour.
Ordinateurs Windows, Linux ou macOS
Modéré
Généralement compromis après l’installation d’un malware qui transforme l’appareil en nœud de proxy résidentiel.
Smartphones Android
Faible à modéré
Quelques applications malveillantes peuvent transformer le téléphone en proxy résidentiel, mais ce scénario reste moins fréquent.
À retenir : le niveau de risque ne dépend pas uniquement du type d’appareil, mais surtout de son niveau de sécurité. Un appareil régulièrement mis à jour, provenant d’un fabricant reconnu et correctement configuré présente généralement un risque bien plus faible qu’un appareil abandonné ou vendu avec un firmware modifié.
Les Android TV Box et les box IPTV représentent aujourd’hui l’un des risques les plus importants. Plusieurs campagnes récentes ont montré que certains appareils étaient vendus avec des applications ou des composants permettant de relayer du trafic Internet sans que leur propriétaire en soit conscient.
Les routeurs, caméras IP et autres objets connectés sont également très ciblés, car ils restent allumés en permanence et sont souvent mal sécurisés. Un mot de passe par défaut, un firmware obsolète ou un service d’administration exposé sur Internet peut suffire à compromettre l’appareil et à l’intégrer à un réseau de proxys résidentiels.
Exemples récents de réseaux de proxys résidentiels (botnet)
BADBOX 2.0
BADBOX 2.0 est l’un des exemples les plus marquants de l’évolution des botnets vers les réseaux de proxys résidentiels. Contrairement aux botnets classiques, qui infectaient principalement des ordinateurs, BADBOX 2.0 cible des objets connectés (IoT) utilisés au quotidien.
Les appareils concernés sont notamment :
Android TV Box
Boîtiers de streaming
Téléviseurs connectés
Vidéoprojecteurs
Cadres photo numériques
Systèmes multimédias pour véhicules
Autres appareils connectés fonctionnant sous Android
Le FBI indique que ces appareils peuvent être compromis de deux façons :
Le logiciel malveillant est déjà présent avant l’achat, directement dans le firmware ou le système de l’appareil.
L’infection intervient lors de la configuration initiale, lorsqu’une application contenant une porte dérobée (backdoor) est téléchargée depuis une boutique d’applications non officielle.
Une fois connecté à Internet, l’appareil rejoint automatiquement le botnet BADBOX 2.0 et peut être utilisé comme proxy résidentiel. Les cybercriminels peuvent alors relayer leur trafic via votre connexion Internet afin de masquer leur véritable adresse IP.
Selon le FBI, ce réseau est composé de millions d’appareils compromis et est utilisé pour différentes activités malveillantes, notamment :
La revente d’accès à des proxys résidentiels
La fraude publicitaire (Ad Fraud)
Le contournement des systèmes anti-bot
Le web scraping
La création automatisée de comptes
D’autres activités cybercriminelles
Le FBI recommande notamment :
D’éviter les Android TV Box et appareils IoT provenant de marques inconnues ou non certifiées
De ne pas installer d’applications depuis des boutiques non officielles
De maintenir le firmware et les applications à jour
De surveiller le trafic réseau des appareils connectés
BADBOX 2.0 illustre une évolution importante des menaces actuelles : il n’est plus nécessaire qu’un ordinateur soit infecté par un malware pour qu’un cybercriminel exploite votre connexion Internet. Un simple appareil connecté vulnérable ou compromis peut suffire à transformer votre réseau domestique en nœud d’un vaste réseau de proxys résidentiels.
La chaîne YouTube Underscore_ en parle. Il y explique notamment que ce réseau peut aussi viser des chefs d’Entreprises qui peuvent rammener du travail à la maison. Le but pouvant être de voler des données d’entreprises.
Kimwolf
Kimwolf est un botnet Android apparu en 2025, considéré comme l’une des principales évolutions des botnets modernes. Contrairement aux réseaux de machines zombies traditionnels, il cible principalement les Android TV Box, les boîtiers de streaming et d’autres appareils Android connectés au réseau domestique.
Les chercheurs estiment que plus de deux millions d’appareils Android ont été compromis. Kimwolf est étroitement lié au botnet Aisuru, dont il constitue la variante spécialisée pour Android.
Les appareils infectés sont utilisés pour plusieurs activités malveillantes :
Télécharger ou installer d’autres composants malveillants
L’une des particularités de Kimwolf est sa capacité à scanner le réseau local à la recherche d’autres appareils vulnérables. Les chercheurs ont notamment observé qu’il ciblait les Android TV Box et autres équipements Android dont le service Android Debug Bridge (ADB) était exposé sans authentification. Une fois un appareil compromis, celui-ci peut à son tour servir de point d’entrée vers d’autres équipements présents sur le réseau domestique.
Kimwolf illustre également une évolution importante de la cybercriminalité : les appareils compromis ne servent plus uniquement à lancer des attaques DDoS. Les opérateurs du botnet revendent également l’accès aux adresses IP des victimes sous forme de proxys résidentiels, permettant à d’autres cybercriminels de faire transiter leur trafic via des connexions Internet de particuliers. Ces services sont utilisés pour le web scraping, la fraude, le contournement des systèmes anti-bot ou encore la création automatisée de comptes.
Ce botnet rappelle enfin l’importance de désactiver ADB lorsqu’il n’est pas nécessaire, de maintenir les appareils Android à jour et d’éviter les Android TV Box ou boîtiers de streaming provenant de fabricants inconnus ou ne fournissant pas de mises à jour de sécurité régulières.
Les SDK de proxy résidentiel intégrés aux applications
Lorsqu’on parle de réseaux de proxys résidentiels, on imagine souvent un appareil infecté par un malware. Pourtant, ce n’est plus toujours le cas.
Certains développeurs intègrent volontairement un SDK (Software Development Kit) fourni par un service de proxy résidentiel directement dans leur application. En échange d’une rémunération, l’application peut utiliser une partie de la connexion Internet de l’utilisateur pour relayer le trafic d’autres clients du service.
Dans ce scénario :
l’appareil n’est pas infecté par un malware ;
l’application fonctionne normalement et remplit la fonction attendue ;
aucun comportement anormal n’est visible pour l’utilisateur ;
seul une partie de la connexion Internet est utilisée en arrière-plan.
Un malware prend le contrôle de votre appareil sans votre accord. Un SDK de proxy résidentiel peut, lui, utiliser votre connexion avec votre consentement… mais ce consentement est parfois peu clair ou insuffisamment explicite. Le problème est que l’utilisateur n’est pas toujours pleinement informé de cette utilisation. Les conditions d’utilisation peuvent mentionner ce partage de connexion, mais de manière peu visible ou difficile à comprendre.
C’est ce qui rend ces solutions particulièrement controversées : contrairement à un botnet classique, il ne s’agit pas forcément d’une compromission du système, mais d’un mécanisme intégré à une application légitime, qui transforme néanmoins votre appareil en nœud d’un réseau de proxys résidentiels.
Comment cela fonctionne ?
Le principe est relativement simple : le développeur d’une application intègre un SDK (Software Development Kit) fourni par un service de proxy résidentiel. Une fois l’application installée, ce composant permet de relayer une partie du trafic Internet via la connexion de l’utilisateur.
Le fonctionnement peut être résumé ainsi :
Pour l’utilisateur, l’application peut fonctionner normalement. Le téléviseur, la box Android ou l’appareil connecté continue d’afficher le contenu attendu, mais en arrière-plan, une partie de la connexion peut être utilisée pour faire transiter du trafic Internet.
Ce modèle pose plusieurs problèmes :
Problème
Explication
Consentement flou
L’utilisateur ne comprend pas toujours que sa connexion peut être utilisée par des tiers.
Consommation de bande passante
Le trafic relayé peut ralentir la connexion ou augmenter la consommation de données.
Risque de réputation IP
Des activités douteuses peuvent sembler provenir de l’adresse IP de l’utilisateur.
Difficulté de détection
L’appareil peut continuer à fonctionner normalement, sans symptôme évident.
En 2026, des chercheurs ont par exemple signalé que des applications destinées aux Smart TV Samsung et LG pouvaient intégrer un SDK de proxy résidentiel, permettant d’utiliser la connexion Internet des téléviseurs comme nœud de relais. L’information doit être présentée avec prudence, mais elle illustre bien l’évolution du modèle : un appareil peut devenir un proxy résidentiel sans infection visible, simplement via une application installée.
Ce type de fonctionnement montre que les botnets modernes ne reposent plus seulement sur des malwares. Ils peuvent aussi s’appuyer sur des applications, des SDK, des firmwares ou des appareils connectés dont l’utilisateur ne soupçonne pas l’activité réelle en arrière-plan.
Comment savoir si son appareil est utilisé comme proxy résidentiel ?
L’un des principaux problèmes des réseaux de proxys résidentiels est leur discrétion. Dans la plupart des cas, l’appareil continue de fonctionner normalement et son propriétaire ne remarque aucun comportement inhabituel.
Il existe toutefois plusieurs signes qui peuvent alerter.
Les symptômes courants
Symptôme
Signification
Bande passante élevée
Trafic relayé
Beaucoup de connexions
Proxy
Chauffe
CPU
Scans réseau
Bot
Une activité réseau inhabituelle
Un appareil utilisé comme proxy résidentiel échange en permanence des données avec Internet.
Vous pouvez notamment observer :
Une consommation de bande passante anormalement élevée, même lorsque l’appareil est inutilisé.
De nombreuses connexions vers des adresses IP inconnues.
Un trafic réseau important pendant la nuit ou lorsque personne n’utilise l’appareil.
Ces informations peuvent être consultées depuis l’interface d’administration de votre routeur ou à l’aide d’un analyseur de trafic réseau.
Des connexions provenant du réseau local
Certains botnets ne se contentent pas de communiquer avec Internet. Ils tentent également de scanner le réseau local afin de rechercher d’autres appareils vulnérables.
Cela peut se traduire par :
Des tentatives de connexion vers d’autres appareils de votre réseau
Identifier les appareils qui génèrent le plus de trafic
Vérifier les connexions établies vers des serveurs inconnus
À retenir : un appareil utilisé comme proxy résidentiel ne présente pas forcément de symptômes visibles. Dans de nombreux cas, la seule conséquence est une utilisation inhabituelle de votre connexion Internet, tandis que l’appareil continue de fonctionner normalement. C’est ce qui rend ces réseaux particulièrement difficiles à détecter sans surveiller le trafic réseau.
Comment s’en protéger ?
Il est possible de réduire considérablement le risque qu’un appareil soit utilisé comme proxy résidentiel en appliquant quelques bonnes pratiques de sécurité. La plupart des compromissions exploitent des appareils mal sécurisés, des logiciels obsolètes ou des fonctionnalités d’administration laissées actives.
Pour protéger vos appareils connectés :
Achetez des appareils provenant de fabricants reconnus, qui publient régulièrement des mises à jour de sécurité.
Téléchargez uniquement des applications depuis les boutiques officielles (Google Play, Samsung Store, LG Content Store, etc.).
Évitez les Android TV Box et les box IPTV d’origine inconnue, qui sont souvent vendues avec des logiciels modifiés ou des applications préinstallées.
Désactivez ADB (Android Debug Bridge) lorsque vous ne l’utilisez pas.
Remplacez les mots de passe par défaut des routeurs, caméras IP, NAS et autres objets connectés.
N’exposez pas les interfaces d’administration directement sur Internet.
Surveillez régulièrement le trafic réseau de vos appareils afin de détecter une activité inhabituelle.
Isolez les objets connectés sur un réseau Wi-Fi invité ou un VLAN, lorsque votre routeur le permet.
Il est également recommandé de redémarrer régulièrement vos appareils et de supprimer les applications que vous n’utilisez plus, en particulier sur les téléviseurs connectés et les Android TV Box.
À retenir : les appareils les plus exposés sont souvent ceux qui ne reçoivent plus de mises à jour de sécurité ou qui proviennent de fabricants peu connus. Avant d’acheter un objet connecté, vérifiez que le constructeur assure un suivi logiciel et publie régulièrement des correctifs de sécurité.
Conclusion
Les proxys résidentiels illustrent une évolution majeure de la cybercriminalité. Alors que les anciens botnets ciblaient principalement les ordinateurs Windows pour lancer des attaques DDoS ou envoyer du spam, les cybercriminels s’intéressent désormais à la connexion Internet des particuliers, dont les adresses IP sont beaucoup plus difficiles à détecter et à bloquer.
Aujourd’hui, les appareils les plus exposés sont les objets connectés (IoT), et plus particulièrement ceux fonctionnant sous Android, comme les Android TV Box, les box IPTV, les téléviseurs connectés, mais aussi les caméras IP, les routeurs ou d’autres équipements connectés. Certains sont compromis par un malware, tandis que d’autres peuvent embarquer un firmware vulnérable ou une application contenant un SDK de proxy résidentiel.
Cette évolution montre qu’il n’est plus nécessaire d’infecter un ordinateur pour exploiter la connexion Internet d’une victime. Un simple appareil connecté mal sécurisé peut suffire à intégrer un réseau mondial de proxys résidentiels et à relayer le trafic de tiers à l’insu de son propriétaire.
Pour limiter les risques, privilégiez des appareils de fabricants reconnus, maintenez leur firmware à jour, installez uniquement des applications provenant de sources officielles et surveillez régulièrement l’activité de votre réseau. Les objets connectés doivent aujourd’hui être considérés comme de véritables ordinateurs : ils nécessitent les mêmes précautions de sécurité que votre PC ou votre smartphone.
Bonne nouvelle pour les utilisateurs de Windows 10 qui ne peuvent pas encore passer à Windows 11. Microsoft a discrètement prolongé d’une année supplémentaire son programme Extended Security Updates (ESU) gratuit destiné aux particuliers.
Initialement, ce programme permettait de continuer à recevoir des mises à jour de sécurité jusqu’au 12 octobre 2026 après la fin du support de Windows 10. Désormais, les PC inscrits au programme ESU pourront rester protégés jusqu’au 12 octobre 2027.
Une année supplémentaire de mises à jour de sécurité
Windows 10 a officiellement atteint sa fin de support le 14 octobre 2025.
Depuis cette date, Microsoft ne fournit plus de nouvelles fonctionnalités ni de support technique pour Windows 10. En revanche, les utilisateurs inscrits au programme Extended Security Updates (ESU) continuent de recevoir les correctifs de sécurité indispensables pour protéger leur ordinateur contre les nouvelles vulnérabilités.
Microsoft vient de confirmer que cette couverture sera désormais prolongée d’un an pour les particuliers, jusqu’au 12 octobre 2027. Les utilisateurs déjà inscrits n’ont aucune démarche à effectuer : leur protection sera automatiquement prolongée.
Pourquoi Microsoft accorde-t-il une année supplémentaire ?
Interrogé par BleepingComputer, Microsoft explique que de nombreux utilisateurs ont encore besoin de temps pour migrer vers Windows 11 ou remplacer leur ordinateur.
L’entreprise indique vouloir accompagner cette transition en laissant davantage de temps aux particuliers tout en continuant à protéger leur PC contre les nouvelles menaces de sécurité.
Cette décision intervient alors que plusieurs centaines de millions d’ordinateurs utilisent encore Windows 10, dont une partie importante ne répond pas aux exigences matérielles de Windows 11.
Comment bénéficier gratuitement du programme ESU ?
Pour les particuliers, Microsoft continue de proposer plusieurs moyens d’accéder gratuitement au programme ESU.
Selon votre région, il est notamment possible de :
Sauvegarder les paramètres Windows avec un compte Microsoft via l’application Sauvegarde Windows.
Utiliser des points Microsoft Rewards lorsque cette option est proposée.
Dans l’Espace économique européen (EEE), s’authentifier avec un compte Microsoft pour bénéficier de l’inscription gratuite.
Une fois inscrit, le PC continue à recevoir les mises à jour de sécurité distribuées via Windows Update jusqu’au 12 octobre 2027.
Et les entreprises ?
Le changement concerne uniquement le programme gratuit destiné aux particuliers.
Les entreprises continuent de relever du programme ESU payant, qui peut couvrir jusqu’à trois années de mises à jour de sécurité après la fin du support de Windows 10.
Les conditions de ce programme professionnel restent inchangées.
Faut-il rester sous Windows 10 ?
Même si cette prolongation est une bonne nouvelle, elle ne modifie pas la stratégie de Microsoft.
Le programme ESU ne fournit que des mises à jour de sécurité :
Pas de nouvelles fonctionnalités.
Pas d’améliorations majeures de Windows.
Pas de support technique classique.
Pour les utilisateurs dont le matériel est compatible, Microsoft continue de recommander une migration vers Windows 11.
En revanche, cette année supplémentaire permettra aux personnes dont le PC n’est pas encore remplacé de continuer à utiliser Windows 10 avec un niveau de sécurité satisfaisant pendant leur transition.
Conclusion
En prolongeant gratuitement le programme ESU jusqu’en octobre 2027, Microsoft reconnaît implicitement que de nombreux utilisateurs ne sont pas encore prêts à abandonner Windows 10. Cette décision offre un délai supplémentaire pour préparer une migration vers Windows 11 ou renouveler son matériel, tout en continuant à recevoir les correctifs de sécurité essentiels.
Microsoft prépare une importante mise à jour pour Windows 11 qui sera déployée progressivement à partir de la mise à jour facultative de juin, puis généralisée lors du Patch Tuesday de juillet 2026.
Contrairement aux dernières annonces centrées sur Copilot et l’intelligence artificielle, cette mise à jour met l’accent sur des améliorations réclamées depuis longtemps par les utilisateurs : un meilleur contrôle des mises à jour Windows, une restauration système modernisée, des Widgets moins envahissants, une nouvelle fonction d’accessibilité et une meilleure prise en charge du Bluetooth.
Des Widgets enfin moins intrusifs
Microsoft poursuit la refonte des Widgets de Windows 11 avec plusieurs améliorations destinées à rendre cette fonctionnalité moins envahissante au quotidien.
Jusqu’à présent, de nombreux utilisateurs reprochaient aux Widgets d’afficher trop de notifications ou de s’ouvrir automatiquement au simple survol de leur icône dans la barre des tâches.
Avec cette mise à jour, Microsoft modifie ce comportement. Les Widgets deviennent plus discrets et leur affichage est mieux intégré à l’interface de Windows 11.
Parmi les principales améliorations :
Les notifications et badges sont moins envahissants.
Le tableau de bord des Widgets est plus clair et mieux organisé.
Les couleurs s’adaptent davantage au thème clair ou sombre de Windows.
L’ouverture accidentelle des Widgets est réduite grâce à un meilleur contrôle du comportement au survol.
Microsoft améliore également l’expérience sur l’écran de verrouillage avec une présentation plus sobre des informations affichées par les Widgets.
Ces changements répondent à l’une des critiques les plus fréquentes adressées aux Widgets depuis leur introduction dans Windows 11 : ils deviennent plus utiles sans monopoliser l’attention de l’utilisateur.
Suspendre Windows Update avec un calendrier
Microsoft améliore également la gestion des mises à jour Windows en proposant une nouvelle interface plus intuitive pour suspendre temporairement Windows Update.
Jusqu’à présent, les utilisateurs devaient choisir une durée prédéfinie, généralement par tranches d’une semaine, sans toujours savoir précisément à quelle date les mises à jour reprendraient.
Avec cette évolution, Windows 11 affiche désormais un calendrier permettant de sélectionner directement la date jusqu’à laquelle les mises à jour doivent être suspendues.
Cette nouvelle présentation offre plusieurs avantages :
Une meilleure visibilité sur la période de suspension.
Un choix plus simple de la date de reprise des mises à jour.
Une interface plus claire et plus moderne.
Une gestion plus pratique lorsque l’on souhaite éviter une mise à jour pendant une période donnée.
La durée maximale de suspension reste fixée à 35 jours, conformément aux règles actuelles de Windows Update.
Cette amélioration ne modifie donc pas le fonctionnement de Windows Update, mais rend cette fonctionnalité beaucoup plus simple à utiliser, notamment pour les utilisateurs qui souhaitent repousser temporairement l’installation des mises à jour pendant un déplacement, des vacances ou une période de forte activité.
La restauration à un instant dans le passé
L’une des principales nouveautés de cette mise à jour est l’arrivée d’une nouvelle interface baptisée « Restauration à un instant dans le passé », qui modernise enfin la gestion des points de restauration système dans Windows 11.
Jusqu’à présent, cette fonctionnalité reposait sur une interface héritée du Panneau de configuration, quasiment inchangée depuis plusieurs versions de Windows. Microsoft commence désormais à l’intégrer directement dans l’application Paramètres, avec une présentation plus moderne et plus simple à utiliser.
Cette nouvelle interface permet notamment de gérer :
L’activation de la restauration système.
La fréquence de création automatique des points de restauration.
La durée de conservation des instantanés.
L’espace disque réservé aux points de restauration.
La liste des points de restauration disponibles.
Les points de restauration permettent de revenir à un état antérieur du système après une modification importante, comme l’installation d’un pilote, d’un logiciel ou d’une mise à jour Windows ayant provoqué un dysfonctionnement.
Contrairement à une réinitialisation complète de Windows, cette opération restaure les paramètres système et les fichiers système sans supprimer les documents personnels de l’utilisateur.
Microsoft modernise ainsi l’un des outils de dépannage les plus utiles de Windows, tout en offrant davantage de contrôle sur son fonctionnement. Cette évolution devrait également encourager davantage d’utilisateurs à activer les points de restauration, souvent désactivés ou oubliés malgré leur efficacité pour résoudre rapidement certains problèmes.
Si vous souhaitez découvrir cette fonctionnalité en détail, consultez notre guide complet :
Microsoft introduit également une nouvelle fonction d’accessibilité baptisée Teinte de l’écran, destinée à améliorer le confort visuel des utilisateurs.
Contrairement au mode Éclairage nocturne, qui réduit principalement la lumière bleue en réchauffant les couleurs de l’écran, Screen Tint applique une teinte colorée personnalisable à l’ensemble de l’affichage.
L’objectif est de réduire la fatigue visuelle et d’améliorer la lisibilité dans certaines situations, notamment pour les personnes sensibles à la luminosité ou présentant certains troubles de la vision.
Les utilisateurs pourront choisir parmi plusieurs couleurs prédéfinies ou définir leur propre teinte afin d’adapter l’affichage à leurs préférences ou à leurs besoins.
Cette nouvelle fonction vient compléter les outils d’accessibilité déjà présents dans Windows 11, comme la Loupe, les filtres de couleur, le Contraste élevé ou l’Éclairage nocturne.
Même si elle s’adresse en priorité aux personnes ayant des besoins spécifiques, Screen Tint pourra également intéresser les utilisateurs qui passent de longues heures devant leur écran et souhaitent réduire leur fatigue visuelle sans modifier la luminosité ou la température des couleurs.
Une importante mise à jour du Bluetooth
Microsoft poursuit également l’amélioration de la prise en charge du Bluetooth dans Windows 11 avec plusieurs nouveautés destinées à rendre les connexions plus fiables et plus simples à utiliser au quotidien.
L’une des principales évolutions concerne la gestion des nouveaux appareils Bluetooth compatibles avec Bluetooth Low Energy (LE Audio). Windows 11 améliore leur détection et leur configuration afin de simplifier l’appairage et d’offrir une meilleure qualité audio lorsque le matériel est compatible.
Microsoft continue également d’améliorer la stabilité des connexions Bluetooth en corrigeant plusieurs problèmes susceptibles de provoquer des coupures audio, des déconnexions inattendues ou des difficultés de reconnexion après une sortie de veille.
Ces optimisations bénéficient notamment :
Aux casques et écouteurs sans fil.
Aux enceintes Bluetooth.
Aux microphones Bluetooth.
Aux appareils compatibles Bluetooth LE Audio.
Cette mise à jour s’inscrit dans la volonté de Microsoft de faire de Windows 11 une plateforme mieux adaptée aux nouveaux périphériques audio sans fil, dont les performances et les fonctionnalités continuent d’évoluer rapidement.
Même si ces améliorations passent souvent inaperçues, elles devraient contribuer à rendre les connexions Bluetooth plus stables et plus fiables, en particulier sur les ordinateurs portables utilisés quotidiennement avec des périphériques audio sans fil.
Quand seront disponibles ces nouveautés ?
Les fonctionnalités présentées dans cet article sont introduites avec la mise à jour de prévisualisation KB5095093 pour Windows 11 24H2 et 25H2.
Comme il s’agit d’une mise à jour optionnelle, elles ne sont pas encore disponibles sur tous les PC. Microsoft les déploie progressivement grâce au mécanisme de Controlled Feature Rollout (CFR), qui permet d’activer certaines nouveautés par vagues, même si la mise à jour est déjà installée.
Concrètement, deux ordinateurs exécutant la même version de Windows 11 et ayant installé KB5095093 peuvent ne pas disposer exactement des mêmes fonctionnalités. Microsoft active progressivement les nouveautés afin de surveiller leur stabilité et de pouvoir suspendre leur déploiement en cas de problème.
Certaines de ces fonctionnalités seront probablement intégrées aux prochaines mises à jour cumulatives de Windows 11, mais Microsoft ne garantit ni leur date de disponibilité, ni qu’elles seront toutes activées en même temps pour l’ensemble des utilisateurs.
Les utilisateurs qui souhaitent découvrir ces nouveautés dès maintenant peuvent installer la mise à jour facultative KB5095093 depuis Paramètres > Windows Update. Toutefois, leur activation dépendra également du calendrier de déploiement défini par Microsoft.
Conclusion
Avec KB5095093, Microsoft poursuit sa stratégie de faire évoluer Windows 11 par petites étapes plutôt qu’au travers de grandes mises à jour annuelles.
Après le Patch Tuesday de juin 2026, qui a introduit notamment le Low Latency Profile pour améliorer la réactivité du système, Shared Audio pour les périphériques Bluetooth, la prise en charge des caméras multi-applications ou encore plusieurs améliorations de sécurité autour de Secure Boot 2023, cette nouvelle mise à jour de prévisualisation apporte à son tour des fonctionnalités concrètes comme Restauration à un instant dans le passé, une meilleure gestion des Widgets, un calendrier plus pratique pour suspendre Windows Update ou encore la nouvelle fonction Screen Tint.
Microsoft semble ainsi privilégier un développement « au fil de l’eau », où les nouveautés sont intégrées progressivement dans Windows 11 avant d’être activées par vagues grâce au Controlled Feature Rollout (CFR). Cette approche permet d’introduire régulièrement de nouvelles fonctionnalités tout en limitant les risques de régression à grande échelle.
Les prochains mois devraient donc continuer d’apporter de nombreuses évolutions à Windows 11, en particulier à l’approche de la sortie de Windows 11 26H2 prévue à l’automne 2026.
Suivre les actualités Windows par RSS
Recevez automatiquement les dernières actualités Windows, les mises à jour Microsoft, les correctifs de sécurité et les problèmes connus dans votre lecteur RSS favori.
La restauration à un instant dans le passé est une nouvelle fonctionnalité de Windows 11 qui permet de configurer la création automatique d’instants de restauration afin de pouvoir revenir à un état antérieur du système en cas de problème. Vous pouvez notamment définir la fréquence de création, la durée de rétention ainsi que l’espace disque utilisé pour conserver ces instants.
À la différence de la Restauration du système, cette fonctionnalité repose sur un mécanisme de récupération distinct et s’appuie sur le Volume Shadow Copy Service (VSS) pour créer des instantanés du système. Microsoft la déploie progressivement dans les versions Insider de Windows 11 avant sa disponibilité dans les versions stables.
Dans ce guide, découvrez comment accéder aux paramètres de la restauration à un instant dans le passé, activer ou désactiver la fonctionnalité, modifier sa configuration et comprendre le rôle de chaque option. Vous apprendrez également pourquoi certains paramètres peuvent être grisés ou indisponibles selon votre version de Windows 11.
Comment accéder aux paramètres de la restauration à un instant dans le passé
Les paramètres de la restauration à un instant dans le passé sont accessibles depuis l’application Paramètres de Windows 11. C’est depuis cette interface que vous pouvez activer ou désactiver la fonctionnalité, consulter son état et, selon votre version de Windows, modifier certains paramètres comme la fréquence de création des points de restauration, la durée de rétention ou l’espace disque utilisé.
Pour accéder aux paramètres :
Ouvrez Paramètres (Windows + I)
Cliquez sur Système
Ouvrez Récupération
Cliquez sur Restauration à un instant dans le passé
La fenêtre de configuration affiche les différents paramètres de la fonctionnalité ainsi que son état actuel.
Paramètres par défaut et options grisées
La modification des paramètres dépend de l’édition de Windows 11. Ce tableau récapitule les options disponibles par édition de Windows 11 :
Configuration
Par défaut
Options
Editions eligible for configuration
Activer/Désactiver la fonctionnalité
Voir ci-dessous*
On/Off
Famille, Pro, Entreprise
Fréquence des points de restauration (approximative)
Toutes les 24 heures
4, 6, 12, 16, 24 heures
Entreprise seulement
Durée de conservation des points de restauration (approximative)
72 heures
4, 6, 12, 16, 24, 72 heures
Entreprise seulement
Limite maximale d’utilisation
2% du disque
Pourcentage d’espace disque (min. 2 Go ; max. 50 Go équivalents)
Famille, Pro, Entreprise
La restauration à un instant donné sera activée par défaut sur les systèmes non gérés par l’entreprise :
Appareils sous Windows Édition Familiale
Appareils sous Windows Édition Professionnelle qui ne sont pas joints à un domaine et qui ne sont pas inscrits dans la gestion des terminaux d’entreprise
* La restauration à un instant donné sera désactivée par défaut sur les systèmes gérés par l’entreprise jusqu’à Windows 11, version 26H2 :
les appareils sous Windows Édition Entreprise et Édition Éducation
les appareils sous Windows Édition Pro qui sont joints à un domaine ou gérés par une organisation
Activer ou désactiver la restauration à un instant dans le passé
La restauration à un instant dans le passé peut être activée ou désactivée depuis ses paramètres de configuration. Lorsque la fonctionnalité est activée, Windows crée automatiquement des instants de restauration qui pourront être utilisés pour revenir à un état antérieur du système en cas de problème.
Pour activer ou désactiver la fonctionnalité :
Ouvrez Paramètres (Windows + I)
Cliquez sur Système
Ouvrez Récupération
Cliquez sur Restauration à un instant dans le passé
Activez ou désactivez l’interrupteur Activer la restauration à un instant dans le passé
Une fois la fonctionnalité activée, Windows commence à créer automatiquement des instants de restauration selon les paramètres configurés.
Après l’activation, il est recommandé de vérifier les paramètres de fréquence de création, de durée de rétention et d’espace disque alloué afin d’adapter le fonctionnement de la restauration à vos besoins.
Configurer la fréquence des points de restauration
Seulement disponible pour l’édition Entreprise de Windows 11.
La fréquence détermine à quel intervalle Windows crée automatiquement un nouvel instant de restauration. Une fréquence plus élevée offre davantage de points de restauration disponibles, mais peut également augmenter l’espace disque utilisé.
Pour modifier cette valeur :
Ouvrez Paramètres (Windows + I)
Cliquez sur Système
Ouvrez Récupération
Cliquez sur Restauration à un instant dans le passé
Modifiez le paramètre Fréquence des points de restauration
Choisissez ensuite la fréquence souhaitée, puis enregistrez les modifications.
Configurer la durée de rétention
Seulement disponible pour l’édition Entreprise de Windows 11.
La durée de rétention correspond à la période pendant laquelle Windows conserve les instants de restauration avant de les supprimer automatiquement. Une fois ce délai écoulé, les anciens instants sont effacés afin de libérer de l’espace disque et laisser la place aux plus récents.
Pour modifier la durée de rétention :
Ouvrez Paramètres (Windows + I)
Cliquez sur Système
Ouvrez Récupération
Cliquez sur Restauration à un instant dans le passé
Modifiez le paramètre Durée de rétention
Sélectionnez ensuite la durée souhaitée, puis enregistrez les modifications.
Configurer l’espace disque utilisé
La restauration à un instant dans le passé utilise une partie de l’espace disponible sur le disque système afin de stocker les instants de restauration. Plus l’espace alloué est important, plus Windows peut conserver d’instants de restauration avant de supprimer les plus anciens.
Pour modifier cette valeur :
Ouvrez Paramètres (Windows + I)
Cliquez sur Système
Ouvrez Récupération
Cliquez sur Restauration à un instant dans le passé
Modifiez le paramètre Utilisation du disque
Définissez ensuite la quantité d’espace disque que Windows peut utiliser pour enregistrer les instants de restauration.
Lorsque l’espace alloué est atteint, Windows supprime automatiquement les instants de restauration les plus anciens afin de libérer de la place pour les nouveaux. Il est donc recommandé d’allouer suffisamment d’espace si vous souhaitez conserver plusieurs instants de restauration.
Comment créer un point de restauration
À l’heure actuelle, la restauration à un instant dans le passé est encore en cours de développement dans les versions Insider de Windows 11.
Contrairement à la Restauration du système, qui permet de créer manuellement un point de restauration, Microsoft ne propose pas encore de fonctionnalité permettant de créer un instant de restauration à la demande.
Les instants de restauration semblent être créés automatiquement par Windows en fonction des paramètres de la fonctionnalité, notamment la fréquence de création configurée.
En attendant, si vous souhaitez créer un point de restauration avant une modification importante du système, vous pouvez utiliser la Restauration du système, qui permet de créer des points de restauration à tout moment.
Comment fonctionne la restauration à un instant dans le passé de Windows 11 ?
La restauration à un instant dans le passé est une nouvelle fonctionnalité de récupération de Windows 11 conçue pour restaurer rapidement un ordinateur à un état antérieur lorsqu’un problème survient. Contrairement à la Restauration du système classique, elle ne se limite pas aux fichiers système et s’appuie sur une architecture plus moderne basée sur le Volume Shadow Copy Service (VSS).
La restauration à un instant dans le passé repose sur le Volume Shadow Copy Service (VSS), le mécanisme de Windows permettant de créer des clichés instantanés (snapshots) d’un volume sans interrompre son utilisation. Microsoft confirme que les instants de restauration sont créés à partir de snapshots VSS et peuvent être administrés à l’aide de l’outil vssadmin.
Grâce à cette technologie, Windows capture un état cohérent du système tout en continuant à fonctionner normalement.
Que contient un instant de restauration ?
Contrairement à la Restauration du système, qui sauvegarde principalement les fichiers système, les pilotes et le Registre, la restauration à un instant dans le passé enregistre un état beaucoup plus complet de l’ordinateur.
Un instant de restauration peut notamment contenir :
Les fichiers système Windows
Les applications installées
Les paramètres du système
Les paramètres des applications
Les fichiers personnels stockés localement
Les mots de passe, certificats et secrets enregistrés
En revanche, les fichiers synchronisés avec un service cloud, comme OneDrive, ne sont pas restaurés puisqu’ils sont conservés dans le stockage en ligne.
Où sont stockés les instants de restauration ?
Microsoft indique que les instants de restauration utilisent le stockage VSS déjà présent dans Windows.
Autrement dit, ils ne disposent pas d’un espace de stockage indépendant mais partagent l’espace réservé aux clichés VSS avec les autres fonctionnalités qui utilisent cette technologie, comme la Restauration du système.
Microsoft ne précise toutefois pas explicitement si ces snapshots sont enregistrés dans le dossier System Volume Information, même si cela est très probable compte tenu du fonctionnement historique de VSS.
Comment Windows gère l’espace disque ?
Windows réserve une partie de l’espace disque pour stocker les instants de restauration.
Lorsque cette limite est atteinte :
Les instants les plus anciens sont supprimés automatiquement.
Les nouveaux snapshots remplacent progressivement les anciens.
La durée de conservation dépend de la rétention configurée et de l’espace disponible.
Les paramètres de fréquence, de rétention et de taille maximale sont configurables via les paramètres Windows ou par les administrateurs au moyen du Recovery CSP.
Les instants sont créés automatiquement
À l’heure actuelle, Windows crée automatiquement les instants de restauration selon une fréquence définie dans la configuration de la fonctionnalité.
Contrairement à la Restauration du système, il n’est pas encore possible de créer manuellement un instant de restauration. Cette possibilité pourrait toutefois évoluer dans de futures versions de Windows 11.
Une évolution de la Restauration du système
Même si les deux fonctionnalités utilisent VSS, Microsoft présente la restauration à un instant dans le passé comme une évolution importante de la récupération de Windows.
Elle apporte plusieurs améliorations :
Une restauration plus complète de l’ordinateur.
La prise en charge des fichiers personnels locaux.
Une gestion automatique des instants de restauration.
Une configuration directement intégrée dans Paramètres > Système > Récupération.
Une administration à distance pour les environnements professionnels.
Cette nouvelle architecture devrait progressivement remplacer les usages les plus courants de la Restauration du système, tout en coexistant avec celle-ci pendant la période de transition.
Ressources utiles et articles liés
Vous cherchez toutes les solutions pour réparer Windows ?
La restauration à un instant dans le passé est une nouvelle fonctionnalité de récupération de Windows 11 qui permet de revenir à un état antérieur du système lorsqu’un problème survient. Elle peut être utilisée après une mise à jour défectueuse, l’installation d’un pilote incompatible ou d’un logiciel ayant rendu Windows instable.
Bien qu’elle poursuive le même objectif que la Restauration du système, cette fonctionnalité repose sur un mécanisme indépendant et dispose de sa propre interface dans l’Environnement de récupération Windows (WinRE). Les deux outils peuvent d’ailleurs coexister sur un même ordinateur.
Dans ce guide, je vous montre comment fonctionne la restauration à un instant dans le passé, comment y accéder, restaurer Windows 11 avec cette fonctionnalité et comprendre les différences avec les points de restauration système. Vous apprendrez également pourquoi cette option peut être absente sur certains PC et comment l’activer lorsqu’elle sera disponible.
Qu’est-ce que la restauration à un instant dans le passé ?
La restauration à un instant dans le passé est une nouvelle fonctionnalité de récupération introduite dans Windows 11. Elle permet de revenir à un état antérieur du système lorsqu’un problème survient, par exemple après l’installation d’une mise à jour, d’un pilote ou d’un logiciel.
Son fonctionnement est similaire à celui de la Restauration du système, mais il s’agit d’un mécanisme de récupération distinct. Contrairement aux points de restauration système, cette fonctionnalité n’est pas accessible directement depuis Windows. Elle s’utilise uniquement depuis l’Environnement de récupération Windows (WinRE), accessible via les options de récupération ou le démarrage avancé.
Lors de la restauration, Windows rétablit l’ordinateur à l’état dans lequel il se trouvait à la date du point de restauration sélectionné. Toutes les modifications effectuées après cet instant sont supprimées, notamment :
Les documents créés ou modifiés
Les téléchargements
Les applications et fonctionnalités installées
Les paramètres système
Les mises à jour Windows
Les mots de passe, certificats et clés enregistrés
En revanche, les données stockées dans des services cloud, comme OneDrive, ne sont pas supprimées, puisqu’elles sont synchronisées avec le stockage en ligne.
Attention : cette opération peut entraîner une perte de données. Avant de lancer une restauration, assurez-vous que les fichiers importants créés après le point de restauration ont été sauvegardés.
À l’heure actuelle, la restauration à un instant dans le passé est en cours de déploiement dans les versions Insider de Windows 11. Elle n’est donc pas encore disponible sur tous les ordinateurs, même si la Restauration du système est activée.
Quelle est la différence avec la Restauration du système ?
Bien que leur objectif soit similaire, la restauration à un instant dans le passé et la Restauration du système sont deux fonctionnalités distinctes de Windows 11.
La Restauration du système existe depuis de nombreuses années et s’appuie sur des points de restauration créés automatiquement ou manuellement. La restauration à un instant dans le passé est, quant à elle, une nouvelle fonctionnalité de récupération actuellement en cours de déploiement dans Windows 11.
Le tableau ci-dessous résume les principales différences connues entre ces deux outils.
Restauration à un instant dans le passé
Restauration du système
Nouvelle fonctionnalité de Windows 11
Fonction disponible depuis plusieurs versions de Windows
En cours de déploiement
Disponible sur Windows 11/10
Accessible depuis une entrée dédiée de l’environnement de récupération Windows (WinRE)
Accessible depuis Windows et depuis WinRE
Mécanisme de récupération indépendant de la Restauration du système
Repose sur des points de restauration système
Peut coexister avec la Restauration du système
Peut être utilisée indépendamment de la restauration à un instant dans le passé
Ne semble pas nécessiter l’activation de la Protection du système*
Nécessite d’activer la Protection du système pour créer des points de restauration
Toutes les versions de Windows 11 ne disposent pas encore de cette fonctionnalité
Disponible sur la plupart des installations de Windows 11/10
Si vous utilisez déjà la Restauration du système, il est recommandé de continuer à l’activer. Les deux fonctionnalités ne sont pas exclusives et peuvent être proposées simultanément dans les options de récupération de Windows.
Comment restaurer Windows 11 avec cette fonctionnalité
Une fois la restauration à un instant dans le passé lancée depuis l’environnement de récupération Windows (WinRE), un assistant vous guide tout au long de la procédure de restauration.
Les étapes peuvent légèrement évoluer au fil des versions Insider de Windows 11, mais le principe reste identique.
Pour restaurer Windows :
Si vous utilisez un PC portable, branchez le au secteur.
Sélectionnez Restauration à un instant dans le passé
Choisissez l’instant de restauration que vous souhaitez utiliser
Confirmez votre choix en cliquant sur Continuer
Un avertissement s’affiche, cliquez sur Restaurer pour continuer
Pendant cette opération, Windows restaure le système à l’état correspondant à l’instant sélectionné. L’ordinateur peut redémarrer automatiquement une ou plusieurs fois avant la fin du processus.
Attention : la durée de la restauration dépend de la configuration de votre ordinateur et de la quantité de données à traiter. N’éteignez pas le PC et ne l’interrompez pas tant que l’opération n’est pas terminée.
À l’issue de la restauration, Windows redémarre normalement et vous pouvez vérifier si le problème rencontré a été corrigé.
Remarque : cette fonctionnalité étant encore en cours de développement dans les versions Insider de Windows 11, Microsoft peut modifier son interface ou son fonctionnement avant son déploiement dans la version finale. Cette page sera mise à jour à mesure que de nouvelles informations seront disponibles.
Les risques et précautions avant de restaurer Windows
Avant d’utiliser la restauration à un instant dans le passé, il est important de comprendre que cette fonctionnalité effectue une restauration complète de l’état du système. Toutes les modifications apportées après l’instant de restauration sélectionné seront perdues.
Avant de lancer la restauration, il est recommandé de sauvegarder les fichiers importants créés ou modifiés après la date du point de restauration.
Les risques pendant la restauration
Microsoft indique que plusieurs situations peuvent empêcher la création ou la restauration correcte d’un instant de restauration :
Un espace disque insuffisant
Une forte activité du disque (E/S importantes)
Un dysfonctionnement du service Volume Shadow Copy Service (VSS)
Dans certains cas, l’ordinateur peut également ne plus démarrer correctement après la restauration si le système était déjà endommagé avant l’opération.
Vérifier le système après la restauration
Une restauration peut également supprimer des mises à jour de sécurité, des stratégies de sécurité ou certaines modifications récentes apportées à Windows.
Une fois l’opération terminée, il est recommandé de :
Vérifier le bon fonctionnement de Windows
Installer les dernières mises à jour via Windows Update
Contrôler les applications récemment installées
Vérifier que les paramètres de sécurité sont toujours correctement configurés
Pourquoi l’option n’apparaît-elle pas ?
Si vous ne voyez pas l’option Restauration à un instant dans le passé dans l’environnement de récupération Windows (WinRE), cela ne signifie pas nécessairement qu’un problème est présent sur votre ordinateur.
À l’heure actuelle, cette fonctionnalité est en cours de déploiement par Microsoft et n’est disponible que sur certaines versions Insider de Windows 11. Elle n’est donc pas encore proposée sur toutes les installations.
Plusieurs raisons peuvent expliquer son absence :
Vous utilisez une version stable de Windows 11.
Votre build Insider ne prend pas encore en charge cette fonctionnalité.
Le déploiement progressif n’a pas encore atteint votre appareil.
Microsoft peut limiter son activation à certains canaux Insider ou à certaines configurations matérielles.
Il est également important de noter que cette fonctionnalité est indépendante de la Restauration du système. Vous pouvez donc avoir la Protection du système activée et disposer de points de restauration, sans pour autant voir apparaître l’option Restauration à un instant dans le passé dans WinRE.
Inversement, lorsque cette nouvelle fonctionnalité est disponible, elle peut coexister avec la Restauration du système. Les deux outils apparaissent alors séparément dans les options de récupération de Windows et utilisent des mécanismes distincts.
Si vous souhaitez utiliser cette fonctionnalité, assurez-vous d’installer la dernière build Insider compatible et de maintenir votre système à jour. Microsoft devrait progressivement la rendre disponible auprès d’un plus grand nombre d’utilisateurs avant son intégration dans une version stable de Windows 11.
Aller plus loin pour restaurer Windows 11
La restauration à un instant dans le passé constitue une nouvelle solution de récupération de Windows 11, mais elle n’est pas la seule. Selon la nature du problème rencontré, d’autres outils intégrés à Windows peuvent être plus adaptés.
Si vous souhaitez revenir à un état antérieur du système sans réinstaller Windows, vous pouvez utiliser les points de restauration système :
En revanche, si Windows est fortement endommagé ou que vous souhaitez repartir sur une installation propre, la fonctionnalité Réinitialiser ce PC permet de réinstaller Windows 11 en conservant ou en supprimant vos fichiers personnels.
Lorsque j’installe Windows 11 sur un nouveau PC ou après une réinstallation complète, je n’installe pas immédiatement des dizaines de logiciels. Au contraire, je préfère commencer par quelques applications soigneusement choisies qui couvrent les besoins essentiels : navigation web, sécurité, gestion des mots de passe, surveillance du matériel, stockage et maintenance du système.
Au fil des années, j’ai testé de nombreux logiciels. Certains sont devenus inutiles avec l’évolution de Windows, tandis que d’autres sont devenus incontournables. Dans cet article, je vous présente les applications que j’installe systématiquement après une nouvelle installation de Windows 11 afin d’obtenir un système plus sûr, plus pratique et plus facile à maintenir.
Vous découvrirez également les extensions que j’ajoute à Firefox ainsi que les logiciels que je n’utilise plus aujourd’hui malgré leur popularité passée.
Ma configuration logicielle en un coup d’œil
Si je devais réinstaller Windows 11 aujourd’hui, voici les logiciels que j’installerais en priorité. Cette sélection couvre les besoins essentiels : navigation web, sécurité, stockage, surveillance du matériel et entretien du système.
Firefox : mon navigateur par défaut après chaque installation de Windows
Le premier logiciel que j’installe après une nouvelle installation de Windows 11 est Firefox. Même si Microsoft Edge est désormais un excellent navigateur, Firefox reste selon moi le meilleur compromis entre performances, respect de la vie privée et personnalisation.
Développé par Mozilla, Firefox se distingue par son moteur indépendant de Chromium et par sa politique plus respectueuse des données personnelles. Il offre également une excellente compatibilité avec les sites modernes tout en restant léger et rapide au quotidien.
Ses principaux avantages :
Respect renforcé de la vie privée
Protection intégrée contre le pistage publicitaire
Grande stabilité
Nombreuses extensions disponibles
Synchronisation des favoris, mots de passe et onglets
Personnalisation avancée de l’interface
Firefox constitue une excellente alternative à Chrome pour les utilisateurs qui souhaitent davantage de contrôle sur leur navigation et leurs données personnelles.
Les extensions que j’installe immédiatement
Après l’installation de Firefox, j’ajoute systématiquement quelques extensions qui améliorent la sécurité et le confort de navigation.
uBlock Origin
uBlock Origin reste l’un des meilleurs bloqueurs de publicités disponibles. Il supprime les publicités intrusives, réduit le pistage publicitaire et accélère souvent le chargement des pages web.
Ses bénéfices sont immédiats :
Moins de publicités
Navigation plus rapide
Réduction du trafic réseau inutile
Meilleure lisibilité des pages
Malwarebytes Browser Guard
Malwarebytes Browser Guard ajoute une couche de protection supplémentaire contre les sites malveillants, le phishing, les arnaques en ligne et certains scripts de suivi.
Pourquoi Firefox fait partie de ma configuration idéale
Avec Firefox, uBlock Origin, Malwarebytes Browser Guard et Bitwarden, la majorité des besoins sont couverts dès les premières minutes après l’installation de Windows. Vous disposez immédiatement d’un navigateur rapide, sécurisé, respectueux de votre vie privée et prêt pour une utilisation quotidienne.
Bitwarden : ne plus jamais réutiliser le même mot de passe
Après l’installation du navigateur web, Bitwarden est l’un des premiers logiciels que j’installe. Ce gestionnaire de mots de passe permet de stocker tous vos identifiants dans un coffre-fort sécurisé et de générer des mots de passe uniques pour chaque site.
Ses principaux avantages :
Générer des mots de passe robustes
Stocker ses identifiants en toute sécurité
Synchroniser ses mots de passe entre plusieurs appareils
Remplir automatiquement les formulaires de connexion
Grâce à Bitwarden, il n’est plus nécessaire de mémoriser des dizaines de mots de passe différents ou de réutiliser le même mot de passe sur plusieurs sites.
La réutilisation des mots de passe reste l’une des principales causes de piratage de comptes. Bitwarden permet d’utiliser facilement des mots de passe uniques et complexes pour chaque service tout en simplifiant les connexions au quotidien.
C’est probablement l’un des logiciels qui apporte le plus de sécurité pour le moins d’effort.
Malekal Windows Hardener : renforcer la sécurité de Windows en quelques clics
Après l’installation de Windows, j’utilise Malekal Windows Hardener (MWH) pour appliquer rapidement plusieurs recommandations de sécurité. Cet outil gratuit permet de renforcer Windows sans avoir à modifier manuellement de nombreux paramètres avancés.
Il permet notamment de :
Renforcer Microsoft Defender
Activer certaines protections avancées
Désactiver des fonctionnalités obsolètes ou peu sécurisées
Durcir la configuration du pare-feu Windows
Réduire la surface d’attaque du système
Un complément à Microsoft Defender
Contrairement à un antivirus, MWH ne recherche pas les virus présents sur l’ordinateur. Son rôle est préventif.
L’idée est de limiter les possibilités d’exploitation avant même qu’une menace ne puisse s’exécuter. Cette approche de durcissement (hardening) complète parfaitement Microsoft Defender et les protections du navigateur.
Les deux outils travaillent donc ensemble :
Microsoft Defender détecte les menaces
MWH réduit les possibilités d’attaque
Malekal Windows Hardener outil essentiel de sécurité
Contrairement à un antivirus qui détecte les menaces, MWH agit de manière préventive en limitant les possibilités d’exploitation du système. En quelques clics, il permet d’améliorer significativement la sécurité de Windows tout en conservant une utilisation simple au quotidien.
WizTree : savoir immédiatement ce qui occupe votre espace disque
WizTree est l’un des premiers outils que j’installe après une nouvelle installation de Windows. Il analyse le disque en quelques secondes et affiche précisément les fichiers et dossiers qui occupent le plus d’espace.
Il permet notamment de :
Identifier les fichiers les plus volumineux
Repérer les dossiers qui saturent le disque
Retrouver rapidement les téléchargements oubliés
Visualiser l’occupation du stockage
Pourquoi WizTree fait partie de ma configuration idéale
Lorsqu’un SSD commence à se remplir, WizTree permet de trouver immédiatement la cause du problème. Rapide, simple et très efficace, c’est l’un des meilleurs outils pour gérer l’espace disque sous Windows.
BleachBit : nettoyer Windows sans logiciels inutiles
BleachBit est un utilitaire gratuit et open source qui permet de supprimer les fichiers temporaires, caches et autres données inutiles accumulées par Windows et les applications.
Il permet notamment de :
Libérer de l’espace disque
Supprimer les fichiers temporaires
Nettoyer les caches des navigateurs
Effacer certaines traces d’utilisation
Pourquoi BleachBit fait partie de ma configuration idéale
BleachBit se concentre sur l’essentiel sans ajouter de fonctions d’optimisation inutiles. Léger, efficace et transparent, il permet de maintenir facilement un système propre et de récupérer rapidement de l’espace disque.
CrystalDiskInfo : surveiller la santé de vos disques
CrystalDiskInfo est un utilitaire gratuit qui permet de vérifier l’état de santé des SSD et des disques durs grâce aux informations SMART fournies par le matériel. En quelques secondes, il affiche les indicateurs essentiels pour détecter un disque défaillant avant qu’il ne provoque une perte de données.
Il permet notamment de :
Vérifier l’état de santé du disque
Surveiller la température
Consulter les heures de fonctionnement
Détecter les premiers signes de défaillance
Contrôler l’usure des SSD
Un outil indispensable pour éviter les mauvaises surprises
Une panne de disque peut entraîner la perte de fichiers importants sans avertissement. CrystalDiskInfo permet de surveiller régulièrement l’état de vos périphériques de stockage et d’anticiper les problèmes avant qu’ils ne deviennent critiques. C’est un outil simple, léger et indispensable pour protéger ses données.
HWiNFO : surveiller les températures et diagnostiquer le matériel
HWiNFO est l’un des outils les plus complets pour surveiller l’état du matériel d’un ordinateur. Il permet d’afficher en temps réel les températures, tensions, fréquences et informations détaillées des principaux composants du PC.
Il permet notamment de :
Surveiller les températures du processeur et de la carte graphique
Contrôler les fréquences et les tensions
Vérifier la vitesse des ventilateurs
Identifier précisément les composants installés
Détecter d’éventuels problèmes de surchauffe
Pourquoi je l’installe systématiquement HWiNFO sur Windows 11
Les problèmes de température sont une cause fréquente de ralentissements, de plantages et d’instabilités. HWiNFO permet de vérifier rapidement que le processeur, la carte graphique et les autres composants fonctionnent dans des conditions normales. C’est un outil incontournable pour diagnostiquer les problèmes matériels et surveiller la santé globale du PC.
Les logiciels que je n’installe plus systématiquement
Au fil des années, certains logiciels étaient considérés comme incontournables après une installation de Windows. Pourtant, avec l’évolution de Windows 11, l’amélioration des outils intégrés et l’apparition de nouvelles alternatives, plusieurs applications ont perdu une grande partie de leur intérêt.
Cela ne signifie pas qu’il s’agit de mauvais logiciels, mais simplement qu’ils ne font plus partie de ma configuration par défaut.
Les antivirus tiers
Pendant longtemps, installer un antivirus tiers était presque obligatoire après une installation de Windows. Aujourd’hui, Microsoft Defender offre un niveau de protection suffisant pour la majorité des utilisateurs.
Associé à un navigateur sécurisé, à Malwarebytes Browser Guard, à Bitwarden et à quelques bonnes pratiques, il permet déjà de bénéficier d’une protection efficace sans ajouter de logiciel supplémentaire.
CCleaner
CCleaner a longtemps été la référence du nettoyage Windows. Toutefois, les versions récentes de Windows intègrent déjà de nombreux outils de maintenance et de nettoyage.
Pour les opérations de nettoyage ponctuelles, je préfère aujourd’hui utiliser BleachBit ou les outils intégrés de Windows, qui répondent à la plupart des besoins.
Driver Booster et les logiciels de mise à jour de pilotes
Les logiciels de mise à jour automatique des pilotes promettent souvent de trouver les pilotes les plus récents pour l’ensemble du matériel. Dans la pratique, ils peuvent parfois installer des versions inadaptées ou provoquer des problèmes de stabilité.
Dans la majorité des cas, Windows Update et les sites officiels des fabricants restent les méthodes les plus fiables pour mettre à jour les pilotes.
Les optimiseurs Windows
De nombreux logiciels prétendent accélérer Windows en nettoyant le Registre, en optimisant la mémoire ou en appliquant des réglages automatiques.
Sur les versions modernes de Windows, ces optimisations apportent rarement un gain mesurable et peuvent parfois provoquer davantage de problèmes qu’elles n’en résolvent.
Je préfère identifier les causes réelles d’un ralentissement avec des outils comme HWiNFO, Process Explorer ou Autoruns plutôt que d’utiliser des optimiseurs génériques.
Les packs de codecs
Autrefois, l’installation de packs de codecs était souvent nécessaire pour lire certains formats vidéo. Aujourd’hui, VLC prend en charge la quasi-totalité des formats multimédias sans configuration particulière.
Pour la plupart des utilisateurs, il n’est donc plus nécessaire d’installer de codecs supplémentaires.
Les suites de sécurité tout-en-un
Certaines suites regroupent antivirus, VPN, gestionnaire de mots de passe, nettoyage système et optimisation des performances dans une seule application.
Je préfère généralement utiliser des outils spécialisés pour chaque besoin :
Microsoft Defender pour la protection du système
Bitwarden pour les mots de passe
Firefox et Malwarebytes Browser Guard pour la navigation
BleachBit pour le nettoyage
Cette approche offre davantage de contrôle et évite d’installer des logiciels particulièrement lourds.
Ce que j’utilise à la place
Aujourd’hui, ma configuration de base reste volontairement simple :
Firefox avec uBlock Origin et Malwarebytes Browser Guard
Bitwarden
Malekal Windows Hardener
WizTree
BleachBit
Avec seulement quelques logiciels soigneusement choisis, il est possible de disposer d’un système rapide, sécurisé et facile à maintenir sans multiplier les applications inutiles.
Les autres logiciels indispensables à découvrir
Les cinq logiciels présentés dans ce guide constituent ma configuration de base après une nouvelle installation de Windows. Ils couvrent l’essentiel : navigation web, sécurité, gestion des mots de passe, stockage et nettoyage du système.
Cependant, selon vos besoins, de nombreux autres outils peuvent compléter efficacement votre installation. Bureautique, multimédia, dépannage, réparation système, compression de fichiers, surveillance du matériel ou encore personnalisation de Windows, il existe de nombreuses applications gratuites qui peuvent vous faire gagner du temps au quotidien.
Pour découvrir une sélection plus complète, consultez également notre guide :
Vous y trouverez notamment des logiciels comme LibreOffice, PDF24 Creator, VLC, 7-Zip, CrystalDiskInfo, PowerToys, FRST, HWiNFO, Malekal Rescue Center, FixWin 11 et bien d’autres outils utiles pour équiper et maintenir efficacement votre PC.
Aller plus loin pour entretenir et stabiliser Windows
Installer les bons logiciels constitue une excellente base, mais cela ne suffit pas toujours à garantir un système rapide, stable et fiable sur le long terme. Quelques bonnes pratiques d’entretien permettent également d’éviter les ralentissements, les erreurs système et les problèmes de stabilité qui apparaissent souvent après plusieurs mois d’utilisation.
Pour apprendre à entretenir efficacement votre ordinateur, consultez notre guide complet :
Vous y trouverez des conseils pour gérer le stockage, surveiller l’état du matériel, maintenir Windows à jour et conserver un système performant au quotidien.
Si vous souhaitez éviter les plantages, écrans bleus, redémarrages intempestifs ou autres problèmes de stabilité, consultez également :
Vous découvrirez les principales causes d’instabilité d’un PC ainsi que les bonnes pratiques pour conserver un système fiable et éviter les pannes les plus courantes.
Microsoft déploie la mise à jour de prévisualisation KB5095093 pour Windows 11 24H2 et 25H2. Cette mise à jour optionnelle introduit plusieurs nouveautés, dont une nouvelle fonction baptisée « Restauration à un instant dans le passé », qui modernise la gestion des points de restauration système.
Cette évolution permet de mieux contrôler la création, la conservation et l’utilisation des instantanés système depuis une interface plus moderne. Elle peut notamment aider les utilisateurs à revenir plus facilement à un état précédent après un problème logiciel, une mise à jour défaillante ou l’installation d’un pilote instable.
KB5095093 apporte également plusieurs corrections et améliorations autour de Secure Boot 2023, du panneau emoji, de la Corbeille, du réseau, de l’authentification et des badges de notification dans la barre des tâches.
Une interface modernisée pour les points de restauration
Jusqu’à présent, les points de restauration Windows reposaient principalement sur une interface héritée du Panneau de configuration datant de plusieurs versions de Windows.
Microsoft commence désormais à intégrer cette fonctionnalité directement dans l’application Paramètres avec une nouvelle interface plus moderne. Celle-ci est disponible dans : Paramètres Windows > Système > Récupération > Restauration à un instant dans le passé.
La nouvelle page permet notamment de gérer :
L’activation de la restauration système
La fréquence de création des points de restauration
La durée de conservation des instantanés
L’espace disque utilisé
La liste des points de restauration disponibles
L’objectif est de rendre cette fonctionnalité plus accessible aux utilisateurs tout en conservant son fonctionnement traditionnel.
Les points de restauration permettent d’enregistrer un état du système avant une modification importante.
En cas de problème après :
Une mise à jour Windows
Une installation de pilote
L’installation d’un logiciel
Une modification de la configuration système
il devient possible de revenir à un état précédent sans réinstaller Windows.
Les fichiers personnels de l’utilisateur ne sont pas affectés par cette opération.
Une fréquence et une rétention configurables
L’une des nouveautés visibles dans cette interface est la possibilité de définir plus facilement :
La fréquence de création des points de restauration
La durée de conservation des instantanés
L’espace maximal utilisé sur le disque
Microsoft semble ainsi vouloir offrir davantage de contrôle sur la gestion automatique des points de restauration.
Une fonctionnalité utile pour le dépannage
Même si elle est parfois oubliée par les utilisateurs, la restauration système reste l’un des outils les plus efficaces pour résoudre rapidement certains problèmes de Windows.
Elle permet notamment de revenir en arrière après :
Un pilote défectueux
Une mise à jour problématique
Une mauvaise configuration du système
Certains logiciels incompatibles
La modernisation de cette fonction pourrait donc encourager davantage d’utilisateurs à l’activer.
Les autres nouveautés de KB5095093
La nouvelle interface de restauration système n’est pas la seule nouveauté introduite dans KB5095093. Microsoft continue également de faire évoluer plusieurs composants de Windows 11.
Une nouvelle expérience de migration PC à PC
Microsoft poursuit le développement de l’outil de migration permettant de transférer plus facilement ses données d’un ancien PC vers un nouveau.
Les Paramètres de Windows affichent désormais davantage d’éléments liés à cette future fonctionnalité, même si celle-ci n’est pas encore entièrement disponible.
À terme, Microsoft souhaite proposer une expérience similaire à celle d’un smartphone, avec un transfert simplifié des paramètres, fichiers et préférences entre deux ordinateurs Windows.
Des améliorations de la recherche dans les Paramètres
Microsoft améliore également la recherche intégrée à l’application Paramètres.
Les résultats sont désormais plus pertinents et permettent de retrouver plus facilement certaines options système sans parcourir manuellement les différentes catégories.
Une meilleure gestion des applications par défaut
Windows 11 continue d’évoluer pour simplifier la gestion des applications par défaut.
Microsoft apporte plusieurs ajustements destinés à rendre plus cohérent le choix des navigateurs, lecteurs multimédias et autres applications associées aux différents types de fichiers.
Des améliorations pour les PC Copilot+
Plusieurs optimisations concernent les PC équipés d’un NPU.
Microsoft continue d’améliorer les fonctionnalités d’intelligence artificielle locales ainsi que les performances de certains traitements exécutés directement sur l’appareil.
Des corrections pour l’Explorateur de fichiers
KB5095093 apporte également plusieurs correctifs pour l’Explorateur de fichiers.
Microsoft corrige notamment différents problèmes d’affichage, de stabilité et de réactivité signalés par les utilisateurs des versions Insider.
Un déploiement plus large des certificats Secure Boot 2023
KB5095093 améliore également le ciblage des appareils éligibles aux nouveaux certificats Secure Boot 2023.
Microsoft indique que Windows utilise désormais davantage de données de fiabilité afin d’identifier les PC pouvant recevoir automatiquement les nouveaux certificats. Le déploiement reste toutefois progressif : les appareils ne reçoivent les certificats qu’après avoir présenté suffisamment de signaux positifs lors des précédentes mises à jour.
Cette approche vise à éviter les problèmes de compatibilité avec certains firmwares UEFI, tout en élargissant progressivement le nombre de PC préparés à l’expiration des anciens certificats Secure Boot de 2011.
Microsoft modifie également le fonctionnement du panneau emoji accessible avec le raccourci Windows + ..
Les GIF intégrés au panneau emoji utilisent désormais GIPHY, après l’abandon de l’API Google Tenor. À partir du 30 juin 2026, les utilisateurs devront installer les dernières mises à jour Windows pour continuer à utiliser les GIF depuis ce panneau.
Sans mise à jour récente, Windows affichera un message indiquant que le service GIF n’est pas disponible.
Le bug de la Corbeille corrigé
KB5095093 corrige aussi un problème apparu après la mise à jour de sécurité de juin 2026 KB5094126.
Dans certains cas, la boîte de confirmation affichée lors de la suppression définitive d’un fichier pouvait montrer un nom interne de la Corbeille au lieu du nom réel du fichier supprimé.
Ce bug n’entraînait pas de perte de données, mais pouvait semer la confusion chez les utilisateurs. Il est désormais corrigé avec cette mise à jour de prévisualisation.
Microsoft corrige également plusieurs problèmes liés aux environnements professionnels.
La mise à jour améliore les connexions sécurisées Netlogon entre les serveurs membres et les contrôleurs de domaine, notamment dans les environnements où les contrôleurs de domaine ont été configurés avant 2025.
Windows améliore aussi la fiabilité des connexions aux ressources réseau partagées, y compris certains accès utilisés par des applications ou des fonctions système.
Des badges de notification plus fiables dans la barre des tâches
Enfin, KB5095093 corrige plusieurs problèmes d’affichage des badges de notification dans la barre des tâches.
Les compteurs et indicateurs visuels des applications devraient désormais se mettre à jour plus correctement, ce qui permet de mieux suivre les notifications et activités récentes.
Conclusion
Avec « Restauration à un instant dans le passé », Microsoft poursuit la modernisation progressive des outils historiques de Windows. Cette nouvelle interface facilite la gestion des points de restauration et pourrait rendre la restauration système plus accessible aux utilisateurs qui souhaitent sécuriser leur PC avant une modification importante.
Suivre les actualités Windows par RSS
Recevez automatiquement les dernières actualités Windows, les mises à jour Microsoft, les correctifs de sécurité et les problèmes connus dans votre lecteur RSS favori.
Microsoft Defender Antivirus protège Windows 11 et Windows 10 contre les virus, logiciels malveillants, ransomwares et autres menaces de sécurité. Pour assurer cette protection, plusieurs mécanismes travaillent ensemble : protection en temps réel, protection cloud, protection contre les falsifications, accès contrôlé aux dossiers et services de sécurité Windows.
Lorsque l’un des composants de Microsoft Defender Antivirus ne fonctionne plus correctement, il peut devenir impossible d’activer certaines protections. Vous pouvez alors rencontrer différents symptômes : protection en temps réel désactivée, protection cloud indisponible, message « Ce paramètre est géré par votre administrateur », état « Obtention des informations de protection », erreurs dans l’Observateur d’événements ou protections qui restent inactives malgré leur activation.
Dans ce guide, nous verrons comment identifier l’origine du problème, analyser les erreurs de Microsoft Defender Antivirus, vérifier les services de sécurité et comprendre pourquoi les protections antivirus ne peuvent plus être activées sur Windows 11/10.
Pourquoi la protection en temps réel de Microsoft Defender ne s’active plus ?
Lorsque Microsoft Defender Antivirus ne parvient plus à démarrer correctement, plusieurs mécanismes de sécurité peuvent devenir inactifs en même temps. Il est alors fréquent de constater que les boutons d’activation ne répondent plus, que certaines protections restent désactivées ou que l’application affiche des messages d’erreur.
Le tableau suivant présente les symptômes les plus fréquents ainsi que leurs causes possibles :
Symptôme constaté
Cause possible
Protection en temps réel désactivée
Service WinDefend arrêté ou défaillant
Protection cloud inactive
Services Microsoft Defender Antivirus indisponibles
Stratégie de groupe, modification du registre ou service Defender défaillant
Obtention des informations de protection… en permanence
Interface Sécurité Windows incapable de communiquer avec Defender
Erreur 0x8007043c dans l’Observateur d’événements
Service ou composant Microsoft Defender Antivirus en échec
Protection contre les virus et menaces inaccessible
Service WinDefend ou package SecHealthUI corrompu
Toutes les protections sont grisées ou désactivées
Moteur Defender non fonctionnel
Contrairement à ce que l’on pourrait penser, ces symptômes ne signifient pas toujours que Microsoft Defender Antivirus est désinstallé. Dans de nombreux cas, l’application Sécurité Windows reste accessible, mais les services de protection ne démarrent plus correctement. Les différentes protections (temps réel, cloud, falsification, accès contrôlé aux dossiers, etc.) deviennent alors inopérantes même si leur interface reste visible.
La première étape consiste donc à identifier précisément le composant en échec en vérifiant les services Microsoft Defender Antivirus ainsi que les événements enregistrés dans Microsoft-Windows-Windows Defender/Operational.
Impossible d’activer la protection en temps réel
La protection en temps réel est l’un des principaux mécanismes de sécurité de Microsoft Defender Antivirus. Elle analyse en permanence les fichiers, processus et téléchargements afin de détecter et bloquer les menaces avant qu’elles ne puissent s’exécuter sur le système.
Lorsque cette protection ne s’active plus, plusieurs comportements peuvent être observés :
Le bouton Protection en temps réel revient automatiquement sur Désactivé
L’option est grisée ou inaccessible
Aucun message d’erreur explicite n’est affiché
La page Protection contre les virus et menaces indique que votre appareil est vulnérable
L’application reste bloquée sur Obtention des informations de protection…
Dans la majorité des cas, ce problème est provoqué par :
Cause
Description
Service WinDefend arrêté
Le moteur antivirus ne démarre plus
Antivirus tiers installé
Microsoft Defender est désactivé automatiquement
Stratégie de groupe
Une stratégie interdit l’activation de la protection
L’interface ne communique plus avec le moteur antivirus
Fichiers système endommagés
Certains composants Defender ne fonctionnent plus correctement
Si plusieurs protections sont simultanément désactivées (temps réel, cloud, protection contre les falsifications, accès contrôlé aux dossiers), le problème provient généralement du service Microsoft Defender Antivirus lui-même et non de la seule protection en temps réel.
Dans ce cas, vérifiez d’abord l’état des services Microsoft Defender ainsi que les erreurs enregistrées dans l’Observateur d’événements avant d’entreprendre une réparation plus avancée.
Protection cloud désactivée
La protection cloud de Microsoft Defender Antivirus permet de compléter l’analyse locale en interrogeant les services de sécurité Microsoft. Lorsqu’un fichier suspect est détecté, Defender peut comparer son empreinte avec les informations de sécurité les plus récentes afin d’améliorer la détection des menaces.
Lorsque cette protection est désactivée, Microsoft Defender continue généralement de fonctionner, mais il perd une partie de ses capacités de détection avancée et de réaction rapide face aux nouvelles menaces.
Les symptômes les plus fréquents sont :
Le bouton Protection basée sur le cloud reste désactivé
L’activation échoue sans message d’erreur clair
La protection se désactive à nouveau après quelques secondes
La page Protection contre les virus et menaces affiche des avertissements de sécurité
Les causes les plus courantes sont :
Cause
Description
Service Microsoft Defender défaillant
Le moteur antivirus ne fonctionne plus correctement
Protection en temps réel désactivée
Certaines protections avancées deviennent indisponibles
Stratégie de groupe
Une stratégie bloque les fonctionnalités cloud
Modification du Registre
Les paramètres Defender ont été désactivés
Outil d’optimisation ou de confidentialité
Certaines applications désactivent volontairement les services cloud de Microsoft
Antivirus tiers
Microsoft Defender fonctionne en mode limité ou désactivé
Lorsque la protection cloud est désactivée en même temps que la protection en temps réel ou la protection contre les falsifications, le problème provient généralement d’un dysfonctionnement plus global de Microsoft Defender Antivirus.
Dans ce cas, vérifiez l’état des services Microsoft Defender ainsi que les erreurs présentes dans Microsoft-Windows-Windows Defender/Operational afin d’identifier le composant défaillant.
Protection contre les falsifications indisponible
La protection contre les falsifications (Tamper Protection) empêche les logiciels malveillants, scripts ou utilisateurs non autorisés de modifier les paramètres de sécurité de Microsoft Defender Antivirus.
Lorsqu’elle est active, elle protège notamment :
Les paramètres antivirus
La protection en temps réel
La protection cloud
Certaines clés du Registre Windows liées à Defender
Les stratégies de sécurité critiques
Lorsque cette protection devient indisponible ou reste désactivée, l’application Sécurité Windows peut afficher :
Un message indiquant que la protection est désactivée
Un bouton d’activation qui ne répond pas
Une erreur lors de l’activation
L’état Obtention des informations de protection…
Le message Ce paramètre est géré par votre administrateur
Les causes les plus fréquentes sont :
Cause
Description
Service Microsoft Defender défaillant
Le moteur antivirus ne fonctionne plus correctement
Protection en temps réel inactive
La protection contre les falsifications devient indisponible
Stratégie de groupe ou Registre
Une configuration bloque certaines fonctionnalités Defender
Outil d’optimisation ou de confidentialité
Certains utilitaires désactivent les protections avancées
Antivirus tiers
Microsoft Defender est placé dans un état limité
Application Sécurité Windows corrompue
L’interface ne parvient plus à afficher l’état réel des protections
Dans de nombreux cas, la protection contre les falsifications n’est pas la cause du problème mais une conséquence d’un dysfonctionnement plus général de Microsoft Defender Antivirus.
Si la protection en temps réel, la protection cloud et la protection contre les falsifications sont simultanément désactivées, vérifiez en priorité l’état du service WinDefend ainsi que les événements enregistrés dans Microsoft-Windows-Windows Defender/Operational.
Ce paramètre est géré par votre administrateur ou organisation
Il est fréquent que Sécurité Windows affiche le message :
« Ce paramètre est géré par votre administrateur »
à côté de la protection en temps réel, de la protection cloud ou de la protection contre les falsifications.
Dans un environnement professionnel, ce message est généralement normal. Il indique qu’une stratégie de groupe ou une politique de sécurité définie par l’administrateur contrôle certains paramètres de Microsoft Defender Antivirus.
En revanche, sur un ordinateur personnel, ce message peut apparaître alors qu’aucune stratégie d’entreprise n’a été configurée.
Les causes les plus fréquentes sont :
Cause
Description
Stratégie de groupe
Un paramètre Defender est imposé par l’administrateur
Modification du Registre
Une clé désactive certaines fonctionnalités de sécurité
Outil de confidentialité ou d’optimisation
Des stratégies Windows ont été appliquées automatiquement
Antivirus tiers
Microsoft Defender est partiellement désactivé
Logiciel malveillant
Certaines protections Defender ont été neutralisées
Service Microsoft Defender défaillant
L’application ne parvient plus à récupérer l’état réel des protections
Par exemple, vous pouvez rencontrer ce message « « Ce paramètre est géré par votre administrateur » » dans la Protection dans le Cloud ou l’envoie automatique d’un échantillon. Inspectez alors la clé suivante :
Désactive la fonctionnalité Block at First Sight qui permet à Microsoft Defender de bloquer rapidement des fichiers inconnus en s’appuyant sur le Cloud Microsoft. Lorsque la valeur est activée, Defender devient moins réactif face aux nouvelles menaces.
SubmitSamplesConsent
Définit le comportement d’envoi automatique d’échantillons suspects vers Microsoft pour analyse. Permet de contrôler si les fichiers détectés peuvent être transmis au service Cloud de Microsoft Defender.
SpyNetReporting
Configure le niveau de participation au service Microsoft MAPS (Microsoft Active Protection Service), désormais intégré à la protection Cloud de Microsoft Defender. Cette valeur détermine si Defender peut envoyer des informations de télémétrie et de réputation afin d’améliorer la détection des menaces.
Désactiver des fonctionnalités ou protection de Microsoft Defender
Il est également possible que certaines stratégies Windows aient été créées par un logiciel de personnalisation, de confidentialité ou de suppression de composants Windows. Certains outils anti-bloatware ou anti-télémétrie modifient le Registre ou les stratégies de groupe afin de désactiver certaines fonctionnalités du système. Dans ce cas, Sécurité Windows peut afficher ce message même sur un ordinateur personnel qui n’est rattaché à aucun domaine d’entreprise.
Enfin, certains logiciels malveillants tentent également de désactiver Microsoft Defender Antivirus afin d’échapper à la détection. Ils peuvent modifier des stratégies, des services ou certains paramètres du Registre pour empêcher le démarrage normal des protections.
Lorsque ce message apparaît en même temps que :
Une protection en temps réel désactivée
Une protection cloud inactive
Une protection contre les falsifications indisponible
L’état Obtention des informations de protection…
Des boutons d’activation qui ne répondent pas
le problème provient généralement d’un dysfonctionnement de Microsoft Defender Antivirus plutôt que d’une véritable stratégie d’administration. Il est alors recommandé de vérifier les services Defender ainsi que les erreurs enregistrées dans Microsoft-Windows-Windows Defender/Operational.
Le menu « Protection contre les virus et menaces » a disparu
Dans certains cas, la rubrique Protection contre les virus et menaces disparaît totalement de l’application Sécurité Windows.
Ce comportement peut être provoqué par une stratégie de groupe ou une clé du registre configurée pour masquer certaines sections de l’interface de Microsoft Defender Antivirus.
Par exemple, la clé suivante peut entraîner la disparition de la protection antivirus :
Lorsqu’elle est activée, Windows masque certaines parties de l’interface de sécurité afin d’empêcher leur utilisation ou leur affichage.
Les causes les plus fréquentes sont :
Une stratégie de groupe appliquée sur l’ordinateur
Un script PowerShell ou un fichier REG
Un logiciel d’administration système
Un malware ayant modifié la configuration de sécurité
Un outil d’optimisation ou de désactivation de Microsoft Defender
Si le menu a disparu sans action volontaire de votre part, il est recommandé de vérifier les stratégies Windows et d’effectuer une analyse antivirus complète du système.
Vérifier les erreurs dans l’Observateur d’événements
Lorsque Microsoft Defender Antivirus ne parvient plus à démarrer correctement, les informations affichées dans Sécurité Windows sont parfois insuffisantes pour identifier l’origine du problème. L’Observateur d’événements permet alors d’obtenir des détails plus précis sur les erreurs rencontrées par les composants de sécurité.
Pour accéder aux journaux Defender :
Appuyez sur Windows + R
Saisissez eventvwr.msc
Ouvrez Observateur d’événements
Développez Journaux des applications et des services
Ouvrez Microsoft > Windows > Windows Defender
Cliquez sur Operational
Les événements enregistrés dans ce journal permettent souvent d’identifier rapidement le composant défaillant.
Événements fréquemment rencontrés
ID
Description
3002
Une fonction de protection Microsoft Defender Antivirus n’a pas pu démarrer correctement
3004
Une fonctionnalité de protection est désactivée ou indisponible
5001
Le moteur Microsoft Defender Antivirus a rencontré un problème
5007
Une modification de configuration Defender a été détectée
5013
Une fonctionnalité de sécurité a été bloquée ou désactivée
1150 à 1151
Problèmes liés à la protection en temps réel ou à l’analyse antivirus
Par exemple, l’événement 3002 est souvent observé lorsque la protection en temps réel, la protection cloud ou d’autres composants de sécurité ne parviennent plus à s’initialiser correctement.
Rechercher une erreur 0x8007043c
Dans certains cas, l’événement affiche l’erreur : 0x8007043c
Cette erreur apparaît généralement lorsque le service Microsoft Defender Antivirus ou l’un de ses composants ne démarre pas correctement.
Elle peut être accompagnée de symptômes comme :
Protection en temps réel désactivée
Protection cloud indisponible
Protection contre les falsifications inactive
Message « Ce paramètre est géré par votre administrateur »
État Obtention des informations de protection…
Si plusieurs événements d’erreur sont enregistrés simultanément dans le journal Windows Defender/Operational, cela indique généralement un problème plus global affectant le moteur Microsoft Defender Antivirus ou ses services associés.
L’analyse des événements constitue souvent l’étape la plus efficace pour comprendre pourquoi les protections antivirus ne peuvent plus être activées.
Vérifier les services Microsoft Defender Antivirus
Lorsque Microsoft Defender Antivirus ne parvient plus à démarrer correctement, plusieurs services de sécurité peuvent être arrêtés ou rencontrer des erreurs.
Pour vérifier leur état :
Appuyez sur Windows + R
Saisissez services.msc
Recherchez les services suivants
Service
Nom système
Antivirus Microsoft Defender
WinDefend
Service d’inspection réseau
WdNisSvc
Centre de sécurité Windows
wscsvc
Pare-feu Windows Defender
mpssvc
Web Threat Defense
webthreatdefsvc
Le service Web Threat Defense dépend lui-même du composant WTD qui charge le pilote wtd.sys.
Si l’un de ces services est arrêté ou ne démarre pas correctement, certaines protections de Microsoft Defender Antivirus peuvent devenir indisponibles.
Toutefois, ne modifiez pas leur configuration sans avoir identifié l’origine du problème. L’objectif de cette vérification est avant tout de confirmer qu’un dysfonctionnement affecte les composants de sécurité.
Vous pouvez vérifier l’état des principaux services de sécurité Microsoft Defender avec la commande PowerShell suivante :
Les services essentiels doivent normalement être dans l’état Running (En cours d’exécution). Si l’un d’eux est arrêté, désactivé ou absent, cela peut expliquer pourquoi certaines protections Microsoft Defender Antivirus ne peuvent plus être activées.
Vérifier qu’un logiciel malveillant n’a pas désactivé Microsoft Defender
Certains logiciels malveillants tentent de neutraliser Microsoft Defender Antivirus afin d’échapper à la détection. Ils peuvent notamment :
Désactiver certains services Defender
Modifier des stratégies de groupe
Modifier le Registre Windows
Désactiver la protection en temps réel
Empêcher l’activation des protections cloud ou contre les falsifications
Si vous suspectez une infection, essayez d’effectuer une analyse avec Malwarebytes Anti-Malware (MBAM). Lorsqu’un logiciel malveillant désactive Microsoft Defender Antivirus, il peut également empêcher l’installation ou le démarrage des outils de sécurité. Si Malwarebytes refuse de s’installer, se ferme immédiatement ou ne fonctionne pas correctement, cela peut être un signe supplémentaire d’infection. Dans ce cas, consultez notre guide de désinfection ou demandez de l’aide sur le forum Malekal :
Si les protections antivirus restent désactivées après les vérifications précédentes, cela indique généralement un problème plus profond affectant Microsoft Defender Antivirus ou ses composants de sécurité.
Les causes les plus fréquentes sont :
Une application Sécurité Windows corrompue
Des services Microsoft Defender défaillants
Un antivirus tiers mal désinstallé
Des stratégies ou modifications du Registre bloquant Defender
Des composants système endommagés
La résolution du problème dépend de son origine. Les méthodes de réparation peuvent inclure :
La réinitialisation de l’application Sécurité Windows
La réinstallation de Microsoft Defender Antivirus
La suppression des stratégies bloquantes
La réparation des composants Windows
La réinstallation des packages de sécurité
Comme ces opérations nécessitent plusieurs manipulations détaillées, nous les avons regroupées dans un guide dédié.
Si les protections antivirus restent désactivées malgré toutes les réparations, il peut être nécessaire d’effectuer une réparation de Windows sans perte de données afin de restaurer l’ensemble des composants de sécurité du système.
Alors que Microsoft prépare activement Windows 11 26H2 pour une sortie à l’automne 2026, l’entreprise a commencé à déployer automatiquement Windows 11 25H2 sur certains PC encore sous des versions plus anciennes du système.
Cette stratégie n’a rien de nouveau chez Microsoft, mais elle confirme que Windows 11 25H2 devient désormais la version de référence avant l’arrivée de Windows 11 26H2.
Les utilisateurs concernés peuvent ainsi voir Windows Update proposer automatiquement la mise à jour vers Windows 11 25H2, même sans avoir lancé manuellement le processus.
Quels PC sont concernés ?
Microsoft cible principalement les appareils exécutant une version de Windows 11 qui approche de sa fin de support.
Comme lors des précédents déploiements automatiques, l’objectif est d’éviter que des PC continuent à fonctionner avec une version qui ne recevra bientôt plus de correctifs de sécurité.
Cette approche concerne principalement :
Les éditions Familiale et Professionnelle de Windows 11
Les appareils gérés par Windows Update
Les PC arrivant à proximité de leur date de fin de support
Les entreprises disposant d’outils de gestion centralisée conservent généralement le contrôle du déploiement.
Pourquoi Microsoft pousse Windows 11 25H2 ?
Microsoft prépare progressivement l’écosystème Windows à l’arrivée de Windows 11 26H2.
partagent la même base technique et le même noyau Windows (Germanium).
Grâce à cette architecture commune, la migration vers Windows 11 26H2 devrait être particulièrement rapide pour les utilisateurs déjà présents sur Windows 11 25H2.
Microsoft cherche donc à placer le plus grand nombre possible d’appareils sur cette base commune avant la prochaine mise à jour annuelle.
Une mise à niveau beaucoup plus rapide
Contrairement aux grandes mises à jour Windows du passé, Windows 11 25H2 s’installe à l’aide d’un petit package d’activation.
La plupart des composants sont déjà présents dans Windows 11 24H2 et sont simplement activés lors de la mise à niveau.
Cette méthode permet :
Une installation plus rapide
Un téléchargement plus léger
Moins de risques d’incompatibilité
Un redémarrage plus court
Microsoft utilisera la même approche pour Windows 11 26H2.
Cette accélération du déploiement intervient quelques jours seulement après la confirmation officielle de Windows 11 26H2.
Microsoft a indiqué que la future version :
Arrivera à l’automne 2026
Ne nécessitera pas de nouveau matériel
Sera compatible avec les PC déjà capables d’exécuter Windows 11 25H2
Utilisera la même base technique que 24H2 et 25H2
Les utilisateurs qui passeront aujourd’hui à Windows 11 25H2 devraient donc bénéficier d’une transition particulièrement simple vers Windows 11 26H2 lorsqu’elle sera disponible.
Où est passée Windows 11 26H1 ?
Cette annonce soulève également une question fréquente : pourquoi Microsoft passe-t-il directement à Windows 11 26H2 ?
L’entreprise a confirmé l’existence d’une version interne baptisée Windows 11 26H1. Toutefois, cette branche repose sur un noyau Windows différent et n’est pas destinée au grand public.
Les utilisateurs de Windows 11 classiques passeront donc directement de 24H2 ou 25H2 vers 26H2.
Les utilisateurs des éditions Familiale disposent de peu de possibilités pour empêcher définitivement ce type de mise à jour lorsque leur version approche de la fin du support.
Les éditions Professionnelle et Entreprise offrent davantage d’options grâce aux stratégies de groupe, à Windows Update for Business ou aux outils de gestion informatique.
Pour la majorité des utilisateurs, Microsoft recommande toutefois d’accepter la mise à niveau afin de continuer à recevoir les mises à jour de sécurité et les futures évolutions de Windows 11.
Conclusion
Le déploiement automatique de Windows 11 25H2 montre que Microsoft entre désormais dans la dernière phase de préparation avant la sortie de Windows 11 26H2.
En poussant davantage de PC vers 25H2, l’entreprise simplifie la future migration vers 26H2 et réduit le nombre d’appareils exécutant des versions proches de leur fin de support.
Pour les utilisateurs, cette mise à jour constitue donc avant tout une étape intermédiaire vers la prochaine grande version de Windows 11 attendue à l’automne 2026.
Suivre les actualités Windows par RSS
Recevez automatiquement les dernières actualités Windows, les mises à jour Microsoft, les correctifs de sécurité et les problèmes connus dans votre lecteur RSS favori.
Microsoft travaille sur une amélioration de Windows 11 destinée à mieux diagnostiquer les écrans noirs, gels d’affichage et crashs de pilotes graphiques affectant les cartes AMD, NVIDIA et Intel.
Grâce à une nouvelle fonctionnalité baptisée DirectX Dump Files (DDF), Windows 11 26H2 pourra enregistrer davantage d’informations lors d’un incident graphique afin d’aider les développeurs et fabricants de pilotes à identifier plus rapidement l’origine des problèmes.
Cette évolution concerne la gestion des GPU connectés et déconnectés à chaud (Hotplug), une fonctionnalité de plus en plus importante avec la généralisation des stations d’accueil Thunderbolt, des GPU externes (eGPU) et des PC portables professionnels.
Selon les dernières versions Insider de Windows 11, Microsoft prépare un nouveau mécanisme capable d’améliorer considérablement la détection et la gestion des cartes graphiques lorsque leur état change pendant que le système est en fonctionnement.
Un problème ancien de Windows
Aujourd’hui, Windows ne gère pas toujours correctement certains changements liés aux cartes graphiques.
Les utilisateurs peuvent notamment rencontrer :
Des écrans noirs temporaires
Une mauvaise détection du GPU actif
Des problèmes après la sortie de veille
Des dysfonctionnements lors du branchement d’une station d’accueil
Une gestion imparfaite des GPU externes (eGPU)
Ces problèmes peuvent toucher aussi bien les cartes AMD que NVIDIA ou Intel puisqu’ils sont liés à la manière dont Windows gère les périphériques graphiques.
Une correction d’un problème de timeout (TDR)
Microsoft travaille sur un problème qui touche depuis longtemps les cartes graphiques AMD, NVIDIA et Intel : les erreurs de type TDR (Timeout Detection and Recovery).
Ces incidents se manifestent généralement par :
Un écran noir temporaire
Un gel de l’affichage
Un redémarrage du pilote graphique
Des plantages dans les jeux ou les applications 3D
Les joueurs et utilisateurs de logiciels 3D connaissent souvent ce type de problème : l’écran devient noir pendant quelques secondes, le pilote graphique redémarre et Windows affiche un message indiquant que le pilote d’affichage a cessé de répondre avant d’être récupéré automatiquement.
Même si Windows 11 24H2 et 25H2 ont déjà introduit plusieurs améliorations via le modèle de pilotes graphiques WDDM 3.2, Microsoft estime que les outils de diagnostic restent insuffisants.
Pour résoudre ce problème, Windows 11 26H2 introduira une nouvelle fonctionnalité DirectX baptisée DirectX Dump Files (DDF).
Le principe est similaire aux fichiers de vidage mémoire (Memory Dump) utilisés lors des écrans bleus. Lorsqu’un crash graphique ou un événement TDR survient, Windows pourra générer automatiquement un fichier .DXDMP contenant un instantané complet de l’état du GPU au moment du problème.
Ces fichiers incluront notamment :
Les informations matérielles du GPU
La version du pilote graphique
Les informations DirectX
L’état de Windows
Les données de l’application concernée
Les informations relatives au crash ou au gel de l’affichage
Microsoft espère ainsi permettre aux développeurs de jeux, aux fabricants de pilotes graphiques et aux éditeurs de logiciels de diagnostiquer beaucoup plus facilement les problèmes affectant les cartes AMD, NVIDIA et Intel.
Même si cette nouveauté ne supprimera pas les crashs graphiques, elle devrait considérablement accélérer leur identification et leur correction.
Une nouvelle gestion du « GPU Hotplug »
Microsoft travaille actuellement sur une nouvelle fonctionnalité baptisée GPU Hotplug.
L’objectif est de permettre à Windows 11 de mieux gérer l’ajout ou la suppression d’une carte graphique sans nécessiter de redémarrage ou de réinitialisation complète du pilote graphique.
Cette amélioration devrait être particulièrement utile pour :
Les stations d’accueil Thunderbolt
Les boîtiers eGPU
Les PC portables professionnels multi-écrans
Les configurations hybrides avec plusieurs GPU
Windows pourrait ainsi réagir plus rapidement lorsqu’un GPU devient disponible ou lorsqu’il est déconnecté.
Un avantage pour AMD, NVIDIA et Intel
L’un des points les plus intéressants est que cette amélioration ne semble pas dépendre d’un constructeur particulier.
Contrairement à certaines optimisations spécifiques aux pilotes graphiques, la nouvelle gestion du GPU Hotplug est intégrée directement dans Windows.
Les utilisateurs de cartes :
AMD Radeon
NVIDIA GeForce et RTX
Intel Arc et GPU intégrés Intel
pourraient donc tous bénéficier de cette évolution.
Microsoft cherche ainsi à améliorer la stabilité globale de Windows lorsqu’un changement matériel affecte le sous-système graphique.
Une fonctionnalité déjà visible dans les versions Insider
Les premières références à cette amélioration ont été découvertes dans les versions Insider de Windows 11.
Microsoft n’a pas encore communiqué officiellement sur sa date de déploiement, mais sa présence dans les builds de test montre que le développement est déjà bien avancé.
Comme souvent avec les fonctionnalités Insider, il est possible que certains détails évoluent avant une disponibilité générale.
Une nouveauté qui pourrait arriver avec Windows 11 26H2
Même si Microsoft n’a confirmé aucun calendrier précis, cette amélioration pourrait faire partie des nouveautés attendues dans Windows 11 26H2.
L’entreprise travaille actuellement sur plusieurs optimisations du sous-système graphique, notamment pour les PC portables, les stations d’accueil USB4 et Thunderbolt ainsi que les configurations utilisant plusieurs écrans.
La nouvelle gestion du GPU Hotplug s’inscrit parfaitement dans cette stratégie visant à améliorer l’expérience utilisateur sur les configurations modernes.
Pourquoi cette amélioration est importante
Pour de nombreux utilisateurs, le problème peut sembler anecdotique. Pourtant, avec la montée en puissance des PC portables professionnels, des docks USB4 et des GPU externes, la gestion dynamique des cartes graphiques devient un enjeu important.
Une meilleure prise en charge du GPU Hotplug pourrait réduire les problèmes d’affichage, améliorer la stabilité après une sortie de veille et limiter certains bugs liés aux changements de configuration graphique.
Si Microsoft poursuit son développement comme prévu, Windows 11 pourrait enfin disposer d’une gestion des GPU plus moderne et mieux adaptée aux usages actuels.
Conclusion
Même si Windows 11 26H2 ne supprimera pas à lui seul les écrans noirs et les crashs graphiques, Microsoft prépare des outils capables d’améliorer considérablement leur diagnostic.
Grâce aux nouveaux DirectX Dump Files, les fabricants de pilotes et les développeurs disposeront de davantage d’informations pour identifier l’origine des erreurs TDR et des gels d’affichage qui touchent encore les cartes AMD, NVIDIA et Intel.
Cette évolution pourrait permettre des correctifs plus rapides et une meilleure stabilité graphique dans les futures versions de Windows 11.
Tous les derniers articles Windows 11
Recevez automatiquement les dernières actualités Windows, les mises à jour Microsoft, les correctifs de sécurité et les problèmes connus dans votre lecteur RSS favori.
Microsoft a commencé à confirmer officiellement plusieurs détails concernant Windows 11 26H2, la prochaine grande mise à jour annuelle de son système d’exploitation attendue pour l’automne 2026.
Même si l’entreprise n’a pas encore annoncé publiquement toutes les nouveautés, plusieurs indices découverts dans les dernières versions Insider Preview montrent que le développement de Windows 11 26H2 est déjà bien avancé. Microsoft a également confirmé que la mise à jour reposera sur la même plateforme de base que Windows 11 24H2 et 25H2.
Cette approche devrait permettre un déploiement plus rapide et limiter les problèmes de compatibilité lors de la mise à niveau.
Une sortie prévue pour l’automne 2026
Selon les informations découvertes dans les dernières versions Insider, Microsoft prépare actuellement Windows 11 26H2 pour une disponibilité générale à l’automne 2026.
Cette échéance correspond au rythme adopté par Microsoft depuis plusieurs années avec une mise à jour majeure par an :
Windows 11 23H2 en 2023
Windows 11 24H2 en 2024
Windows 11 25H2 en 2025
Windows 11 26H2 attendu en 2026
Microsoft n’a pas encore communiqué de date précise, mais un lancement entre septembre et novembre paraît le scénario le plus probable.
Les PC compatibles avec Windows 11 25H2 le seront aussi avec 26H2
L’une des informations les plus importantes concerne la compatibilité matérielle.
Microsoft confirme que les appareils capables d’exécuter Windows 11 25H2 pourront également recevoir Windows 11 26H2 sans nouvelle exigence matérielle.
Les prérequis restent donc inchangés :
Processeur compatible Windows 11
TPM 2.0
Secure Boot
4 Go de mémoire minimum
64 Go d’espace disque
Les utilisateurs n’auront donc pas à remplacer leur matériel pour passer à cette nouvelle version.
Une mise à jour rapide comme Windows 11 25H2
Windows 11 26H2 devrait utiliser la même stratégie que Windows 11 25H2.
Plutôt que de déployer une nouvelle plateforme complète, Microsoft active progressivement les nouvelles fonctionnalités déjà présentes dans les builds de Windows 11 grâce à un petit package d’activation.
Cette méthode présente plusieurs avantages :
Installation plus rapide
Téléchargement plus léger
Risque réduit d’incompatibilités
Déploiement simplifié pour les entreprises
Les utilisateurs de Windows 11 25H2 pourraient ainsi bénéficier d’une mise à niveau comparable à une mise à jour cumulative classique.
Pourquoi Windows 11 26H1 n’est pas destiné au grand public
En découvrant les premières informations sur Windows 11 26H2, certains utilisateurs pourraient être surpris de constater l’absence d’une version 26H1 destinée au grand public.
Microsoft a pourtant bien développé une version baptisée Windows 11 26H1, mais celle-ci est réservée à un usage très spécifique. Contrairement aux versions 24H2, 25H2 et 26H2 qui partagent la même base technique, Windows 11 26H1 repose sur un noyau Windows différent.
Cette version sert principalement de plateforme de développement pour certaines fonctionnalités et technologies internes de Microsoft. Elle est notamment utilisée dans certains canaux Insider et pour tester des évolutions qui ne sont pas encore destinées à une diffusion générale.
Microsoft confirme d’ailleurs qu’un appareil exécutant Windows 11 26H1 ne pourra pas être mis à niveau directement vers Windows 11 26H2. Les utilisateurs concernés devront suivre un chemin de migration différent vers une future version de Windows.
Pour les particuliers et les entreprises utilisant les versions classiques de Windows 11, cela n’a toutefois aucun impact. Les PC sous Windows 11 24H2 ou 25H2 recevront normalement Windows 11 26H2 lors de sa disponibilité à l’automne 2026.
En pratique, Windows 11 26H1 doit être considéré comme une branche technique distincte, tandis que Windows 11 26H2 constitue la véritable mise à jour annuelle destinée au grand public.
Windows 11 26H1 existe bien.
Il utilise un noyau Windows différent.
Il n’est pas destiné au grand public.
Les PC sous Windows 11 24H2 et 25H2 passeront directement à Windows 11 26H2.
Aucune nouvelle exigence matérielle n’est prévue pour 26H2.
Même si Microsoft n’a pas encore dévoilé la liste complète des nouveautés de Windows 11 26H2, tout indique que l’intelligence artificielle continuera d’occuper une place centrale.
Depuis l’arrivée des PC Copilot+, Microsoft multiplie les fonctionnalités basées sur l’IA :
Recall
Click to Do
Recherche Windows améliorée
Actions intelligentes dans l’Explorateur de fichiers
Optimisations pour les NPU
Windows 11 26H2 devrait poursuivre cette orientation avec de nouvelles fonctionnalités destinées aux PC équipés d’un processeur neuronal (NPU).
Un développement déjà visible dans les versions Insider
Plusieurs références à Windows 11 26H2 ont été découvertes dans les versions Insider récemment publiées par Microsoft.
Ces éléments montrent notamment que Microsoft travaille déjà sur :
Les mécanismes de mise à niveau
Les règles de compatibilité
Les stratégies de déploiement
Le cycle de support de la future version
Cela confirme que la prochaine version annuelle de Windows 11 est désormais entrée dans sa phase active de développement.
Que se passera-t-il pour Windows 11 24H2 et 25H2 ?
Comme pour les versions précédentes, Microsoft continuera à prendre en charge Windows 11 24H2 et 25H2 pendant plusieurs années après la sortie de Windows 11 26H2.
Les utilisateurs ne seront donc pas obligés de migrer immédiatement vers la nouvelle version.
Toutefois, Microsoft devrait progressivement concentrer les nouvelles fonctionnalités sur 26H2, tandis que les versions précédentes continueront principalement à recevoir des correctifs de sécurité et de stabilité.
Conclusion
Les premiers détails concernant Windows 11 26H2 confirment la stratégie adoptée par Microsoft depuis plusieurs années : une mise à jour annuelle, des exigences matérielles inchangées et un déploiement simplifié grâce à un package d’activation.
Même si les nouveautés restent encore largement inconnues, Microsoft confirme déjà que les PC compatibles avec Windows 11 25H2 pourront passer à Windows 11 26H2 sans modification matérielle. Une bonne nouvelle pour les utilisateurs qui craignaient de nouvelles restrictions de compatibilité.
Suivre les actualités Windows par RSS
Recevez automatiquement les dernières actualités Windows, les mises à jour Microsoft, les correctifs de sécurité et les problèmes connus dans votre lecteur RSS favori.