30TB Seagate Ironwolf Pro and EXOS HDD Review – When is Enough, Enough?

The arrival of 30TB capacity hard drives from Seagate — in the form of the IronWolf Pro ST30000NT011 and the Exos M ST30000NM004K — marks another incremental step in high-capacity storage for NAS and enterprise environments. Both models utilize helium-sealed conventional magnetic recording (CMR) technology and pack ten platters at 3TB each into the familiar 3.5-inch form factor. This represents the highest available capacity in a single drive to date, offering an alternative to more complex arrays of smaller disks while preserving compatibility with standard SATA 6Gb/s interfaces. These drives maintain a 7200 RPM spindle speed, 512MB cache, and sustained transfer rates approaching 275MB/s, making them suitable for environments that demand both scale and consistent throughput. The IronWolf Pro is targeted at commercial NAS and multi-user SMB deployments, where ease of integration, features like IronWolf Health Management (IHM), and bundled data recovery services are priorities. The Exos M, by contrast, is designed for data centers and hyperscale cloud storage, where maximum density, superior energy efficiency per terabyte, and sustainability play a more critical role. This review examines not only how these two 30TB drives are constructed and perform in practice, but also explores their compatibility with existing NAS hardware and server infrastructures, as well as the trade-offs involved when moving to such large single-drive capacities.

Seagate 30TB Ironwolf Pro and EXOS Hard Drive – Quick Conclusion

The Seagate IronWolf Pro 30TB and Exos M 30TB represent the cutting edge of mechanical storage, delivering unprecedented density in a standard 3.5-inch, SATA-compatible form factor. Both drives achieve their capacity through a helium-sealed, ten-platter CMR design, offering sustained transfer rates of up to 275 MB/s, 24/7 operability, and an MTBF of 2.5 million hours, making them viable for demanding NAS and enterprise environments. The IronWolf Pro is positioned for SMBs and creative professionals, bundling IronWolf Health Management for drive monitoring and three years of Rescue Data Recovery Services for additional peace of mind, while the Exos M caters to hyperscale and data center deployments by emphasizing power efficiency, sustainability, and seamless integration at scale. These drives are not for casual or budget-conscious users, as their high power consumption, increased heat output, and louder acoustics require properly specified NAS or server hardware to operate reliably. Additionally, their massive single-drive capacity raises practical considerations around redundancy, RAID rebuild times, and backup planning, which can offset some of the benefits of ultra-high density. Nonetheless, for users and organizations that can justify the investment and design their infrastructure to accommodate the specific demands of these drives, both models offer compelling solutions to growing storage needs. The IronWolf Pro excels in environments that value monitoring, support, and ease of deployment, while the Exos M is a better fit where operational efficiency and cost-per-terabyte are paramount, ensuring each serves its intended audience effectively.

 

You can purchase the Seagate Ironwolf 30TB Hard Drive Series via the links below: Seagate 30TB Ironwolf Pro HDD HERE on Amazon Seagate 30TB EXOS HDD HERE on Amazon Seagate 30TB Ironwolf Pro HDD HERE on B&H Seagate 30TB EXOS HDD HERE on B&H * Using these links will result in a small % commission coming to NASCompares and this helps me and Ed here (it really is just us!) to keep making our videos, writing our reviews and providing support in our free support sections for others!

Seagate 30TB Ironwolf Pro and EXOS Hard Drive – Design and Build

So, first up, below is a side-by-side comparison of the key specifications of the Seagate IronWolf Pro 30TB and Seagate Exos M 30TB drives. Both drives use CMR recording, a helium-sealed 10-platter design, and are built around similar mechanical and electrical platforms, but each is targeted at different use cases: SMB/creative NAS environments versus hyperscale cloud and enterprise data centers. This table highlights their similarities and subtle differences.

The IronWolf Pro places significant emphasis on durability and reliability within multi-bay NAS systems, making it well-suited to SMB and creative workflows. It achieves a mean time between failures (MTBF) of 2.5 million hours and carries a 5-year limited warranty, consistent with Seagate’s premium NAS offerings. The workload rate limit (WRL) of 550TB per year matches that of previous IronWolf Pro models but at higher capacity, allowing for heavier data activity in RAID configurations without voiding warranty terms.

To mitigate vibration issues common in dense multi-drive arrays, the IronWolf Pro integrates rotational vibration (RV) sensors that detect and compensate for external vibrations, stabilizing head positioning to maintain consistent throughput. Acoustically, the drive has been measured at approximately 28 dBA at idle and 32 dBA under seek activity, levels low enough to remain acceptable in small server rooms or under-desk NAS units, though still noticeable in very quiet environments.

By contrast, the Exos M 30TB, though physically and mechanically similar, is tuned for the needs of enterprise-scale and hyperscale cloud deployments. Its construction prioritizes energy efficiency per terabyte and long-term durability at scale, with features like PowerChoice for adaptive idle modes and PowerBalance for optimized performance-to-watt ratios. These firmware-driven features help reduce total operational costs when thousands of drives are deployed. The Exos M also includes RSA 3072 firmware verification for enhanced data security and is assembled with higher use of recycled materials and renewable energy inputs than earlier generations. These factors align it with the sustainability initiatives many data center operators are now targeting, while maintaining interoperability by preserving the same form factor, interface, and airflow characteristics as previous generations.

Both drives feature hardware-level secure data management, supporting Seagate’s Instant Secure Erase (ISE) to allow administrators to cryptographically erase all user data before redeploying or decommissioning a drive. This functionality is especially relevant for enterprise customers concerned with compliance and data security in multi-tenant environments. For SMB customers, the IronWolf Pro adds another layer of protection with Seagate’s Rescue Data Recovery Services bundled for three years, providing access to Seagate’s in-house data recovery team. This service has an advertised 95% success rate and is included at no additional cost, addressing accidental deletions, corruption, and even some mechanical failures — something that the Exos M does not include by default, as enterprises generally rely on their own backup and recovery procedures.

Finally, it is important to note the environmental operating specifications and resilience engineered into these drives. Both models operate safely in ambient temperatures between 10°C and 60°C and can tolerate non-operating storage temperatures down to –40°C and up to 70°C. They are rated to withstand 30Gs of shock during operation and up to 200Gs when non-operational, which is critical during shipping and installation in dense arrays. Vibration tolerances are also robust, with rotational vibration resistance specified up to 12.5 rad/s² between 10Hz and 1500Hz. Both require both +12V and +5V power rails and draw a typical 6.8–6.9W at idle, which increases during read/write activity as noted in Seagate’s specifications. Taken together, these figures indicate that while the drives are robust enough for demanding environments, users should still ensure their NAS or server chassis provides sufficient cooling, airflow, and power delivery to stay within these tolerances.

Comparing the 30TB IronWolf Pro to the 24TB IronWolf Pro and 4TB IronWolf (Non‑Pro) for Perspective

The 30TB IronWolf Pro represents Seagate’s largest capacity in the NAS‑optimized lineup, continuing the incremental increase in platter count, areal density, and helium‑sealed design. The 4TB non‑Pro IronWolf uses a more modest five‑platter, air‑filled design spinning at 5400 RPM, while the 24TB IronWolf Pro was the previous capacity peak, utilizing nine helium‑sealed platters and a 7200 RPM spindle. Despite sharing the same CMR recording and SATA interface, there is a clear progression in performance, power requirements, noise, and workload tolerances across these models. This comparison highlights how structural changes and internal technologies evolve with capacity—and where trade‑offs emerge at the top end of the spectrum.

Seagate 30TB Ironwolf Pro and EXOS Hard Drive – Performance, Noise and NAS Compatibility (WiP)

Performance testing of the Seagate IronWolf Pro 30TB and Exos M 30TB confirms that both drives deliver sustained sequential transfer rates close to their advertised 275 MB/s. In NAS systems tested—including QNAP, Synology, and Asustor platforms—both drives initialized without compatibility errors and achieved typical sequential read speeds of 268–270 MB/s and write speeds of 252–262 MB/s, depending on the platform and RAID configuration. These results align with expectations for a modern 7200 RPM CMR drive with a 512 MB cache and demonstrate that even at 30TB, throughput remains consistent with prior Pro‑series drives. Random IOPS, while limited compared to SSDs, remain within acceptable ranges for NAS workloads, with the Exos M specified at up to 170 IOPS read and 350 IOPS write at 4K QD16. Latency is nominal at approximately 4.16 ms, which is typical for this class of mechanical drive. Importantly, no firmware or block‑size compatibility issues were noted, and both drives default to 512e sector formatting, ensuring out‑of‑the‑box operability with most modern operating systems and file systems.

Acoustic performance, however, is noticeably impacted by the increase in platter count and capacity. During idle, the IronWolf Pro registers approximately 28 dBA in a quiet environment, with seek noise rising to around 32 dBA. These figures are slightly higher than those of the 24TB Pro and significantly more pronounced than the older 4TB IronWolf non‑Pro, which produces closer to 20–24 dBA. Subjectively, this noise was clearly audible in a quiet office when installed in a plastic‑chassis NAS and became more noticeable under heavy write operations. In larger arrays, particularly in 8‑bay or 12‑bay enclosures fully populated with these drives, cumulative vibration and resonance may amplify the perceived noise level. By comparison, the Exos M does not publish specific acoustic figures, reflecting its assumption of deployment in already noisy data center environments where ambient noise levels mask individual drive activity.

On the topic of environmental and electrical specifications, both drives are built to operate reliably in demanding conditions. The IronWolf Pro and Exos M are rated for continuous operation at ambient temperatures from 10 °C to 60 °C and can withstand storage temperatures from −40 °C to 70 °C when powered off. Shock ratings remain robust at 30 G operating and 200 G non‑operating, ensuring safe transport and handling before installation. Rotational vibration tolerance of up to 12.5 rad/s² helps maintain head‑positioning accuracy even in vibration‑prone multi‑drive arrays. Power draw, as specified by Seagate, averages around 6.8–6.9 W when idle and rises to between 8.3–9.5 W during typical operating workloads, depending on the model. Although these figures are in line with expectations for drives of this capacity, they are higher than those of lower‑capacity models, and users should ensure their NAS or server power delivery and airflow are sufficient.

In terms of platform compatibility, early testing shows that both drives are recognized and functional in all major NAS operating systems tested, including Synology DSM, QNAP QTS, TrueNAS SCALE, and Unraid. Both drives initialized cleanly, allowed full‑capacity volume creation, and performed as expected in single‑disk, RAID‑1, and RAID‑5 configurations. Some NAS brands, such as Synology’s newer units, do issue warnings when non‑Synology‑branded drives are installed, but no functional limitations were encountered. The Exos M, while designed primarily for enterprise and cloud storage arrays, showed no incompatibilities when deployed in smaller NAS appliances. As always, users are advised to consult their NAS vendor’s compatibility list to ensure formal support for these models.

Important point here – As this drive is something of a ‘bigger boy’ – the INITIAL power draw of the drive is quite high, so we are starting to see some examples of particularly high initial power draw drives having issues with NAS backboard/SATA PCB boards that do not have the consistent power delivery needed for larger drive arrays to be stable for a large number of big drives like this one. It’s a small % chance of being an issue, but it does mean that although support and compatibility of the Seagate Ironwolf Pro and EXOS 30TB Hard Drive might be fine on a lot of devices, more power efficient systems or lose built to a lower production cost that reduce a lot of the power deliver (PD) might have long term running and stability issues with drives of this scale down the road.

Seagate 30TB Ironwolf Pro and EXOS Hard Drive – Conclusion and Verdict

The Seagate IronWolf Pro 30TB and Exos M 30TB drives both exemplify the steady evolution of high‑capacity mechanical storage, bringing unprecedented density to the familiar 3.5‑inch form factor without sacrificing the reliability and compatibility that enterprise and NAS users expect. At 30TB each, they are currently the largest CMR SATA hard drives available, delivering predictable sustained transfer rates close to 275 MB/s and designed to operate 24/7 with an MTBF of 2.5 million hours. Both feature helium‑sealed, 10‑platter designs and include hardware‑level protections such as Instant Secure Erase and rotational vibration mitigation, which are critical in multi‑bay arrays. Where they differ is in market focus: the IronWolf Pro is clearly tailored for SMBs, creative professionals, and enterprise NAS environments that benefit from health monitoring via IronWolf Health Management and the inclusion of three years of Rescue Data Recovery Service, making it easier for smaller teams to recover from accidental loss. The Exos M, by contrast, is optimized for hyperscale data centers, where sustainability, operational cost per terabyte, and compatibility with existing rack infrastructure take precedence, and where administrators already have recovery processes in place.

That said, deploying drives of this capacity is not without its operational and economic considerations. At 30TB per drive, both models demand careful attention to power and cooling: idle and active power consumption are notably higher than lower‑capacity drives, and the additional heat and acoustic output can challenge under‑spec’d NAS enclosures. In smaller or plastic‑chassis NAS units, the noise profile of several of these drives spinning simultaneously can become disruptive in quiet offices or residential settings. Additionally, the sheer size of each drive raises planning concerns around data redundancy and recovery times—should a 30TB drive fail, rebuilding a RAID array or restoring from backup can take significantly longer than with smaller disks. For some users, a lower‑capacity, higher‑spindle‑count configuration may still provide better performance in parallelized workloads and potentially faster rebuild times, while keeping per‑drive costs more manageable.

Ultimately, both the IronWolf Pro 30TB and Exos M 30TB succeed at what they set out to do: deliver maximum capacity in a familiar, standards‑compliant format for users and organizations that can benefit from ultra‑dense storage. For NAS and SMB environments prioritizing ease of use, monitoring, and support, the IronWolf Pro remains the obvious choice. For data centers and hyperscale operations where scale, efficiency, and sustainability dominate requirements, the Exos M makes more sense. Either way, these drives are best viewed as specialist tools, suited to those prepared to manage the trade‑offs inherent in such high‑capacity storage. Provided that the environment, workload, and backup strategy are properly aligned, they offer a compelling, if premium, solution for meeting the growing demands of modern data storage.

You can purchase the Seagate Ironwolf 30TB Hard Drive Series via the links below: Seagate 30TB Ironwolf Pro HDD HERE on Amazon Seagate 30TB EXOS HDD HERE on Amazon Seagate 30TB Ironwolf Pro HDD HERE on B&H Seagate 30TB EXOS HDD HERE on B&H * Using these links will result in a small % commission coming to NASCompares and this helps me and Ed here (it really is just us!) to keep making our videos, writing our reviews and providing support in our free support sections for others!

PROs of the Seagate 30TB Ironwolf Pro and EXOs

PROs of the Seagate 30TB Ironwolf Pro and EXOs

Unprecedented Capacity — Both drives offer 30TB in a single 3.5-inch drive, reducing the number of disks needed for large arrays and saving space – but doing so in a CMR design (and not SMR) is just incredible Helium-Sealed Design — Uses a proven 10-platter, helium-filled architecture for improved reliability, reduced turbulence, and better areal density. Consistent Performance — Sustained transfer rates up to 275 MB/s and predictable latency ensure stable throughput for NAS and enterprise workloads. Enterprise-Grade Reliability — MTBF of 2.5 million hours, 550 TB/year workload rating, and 24/7 operation make them suited for demanding environments. Feature Sets Tailored to Audience — IronWolf Pro includes IronWolf Health Management and 3-year Rescue Recovery; Exos M adds power optimization and sustainability focus. Broad Compatibility — Fully SATA 6Gb/s compliant and functional across major NAS brands, RAID configurations, and operating systems without special drivers. Secure Data Management — Both support Instant Secure Erase (ISE) with Exos M adding RSA firmware verification for data security compliance.

Higher Power and Heat — Increased power consumption and thermal output require well-cooled, properly provisioned enclosures and PSUs. Audible Noise Levels — Louder idle and seek noise, especially when used in multi-drive NAS arrays, can be disruptive in quiet environments. Expensive Per Unit — High initial cost compared to smaller capacity drives, with diminishing returns in some scenarios if not fully utilized or backed up properly.

Find regulary updated NAS offers here
Of course I would prefer you choose AMAZON UK AMAZON USA to buy your perfect solution, however, if you would rather buy locally, please use the links used above to take you to your local Amazon store and help support this free advice service with ad revenue. More ways of supporting the blog are described HERE  
Home: https://www.backblaze.com/cloud-backup.html#af9rgr Business: https://www.backblaze.com/business-backup.html#af9rgr Comparison with other service providers: https://www.backblaze.com/best-online-backup-service.html#af9rgr   SUBSCRIBE TO OUR NEWSLETTER
[contact-form-7]
Join Inner Circle

This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below

Need Advice on Data Storage from an Expert?

Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you. Need Help? Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry. [contact-form-7] TRY CHAT Terms and Conditions   Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.

WE LOVE COFFEE

 

Au programme :

Le parcours de Jeff, de la France et l’informatique aux États-Unis et l’investissement

Infos :

Animé par Patrick Beja (Bluesky, Instagram, Twitter, TikTok)

Co-animé par Jeff Clavier

Produit par Patrick Beja (LinkedIn) et Fanny Cohen Moreau (LinkedIn).

Musique libre de droit par Daniel Beja

Le Rendez-vous Tech épisode626 - Spécial : Portrait de Jeff Clavier

---

Liens :

🎧 L’Actu Tech (podcast daily): NotPatrick.com/#lactutech

😎 Soutien sur Patreon : Patreon.com/RDVTech

🤗 Communauté Discord : NotPatrick.com/discord

Par écrit :

📰 Newsletter : NotPatrick.com/newsletter

📰 Archives NL: NotPatrick.com/archivenl

📢 WhatsApp : NotPatrick.com/whatsapp

🐤 Veille Twitter : Twitter.com/RdvTech

En vidéo :

📹 Live : Twitch.tv/NotPatrick

📺 VOD : YouTube.com/NotPatrickPodcasts

📱 TikTok : Tiktok.com/@NotNotPatrick

💁 Tous les liens : NotPatrick.com

---

Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

💾

© NotPatrick

Comment se protéger de la chaleur et de la canicule ? Quelques gestes simples rappelés par Viviane (Scilabus) dans cette excellente vidéo :

Et pour aller plus loin : si vous décidez d'acheter un bloc clim, voici toutes les clés pour comprendre les différences entre les modèles (split ou mobile) par Kévin (Un pinguin dans le désert) :

L'astuce de l'extracteur d'air est pas du tout bête. D'ailleurs si vous habitez en immeuble, vous pouvez parfois tirer sur la ficelle de votre bouche VMC pour la passer en mode rapide après avoir ouvert une fenêtre le plus loin possible de la bouche. Cela permettra d'extraire plus rapidement l'air chaud de votre logement en aspirant de l'air frais de dehors.

Merci Kévin, ça fait plaisir d'avoir une vidéo façon "c'est pas sorcier" sur le youtube francophone, toujours au top avec les maquettes.

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 13/07/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Comment se protéger (un peu) de la canicule 🥵 provient de : on Blogmotion.

Windows Defender, l’antivirus intégré à Windows 10 et 11, offre aujourd’hui une protection efficace et discrète pour la majorité des utilisateurs.
Mais par défaut, ses réglages ne sont pas toujours optimisés : analyses trop fréquentes, consommation CPU excessive, notifications envahissantes…

Que vous souhaitiez gagner en performances, éviter les ralentissements pendant le jeu, ou simplement personnaliser la protection selon vos besoins, il est possible d’ajuster plusieurs paramètres clés de Windows Defender.

Dans ce guide complet, nous vous montrons comment optimiser les réglages de Windows Defender étape par étape : limiter l’usage du processeur, ajouter des exclusions, désactiver les alertes superflues, surveiller l’impact sur le système, et bien plus encore.
Tout cela, en conservant une protection efficace sans sacrifier les performances de votre PC.

Vérifier si Windows Defender est actif et bien configuré

Avant d’optimiser les réglages de Windows Defender, il est essentiel de vérifier qu’il est bien activé et fonctionne correctement. En effet, certains paramètres ne sont disponibles que si le moteur de protection en temps réel est actif.

• Ouvrez le Centre de sécurité Windows : Appuyez sur + I > Confidentialité et sécurité > Sécurité Windows, puis cliquez sur Ouvrir Sécurité Windows.
• Allez dans la section Protection contre les virus et menaces.
• Vérifiez que le message “aucune action nécessaire” est affiché, et que la protection en temps réel est activée.

Réduire la consommation CPU de Windows Defender

Windows Defender peut parfois consommer une quantité importante de ressources, notamment lors des analyses automatiques en arrière-plan. Cela peut impacter les performances, en particulier sur les PC plus anciens ou peu puissants.
Heureusement, il est possible de limiter l’utilisation du processeur (CPU) par Defender grâce à une clé de registre spécifique ou via le Planificateur de tâches.

• Appuyez sur le raccourci clavier  + X ou cliquez avec le bouton droit de la souris sur le menu Démarrer puis sélectionnez : « Terminal Windows (admin)« . Plus d’informations : Comment ouvrir Windows Terminal

Get-MpPreference | select ScanAvgCPULoadFactor

• La commande ci-dessus affiche le pourcentage actuel d’utilisation du processeur par Microsoft Defender

• Pour passer à une nouvelle valeur, exécutez le format de commande ci-dessous en spécifiant la valeur :

Set-MpPreference -ScanAvgCPULoadFactor <Utilisation maximal processeur>

• Remplacez par un nombre réel. La valeur par défaut est 50. Toutefois, vous pouvez utiliser une valeur comprise entre 0 et 100. Par exemple, pour allouer 30% du processeur au maximum durant une analyse Windows Defender :

Set-MpPreference -ScanAvgCPULoadFactor 30

Configurer l’utilisation processeur (CPU) de Windows Defender

Ajuster les tâches planifiées de Defender

Par défaut, Windows Defender lance automatiquement des analyses planifiées (généralement lors des périodes d’inactivité). Il est possible de les modifier ou de les désactiver temporairement si elles ralentissent le système.

Voici comment faire :

• Sur votre clavier, utilisez le raccourci clavier + R
• puis saisir taskschd.msc et cliquez sur OK. Pour plus de détails, suivez ce tutoriel : Comment ouvrir les tâches planifiées, planificateur de tâches sur Windows 10, 11
• Accédez à :
  Bibliothèque du Planificateur de tâches > Microsoft > Windows > Windows Defender
• Double-cliquez sur la tâche nommée Windows Defender Scheduled Scan.
• Dans l’onglet Déclencheurs, vous pouvez :
  • Modifier l’heure de l’analyse.
  • La désactiver si elle n’est pas nécessaire.
• Dans l’onglet Conditions, décochez si nécessaire :
  • « Démarrer la tâche uniquement si l’ordinateur est inactif… »
  • « Arrêter si l’ordinateur cesse d’être inactif… »

Cela permet de mieux contrôler quand Windows Defender lance ses analyses.

Windows Defender : Désactiver l’analyse automatique

Ajouter des exclusions à Windows Defender pour améliorer les performances

Windows Defender analyse en permanence les fichiers, dossiers et processus en arrière-plan. Si vous utilisez des logiciels gourmands ou manipulez des fichiers volumineux (jeux, machines virtuelles, développement…), ces analyses peuvent ralentir votre système.

Heureusement, il est possible d’ajouter des exclusions pour empêcher Defender de scanner certains dossiers ou fichiers, ce qui réduit la charge sur le CPU et accélère leur exécution.

Voici les types de fichiers ou répertoires à exclure pour gagner en performances sans compromettre la sécurité :

• Répertoires de jeux (Steam, Battle.net, etc.)
• Machines virtuelles (VMware, VirtualBox, Hyper-V)
• Environnements de développement (Node.js, Python, compilateurs)
• Dossiers contenant des fichiers volumineux ou fréquemment modifiés
• Outils d’administration système ou scripts personnalisés

Pour cela :

• Ouvrez le Centre de sécurité Windows : Paramètres > Confidentialité et sécurité > Sécurité Windows
• Cliquez sur Protection contre les virus et menaces
• Descendez jusqu’à Paramètres de protection contre les virus et menaces, puis cliquez sur Gérer les paramètres
• En bas, ouvrez Ajouter ou supprimer des exclusions
• Cliquez sur Ajouter une exclusion, puis choisissez :
  • Dossier
  • Fichier
  • Type de fichier
  • Processus
• Par exemple : Exclure le dossier C:\Jeux\Steam ou le processus vmware-vmx.exe

Windows Defender : comment ajouter une exception

Désactiver les notifications inutiles de Windows Defender

Windows Defender peut générer de nombreuses notifications : alertes de sécurité, rappels de scan, rapports de maintenance…
Certaines sont utiles, mais d’autres peuvent vite devenir envahissantes, surtout si vous utilisez un antivirus tiers ou gérez manuellement votre protection.

Heureusement, vous pouvez désactiver les notifications non essentielles sans compromettre la sécurité de votre système.

• Faites un clic droit sur le menu Démarrer puis Paramètres. Pour aller plus vite, vous pouvez aussi utiliser le raccourci clavier + I. Sinon d’autres méthodes dans le tutoriel suivant : Comment ouvrir les paramètres de Windows 11
• Accédez à : Confidentialité et sécurité > Sécurité Windows > Ouvrir Sécurité Windows
• Allez dans Protection contre les virus et menaces
• Descendez jusqu’à Paramètres de notification
• Cliquez sur Modifier les paramètres de notification

Vous pouvez alors désactiver :

• Les notifications liées à la protection en temps réel
• Les rapports de maintenance
• Les résumés après analyse

Comment supprimer les notifications de sécurité Windows dans Windows 10, 11

Configurer la protection en temps réel et cloud de Defender

Windows Defender propose plusieurs niveaux de protection, dont deux particulièrement importants :

• la protection en temps réel, qui surveille les fichiers et processus à la volée
• la protection cloud, qui s’appuie sur les serveurs de Microsoft pour détecter plus rapidement les menaces émergentes.

Bien configurées, ces options offrent une protection renforcée, mais peuvent aussi consommer des ressources ou poser des problèmes de compatibilité dans certains cas spécifiques.

• Ouvrir Sécurité Windows : Paramètres > Confidentialité et sécurité > Sécurité Windows > Protection contre les virus et menaces
• Cliquez sur Gérer les paramètres sous Paramètres de protection contre les virus et menaces.
• Activez ou désactivez :
  • Protection en temps réel
  • Protection fournie par le cloud
  • Envoi automatique d’échantillons

Désactiver la protection en temps réel de Windows Defender

Surveiller l’impact de Windows Defender sur les performances système

Même bien configuré, Windows Defender peut parfois avoir un impact notable sur les performances du système : consommation CPU excessive, ralentissements, usage disque élevé…
Il est donc utile de surveiller son activité pour identifier d’éventuels problèmes ou ajuster certains réglages.

Utiliser le Gestionnaire des tâches pour surveiller l’utilisation des ressources

• Ouvrez le gestionnaire de tâches par un clic droit sur le menu Démarrer ou utilisez le raccourci clavier + X
• puis Gestionnaire des tâches. Vous pouvez aussi utiliser le raccourci clavier CTRL+MAJ+ESC
• Dans l’onglet Processus, recherchez :
  • Antimalware Service Executable (correspond au processus MsMpEng.exe)
• Observez les colonnes Processeur, Mémoire et Disque.

[su_warningSi MsMpEng.exe utilise de manière prolongée plus de 30–40 % de CPU en arrière-plan, cela peut indiquer une analyse en cours ou un conflit logiciel.[/su_warning]

Vérifier si une analyse est en cours :

Windows Defender peut exécuter automatiquement des analyses planifiées.
Pour savoir si une analyse est active :

• Ouvrez Sécurité Windows
• Allez dans Protection contre les virus et menaces
• Regardez la ligne Analyse en cours

Si vous observez un pic de consommation CPU au même moment, vous pouvez envisager de modifier l’horaire ou la fréquence des analyses (voir section planificateur de tâches).

Utiliser l’Observateur d’événements pour détecter les anomalies

L’Observateur d’événements permet de repérer des erreurs ou comportements anormaux liés à Windows Defender.

• Sur votre clavier, appuyez sur les touches + [sug_rclavier]R[/su_rclavier]
• Saisissez eventvwr.msc et validez.
• Accédez à : Journaux des applications et services > Microsoft > Windows > Windows Defender > Operational
• Recherchez les événements :
  • ID 1000–3004 : démarrage/fin d’analyse
  • ID 1116–1118 : détection de menaces
  • ID 5001–5007 : erreurs ou interruptions

Que faire si Defender ralentit le PC ?

Problème constaté	Solution recommandée
Utilisation CPU élevée	Ajuster la clé AvgCPULoadFactor
Pics de performance	Modifier ou désactiver la tâche planifiée
Fausses alertes fréquentes	Ajouter des exclusions pertinentes
Ralentissements pendant le jeu	Activer le mode jeu de Windows, exclure le dossier du jeu

Utiliser DefenderUI pour accéder à des réglages avancés

L’interface native de Windows Defender limite l’accès à certains paramètres avancés. Pour aller plus loin dans la personnalisation (désactivation de modules précis, réglages fins de comportement, gestion de l’interface cloud…), il est possible d’utiliser des outils tiers comme DefenderUI.

Ce logiciel gratuit offre une interface plus complète et conviviale pour gérer Defender.

• Rendez-vous sur le site officiel :

• Téléchargez la version stable et lancez l’installation (aucun adware).
• Une fois installé, ouvrez l’application.
  Vous verrez apparaître une interface organisée par onglets :
  • Real-Time Protection
  • Scan Options
  • Exclusions
  • Advanced Settings

DefenderUI : Interface pour gérer Windows Defender

Exemples de réglages utiles avec DefenderUI

Fonction	Utilité
Désactiver les notifications non critiques	Moins d’interruptions
Régler l’agressivité des protections cloud	Adapter selon votre usage
Activer le mode « high performance »	Moins de scans en arrière-plan
Gérer finement les exclusions par type	Exclusion précise de processus

Vous pouvez également sauvegarder ou restaurer vos paramètres, ce qui est pratique pour les administrateurs ou les utilisateurs avancés.

Précautions à prendre

• DefenderUI modifie des paramètres sensibles : évitez d’utiliser le profil « Max Security » sans savoir ce qu’il active.
• Ne désactivez jamais toutes les protections en production sans bonne raison.
• Vérifiez régulièrement les mises à jour de DefenderUI pour rester compatible avec les évolutions de Windows Defender.

Quand utiliser DefenderUI ?

Cas d’usage	Pourquoi utiliser DefenderUI
Optimisation poussée	Réglages invisibles dans Windows
Environnement professionnel	Configuration fine pour serveurs ou dev
Réduction des alertes/faux positifs	Exclusions ciblées, réglages comportementaux
Automatisation de profils	Sauvegarde et restauration rapide de paramètres

Conclusion : Windows Defender est-il suffisant ? Nos conseils finaux

Windows Defender, intégré nativement à Windows 10 et 11, a largement évolué ces dernières années. Longtemps considéré comme une solution de secours, il offre désormais un niveau de protection solide, certifié par de nombreux laboratoires de tests indépendants (AV-Test, AV-Comparatives).

Pour une grande majorité d’utilisateurs — navigation web, bureautique, jeux, multimédia — Windows Defender est amplement suffisant, à condition d’être bien configuré.
Est ce que Windows Defender suffit pour protéger son PC : mon avis

En suivant ce tutoriel, vous avez pu optimiser les paramètres de l’antivirus intégré pour de meilleures performances.

Pour aller plus loin :

• 20 astuces pour améliorer les performances de son PC en Windows 10, 11
• Comment accélérer Windows 11
• Accélérer Windows 10 : le guide complet

L’article Windows Defender : optimiser les réglages pour de meilleures performances est apparu en premier sur malekal.com.

Prime Day 2025 Deals Megathread – Terramaster NAS

Prime Day 2025 is not just a normal sales thing, it’s when the best deals becomes a quest for many, especially tech enthusiasts and savvy shoppers. This November, as we approach the holiday season, our focus sharpens on a segment that’s increasingly popular in the tech community: Network Attached Storage (NAS) solutions, particularly Terramaster products known for their quality and dependability in data storage. If you’re planning to enhance your home network, set up an efficient media server, or secure your files with reliable backup, Terramaster’s range might have the perfect solution for you. With Amazon Prime Day’s impressive discounts, it could be the ideal time to invest in your tech infrastructure. We’ve sorted the deals by region,.so we’ve got you covered.

US Terramaster Prime Day 2025 Deals

Stay tuned for tables showcasing the hottest deals on Terramaster products for our US-based readers.

USA

WHAT	MIX	DEAL
TerraMaster F8 SSD NAS 8-Bay	NAS	$479.99 (20% off off)
TerraMaster F4-424 Max NAS 4-Bay	NAS	$719.99 (20% off)
TerraMaster F2-424 NAS 2-Bay	NAS	303.99 (20% off)
TerraMaster F4-424 Pro NAS 4-Bay	NAS	$559.99 (20% off)
TerraMaster F4-423 NAS 4-Bay	NAS	$344.99 (25% off)
TerraMaster F4-212 NAS 4-Bay	NAS	$224.99 (25% off)
TerraMaster D4-320 USB Enclosure 4-Bay	DAS	$151.99 (20% off)
TerraMaster D8 Hybrid NVMe HDD USB RAID Storage 8-Bay	DAS	$239.99 (20% off)
TerraMaster D5-300 RAID 5 Storage 5-Bay	DAS	194.99 (25% off)
TerraMaster TD2 Thunderbolt 3 RAID Storage 2-Bay	DAS	$207.99 (20% off)

---

UK Terramaster Prime Day 2025 Deals

To our dear readers in the United Kingdom, we haven’t forgotten you. Here’s a curated list of the top Terramaster NAS and DAS deals available on your shores this Prime Day 2025.

UK

WHAT	MIX	DEAL
TerraMaster T9-500 Pro NAS 9-Bay	NAS	£1399,99(£100 amount off)
TerraMaster F4-424 Max NAS 4-Bay	NAS	£655.99(20% off)
TerraMaster F6-424 Max NAS 6-Bay	NAS	£735.99(20% off)
TerraMaster F6-424 NAS 6-Bay	NAS	£439,99(20% off)
TerraMaster F8-SSD Plus NAS 8-Bay	NAS	£583,99(20% off)
TerraMaster F8-SSD NAS 8-Bay	NAS	£439,99(20% off)
TerraMaster F2-212 NAS 2-Bay	NAS	£126.64 (25% off)
TerraMaster F4-423 NAS 4-Bay	NAS	£319.99 (28% off)
TerraMaster F2-423 NAS 2-Bay	NAS	£229.99 (26% off)
TERRAMASTER F2-424 NAS – 2Bay	NAS	£273.79 (26% off)
TERRAMASTER F4-424 NAS – 4Bay	NAS	£359.99 (25% off)
TERRAMASTER F4-424 Pro NAS – 4Bay	NAS	£472.49(25% off)
TerraMaster D2-320 USB Enclosure 2-Bay	DAS	£95.99 (20% off)
TerraMaster D4-320 USB Enclosure 4-Bay	DAS	£143.99 (20% off)
TERRAMASTER D6-320 USB Enclosure 6 Bay	DAS	£239.99 (20% off)
TERRAMASTER D8 Hybrid HDD NVMe Enclosure	DAS	£239.99 (20% off)
TERRAMASTER D5 Hybrid HDD NVMe Enclosure	DAS	£167.99 (20% off)

 

---

Canada Terramaster Prime Day 2025 Deals

For our Canadian friends, we’ve compiled a list of unbeatable offers just for you.

Canada

WHAT	MIX	DEAL
TerraMaster F8 SSD NAS 8-Bay	NAS	663.99 (20% off)
TerraMaster F4-424 Max NAS 4-Bay	NAS	1039.99 (20% off)
TerraMaster F4-424 Pro NAS 4-Bay	NAS	$713.99 (20% off)
TerraMaster F2-423 NAS 2-Bay	NAS	$374.99 (25% off)
TerraMaster D4-320 USB Enclosure 4-Bay	DAS	$199.99 (20% off)
TerraMaster D8 Hybrid NVMe HDD USB RAID Storage 8-Bay	DAS	319.99 (20% off)
TerraMaster TD2 Thunderbolt 3 RAID Storage 2-Bay	DAS	$263.99 (20% off)

---

Germany Terramaster Prime Day 2025 Deals

Liebe tech enthusiasts, hier sind die besten Angebote für euch!

Germany

WHAT	MIX	DEAL
TerraMaster F2-424 NAS 2-Bay	NAS	€319.99 (20% off)
TerraMaster F4-423 NAS 4-Bay	NAS	€367.99 (20% off)
TerraMaster F4-424 Pro NAS 4-Bay	NAS	€583.99 (20% off)
TerraMaster F4-424 MAX NAS 4-Bay	NAS	€759.99 (20% off)
TerraMaster F8 SSD NAS 8-Bay	NAS	€503.99 (20% off)
TerraMaster T12-500 Pro NAS 12-Bay	NAS	€1,799.99 (100 EURO off)
TerraMaster D5-300C USB RAID Storage 5-Bay	DAS	€183.99 (20% off)
TerraMaster D6-320 USB Enclosure 6-Bay	DAS	€263.99 (20% off)
TerraMaster D4-320 USB Enclosure 4-Bay	DAS	€167.99 (20% off)
TERRAMASTER D8 Hybrid HDD NVMe Enclosure	DAS	€263.99 (20% off)

 

---

France Terramaster Prime Day 2025 Deals

Chers amis français, voici les offres à ne pas manquer!

WHAT	MIX	DEAL
TerraMaster F8-SSD Plus NAS 8-Bay	NAS	€671,99(20% off)
TerraMaster F8-SSD NAS 8-Bay	NAS	€503,99(20% off)
TerraMaster F6-424 NAS 6-Bay	NAS	€503,99(20% off)
TerraMaster F4-424 Max NAS 4-Bay	NAS	€739,49(15% off)
TerraMaster F4-424 Pro NAS 4-Bay	NAS	583,99€ (20% off)
TERRAMASTER F4-424 NAS – 4Bay	NAS	423,99€ (20% off)
TerraMaster F4-423 NAS 2-Bay	NAS	322,49€ (25% off)
TerraMaster F4-212 NAS 4-Bay	NAS	€187.99 (25% off)
TERRAMASTER F2-424 NAS – 2Bay	NAS	296,99€ (25% off)
TerraMaster D8 Hybrid NVMe HDD USB RAID Storage 8-Bay	DAS	263,99€(20% off)
TerraMaster D5 Hybrid NVMe HDD USB RAID Storage 5-Bay	DAS	191,99€(20% off)
TerraMaster D5-300 USB RAID Storage 5-Bay	DAS	202,49€ (25% off)
TERRAMASTER D4-320 USB Enclosure 4 Bay	DAS	172,49€(25% off)
TERRAMASTER D2-320 USB Enclosure 2 Bay	DAS	111,99€(20% off)
TerraMaster TD2 Thunderbolt 3 RAID Storage 2-Bay	DAS	202,49€(25% off)

---

Spain Terramaster Prime Day 2025 Deals

¡Hola a nuestros amigos españoles! Aquí están las ofertas que no te puedes perder.

WHAT	MIX	DEAL
TerraMaster F4-424 Max NAS 4-Bay	NAS	759,99€ (20% off)
TerraMaster F6-424 Max NAS 6-Bay	NAS	839,99€ (20% off)
TerraMaster F8-SSD Plus NAS 8-Bay	NAS	671,99€ (20% off)
TERRAMASTER F4-424 Pro 32GB NAS – 4Bay	NAS	583,99€ (20% off)
TERRAMASTER F4-424 NAS – 4Bay	NAS	412,49€ (25% off)
TerraMaster F6-424 NAS 6-Bay	NAS	503,99€ (20% off)
TerraMaster F8-SSD NAS 8-Bay	NAS	503,99€ (20% off)
TerraMaster F4-423 NAS 4-Bay	NAS	359,99€ (25% off)
TerraMaster D5-300C USB Enclosure 5-Bay	DAS	172,49€(25% off)
TerraMaster D2-320 USB Enclosure 2-Bay	DAS	143,99€ (20% off)
TerraMaster D4-320 USB Enclosure 4-Bay	DAS	167,99€ (20% off)
TERRAMASTER D6-320 USB Enclosure 6 Bay	DAS	263,99€(20% off)
TERRAMASTER D5 Hybrid HDD NVMe Enclosure	DAS	191,99€(20% off)
TERRAMASTER D8 Hybrid HDD NVMe Enclosure	DAS	263,99€(20% off)

 

SUBSCRIBE TO OUR NEWSLETTER
[contact-form-7]
Join Inner Circle

This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below

Need Advice on Data Storage from an Expert?

Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you. Need Help? Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry. [contact-form-7] TRY CHAT Terms and Conditions   Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.

WE LOVE COFFEE

 

SUBSCRIBE TO OUR NEWSLETTER
[contact-form-7]
Join Inner Circle

This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below

Need Advice on Data Storage from an Expert?

Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you. Need Help? Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry. [contact-form-7] TRY CHAT Terms and Conditions   Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.

WE LOVE COFFEE

 

Le registre Windows est un composant central du système, dans lequel sont stockés les paramètres de configuration de Windows, des pilotes et de la plupart des logiciels installés. Si vous êtes à l’aise avec cet outil, certaines clés du registre peuvent vous permettre de personnaliser en profondeur votre système, de désactiver des fonctionnalités comme Windows Defender, de bloquer la télémétrie, ou encore de gérer les programmes au démarrage sans passer par des outils tiers.

Dans cet article, nous vous présentons une sélection de clés de registre importantes et couramment utilisées pour la configuration, le dépannage ou l’optimisation de Windows. Que vous soyez technicien, administrateur ou simple utilisateur avancé, ces clés vous permettront de mieux comprendre et maîtriser les coulisses du système d’exploitation.

Avant toute modification du registre, pensez à sauvegarder les clés concernées ou à créer un point de restauration système, afin d’éviter tout dysfonctionnement.

Désactiver Windows Defender via le registre : les clés à connaître

Windows Defender est l’antivirus intégré à Windows 10 et 11. Bien qu’il offre une protection efficace et discrète, certains utilisateurs avancés ou administrateurs système souhaitent parfois le désactiver, temporairement ou définitivement. Si l’option est grisée dans les paramètres ou bloquée par la stratégie de groupe, il est possible de désactiver Defender directement via le registre Windows.

Clé principale à modifier

Pour désactiver complètement Windows Defender, il faut créer (ou modifier) la valeur suivante :

• Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
• Valeur DWORD à créer :
  DisableAntiSpyware → 1

Cela désactive le service principal de Windows Defender à condition que Microsoft Defender Antivirus ne soit pas géré par une solution de sécurité tierce ou par une politique de sécurité système (GPO).

Désactiver la protection en temps réel

Si vous ne souhaitez pas désactiver Defender totalement, mais uniquement sa protection en temps réel, vous pouvez aussi agir sur cette clé :

• Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection
• Valeurs DWORD à créer ou modifier :
  • DisableRealtimeMonitoring → 1
  • DisableBehaviorMonitoring → 1
  • DisableOnAccessProtection → 1
  • DisableScanOnRealtimeEnable → 1

Cela permet de désactiver différentes composantes actives de la surveillance Defender sans couper complètement le moteur antivirus.

Précautions

• Après avoir modifié ces clés, redémarrez le système pour que les changements prennent effet.
• Certaines versions de Windows peuvent réactiver automatiquement Defender, surtout après une mise à jour majeure. Il peut être nécessaire de répéter l’opération.
• Sur Windows 11, Tamper Protection (protection contre les modifications non autorisées) doit être désactivée au préalable depuis les paramètres de sécurité Windows, sinon les modifications du registre seront ignorées.

Sur ce sujet : Désactiver Windows Defender de Windows 10 ou Windows 11 (Antivirus)

Programmes au démarrage : les clés de registre à surveiller (Run, RunOnce, etc.)

Le registre Windows contient plusieurs clés dédiées à l’exécution automatique de programmes au démarrage du système ou lors de la connexion d’un utilisateur. Ces clés sont fréquemment utilisées par les applications légitimes (ex. : antivirus, pilotes, assistants logiciels), mais aussi par les malwares et adwares, qui les exploitent pour s’exécuter en arrière-plan sans être détectés.

Clés les plus courantes à connaître

Les clés suivantes sont utilisées pour lancer des programmes automatiquement. Certaines s’appliquent à tous les utilisateurs du système (HKLM), d’autres uniquement à l’utilisateur actuellement connecté (HKCU) :

Démarrage automatique standard

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Ces clés contiennent les programmes à exécuter à chaque démarrage. Chaque entrée correspond à un exécutable ou un script qui s’exécutera après le chargement d’Explorer.exe (le bureau Windows).

À lire :

• Points de chargement de Windows (autoruns) : analyse, détection et nettoyage
• Supprimer les programmes au démarrage de Windows

Exécution unique

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Les clés RunOnce permettent d’exécuter un programme une seule fois au prochain démarrage. Elles sont souvent utilisées lors d’installations logicielles pour effectuer des tâches post-redémarrage (ex. : suppression de fichiers temporaires ou finalisation d’une configuration).

Démarrage en tant que service (anciens systèmes)

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

Ces clés étaient principalement utilisées sous Windows 9x/Me. Elles ont aujourd’hui peu d’effet sur Windows 10/11, mais peuvent encore être explorées par des malwares à des fins de compatibilité ou de contournement des outils de sécurité modernes.

Scripts d’ouverture de session

Outre les clés Run, Windows permet également de lancer des scripts lors de la connexion utilisateur, via des clés de stratégie de groupe :

• HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Scripts\Logon
• HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Scripts\Logon

Ces scripts sont généralement définis par des administrateurs de domaine ou via des GPO locales, notamment dans les environnements professionnels. Ils permettent d’exécuter des commandes, de mapper des lecteurs réseaux, ou d’appliquer des configurations personnalisées.

Désactiver la télémétrie et la collecte de données via le registre

Depuis Windows 10, Microsoft collecte automatiquement diverses données système via la télémétrie, dans le but officiel d’améliorer la stabilité, la sécurité et les performances du système. Toutefois, cette collecte soulève des préoccupations en matière de confidentialité, notamment dans les environnements sensibles ou pour les utilisateurs soucieux de maîtriser les échanges avec Microsoft.

Même si certains paramètres peuvent être désactivés via l’interface graphique ou les stratégies de groupe (GPO), il est aussi possible de désactiver partiellement la télémétrie via le registre.

Limiter la télémétrie avec la clé « AllowTelemetry »

L’une des principales clés à modifier est :

• Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection
• Valeur DWORD : AllowTelemetry
• Valeurs possibles :
  • 0 = Sécurité (seulement pour Windows Enterprise, Education ou LTSC)
  • 1 = De base
  • 2 = Amélioré (supprimé depuis Windows 10 2004)
  • 3 = Complet

Sur les éditions Famille et Professionnel, la valeur 0 n’est pas appliquée, même si elle est définie. Le niveau minimum reste 1.

Plusieurs services Windows sont responsables de la collecte et de l’envoi de données. Tu peux les désactiver ou les neutraliser via le registre (ou via l’utilitaire services.msc si tu préfères une interface graphique).

Diagnostic Execution Service :

• Clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DiagTrack
• Modifier la valeur Start → passer de 2 (automatique) à 4 (désactivé)

dmwappushservice :

• Clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice
• Même principe : Start → 4

Autres clés utiles à connaître

Tu peux également renforcer la désactivation de la télémétrie avec les clés suivantes :

• Désactiver le programme CEIP (Customer Experience Improvement Program) : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQMClient\Windows\CEIPEnable → 0
• Désactiver les diagnostics connectés : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen → 0 (optionnel, pour l’intégration avec SmartScreen)
• Désactiver le service DiagTrack (Tracking Service) : Même si cela ne passe pas uniquement par le registre, tu peux arrêter et désactiver ce service via commande :

sc stop DiagTrack
sc config DiagTrack start= disabled

À lire :

• Comment supprimer la télémétrie dans Windows 11 (mouchards)
• Supprimer la télémétrie et pistage de Windows 10

Clés pour bloquer l’exécution automatique des périphériques USB/CD/DVD

L’exécution automatique (AutoRun / AutoPlay) permet à Windows d’ouvrir automatiquement un programme, un menu ou une notification dès qu’un périphérique de stockage est connecté (clé USB, CD/DVD, disque dur externe, etc.). Si cette fonctionnalité est pratique, elle représente aussi une faille de sécurité potentielle, souvent exploitée par des malwares pour s’installer silencieusement à partir d’un support amovible.

Heureusement, il est possible de désactiver totalement l’exécution automatique des périphériques via le registre Windows.

• Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  (ou HKEY_LOCAL_MACHINE pour l’ensemble des utilisateurs)
• Valeur DWORD : NoDriveTypeAutoRun
• Valeur recommandée : 0xFF (hexadécimal) → désactive AutoRun sur tous les types de lecteurs

Valeurs possibles :

Hexadécimal	Décimal	Effet
0x01	1	Désactive AutoRun sur les lecteurs non définis
0x04	4	Désactive AutoRun sur les lecteurs amovibles
0x08	8	Désactive AutoRun sur les lecteurs fixes (disques durs internes)
0x10	16	CD/DVD
0x20	32	Réseaux
0x80	128	Lecteurs inconnus
0xFF	255	Désactive AutoRun sur tous les types de lecteurs

Conseil : Utilisez 0xFF pour un blocage total, idéal en contexte professionnel ou pour sécuriser un poste sensible.

À lire : Comment désactiver l’exécution automatique de Windows 11/10 (AutoRun/AutoPlay)

Autres clés complémentaires

• Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers
• Valeur DWORD à créer : DisableAutoplay → 1

Pour appliquer la même politique à tous les utilisateurs, utilisez HKEY_LOCAL_MACHINE.

Gérer Windows Update depuis le registre (clés importantes)

Le comportement de Windows Update peut être modifié ou personnalisé via le registre, notamment pour différer les mises à jour, désactiver les redémarrages automatiques, ou forcer des paramètres spécifiques sur des éditions qui ne donnent pas accès à toutes les options dans l’interface graphique. Cela est particulièrement utile en environnement professionnel ou pour les utilisateurs souhaitant un contrôle plus fin sur les mises à jour de leur système.

Comme ces paramètres sont répartis sur plusieurs emplacements du registre (WUSettings, AU, Policies…), nous avons rédigé un article complet dédié aux différentes clés disponibles et à leur rôle :

Voir la liste complète des clés de registre Windows Update

Clés liées à la stratégie de mot de passe / verrouillage

La stratégie de mot de passe et de verrouillage automatique de l’écran est essentielle pour garantir la sécurité d’un poste Windows, notamment en entreprise ou sur un ordinateur partagé. Si ces paramètres sont généralement configurables via les stratégies de sécurité locales (secpol.msc) ou les paramètres système, il est aussi possible de les modifier directement dans le registre Windows, en particulier sur les éditions Familiale qui n’ont pas accès à certaines interfaces avancées.

Délai d’inactivité avant verrouillage automatique

• Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
• Valeur DWORD à créer : InactivityTimeoutSecs
• Type : DWORD (32 bits)
• Valeur : en secondes (ex. : 600 = 10 minutes)

Cette clé permet de verrouiller automatiquement la session après un certain temps d’inactivité. Cela fonctionne même si l’utilisateur n’a pas défini explicitement d’écran de veille avec mot de passe.

Forcer l’exigence du mot de passe après l’écran de veille

• Clé : HKEY_CURRENT_USER\Control Panel\Desktop
• Valeur chaîne à modifier : ScreenSaverIsSecure
  • 1 = demander le mot de passe après la reprise
  • 0 = ne pas le demander
• Autre valeur utile : ScreenSaveTimeOut → définit le délai avant activation de l’écran de veille (en secondes)

Ces paramètres fonctionnent ensemble : tu peux configurer l’écran de veille pour qu’il apparaisse après 5 ou 10 minutes, puis exiger un mot de passe à la reprise.

Clés Shell et Winlogon : ce qui se lance à la connexion Windows

Au démarrage de Windows, plusieurs processus sont automatiquement chargés avant que l’utilisateur accède pleinement à sa session. Parmi les clés du registre les plus critiques à ce niveau, les clés associées à Winlogon et Shell contrôlent ce qui se lance juste après la connexion (ou même avant, pour les scripts système). Comprendre ces clés est essentiel pour diagnostiquer des problèmes de démarrage, détecter des infections, ou personnaliser des comportements système.

Les clés Shell et Userinit sont très surveillées par les antivirus, car elles sont souvent détournées par des logiciels malveillants pour se lancer avant tout autre processus. Modifier ces clés à la main sans précaution peut empêcher le chargement correct du bureau Windows ou conduire à un écran noir après la connexion.
Celle-ci est très utilisée par les Trojan Winlock.

• Clé principale : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Cette clé contient plusieurs valeurs importantes utilisées lors du logon (connexion de session). Les plus connues sont :

Shell

• Définit le programme chargé après connexion.
• Par défaut : explorer.exe
• Si cette valeur est modifiée (ex. : cmd.exe, malware.exe, etc.), cela remplace complètement l’Explorateur Windows. Certains malwares exploitent cette clé pour bloquer l’interface graphique et afficher leur propre charge utile.

Userinit

• Valeur par défaut : C:\Windows\System32\userinit.exe,
• Ce programme initialise le profil utilisateur et exécute certains scripts de logon.
• Si un malware est ajouté ici, il peut s’exécuter juste avant l’ouverture du bureau, en toute discrétion.

Connexion automatique : activer l’ouverture de session sans mot de passe

La clé Winlogon permet également de configurer une connexion automatique, sans demander de mot de passe à l’ouverture de session. C’est une option parfois utilisée sur des machines personnelles, des bornes publiques, des environnements de test, ou des systèmes embarqués.

Pour cela, il faut renseigner plusieurs valeurs dans cette même clé :

• AutoAdminLogon → 1 (active la connexion auto)
• DefaultUserName → nom du compte utilisateur à ouvrir
• DefaultPassword → mot de passe associé (stocké en clair dans le registre)
• DefaultDomainName → nom de la machine locale ou domaine AD

Sur ce sujet :

• Comment supprimer le mot de passe au démarrage de Windows 11
• Supprimer le mot de passe de Windows 10 pour démarrer sans mot de passe

Autres valeurs intéressantes

• LegalNoticeCaption / LegalNoticeText → permet d’afficher un message légal ou une alerte à l’ouverture de session (utilisé en entreprise)
• GinaDLL → ancienne DLL pour modifier la gestion du logon (Windows XP/2000)

Clés relatives aux menus contextuels de Windows (clic droit)

Le menu contextuel, accessible via un clic droit sur un fichier, un dossier ou le bureau, est une fonctionnalité essentielle de l’interface Windows. Avec le temps, ce menu peut s’encombrer d’entrées inutiles ajoutées par des logiciels tiers (antivirus, lecteurs multimédias, outils de compression…), ou à l’inverse, certaines options peuvent disparaître à la suite d’un bug ou d’une mauvaise désinstallation. Heureusement, il est possible de personnaliser ou nettoyer ces menus via le registre Windows.

Où se trouvent les clés du menu contextuel dans le registre

Les entrées du clic droit sont réparties à plusieurs emplacements du registre, selon le type d’objet cliqué (fichier, dossier, raccourci…) et le contexte utilisateur ou système.

Entrées générales (tous types de fichiers)

• HKEY_CLASSES_ROOT\*\shell
• HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers

Ces emplacements contrôlent les options qui s’appliquent à tous les fichiers, quel que soit leur type (ex. : « Analyser avec antivirus », « Envoyer vers », « Ajouter à l’archive », etc.).

Entrées spécifiques aux dossiers

• HKEY_CLASSES_ROOT\Directory\shell
• HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers

Modifie le menu contextuel quand on clique sur un dossier.

Entrées propres à certains types de fichiers

Chaque extension de fichier a sa propre clé :

• Exemple pour .txt : HKEY_CLASSES_ROOT\txtfile\shell

Vous pouvez y ajouter ou retirer des options spécifiques (ex. : « Ouvrir avec Notepad++ »).

Menu contextuel du bureau (fond d’écran)

• HKEY_CLASSES_ROOT\Directory\Background\shell : Affecte le clic droit sur le bureau, sans icône sélectionnée.

Pour supprimer une entrée du menu contextuel :

• Ouvre l’une des clés listées ci-dessus (ex. : *\shell).
• Identifie le nom du programme ou de l’action.
• Supprime la sous-clé correspondante (ex. : WinRAR, ScanWithAntivirus, etc.).
• Redémarre l’explorateur (explorer.exe) pour appliquer les changements.

Un programme tel qu’Autoruns, ShellExView ou Right Click Enhancer permet de les gérer très facilement.
Voir ces tutoriels : Résoudre les plantages d’explorer.exe lors d’un clic droit et Personnaliser le menu contextuel (clic droit) de Windows

Programmes installés : les clés de registre à connaître pour désinstaller ou identifier les logiciels

Windows stocke la liste des programmes installés dans le registre, notamment pour l’affichage dans le Panneau de configuration > Programmes et fonctionnalités ou l’application Paramètres > Applications. Ces clés permettent aux utilisateurs ou aux outils de désinstallation de localiser le chemin de désinstallation, d’obtenir le nom exact du programme, sa version, son éditeur, sa date d’installation, etc.

Il est aussi possible de repérer des restes de logiciels mal désinstallés, ou de créer un inventaire manuel sur une machine, directement à partir de ces clés.

Clés du registre à consulter

• Pour tous les utilisateurs (programmes 64 bits ou système) : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
• Pour les programmes 32 bits sur un système 64 bits : HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
• Programmes installés par l’utilisateur courant uniquement : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall

Chaque sous-clé représente un programme (avec un nom de type GUID ou nom lisible). À l’intérieur, on trouve différentes valeurs utiles comme :

Chaque sous-clé représente un programme (avec un nom de type GUID ou nom lisible). À l’intérieur, on trouve différentes valeurs utiles comme :
Nom de valeur	Description
DisplayName	Nom affiché dans la liste des programmes
DisplayVersion	Version du logiciel
InstallDate	Date d’installation
Publisher	Éditeur
UninstallString	Chemin exact vers la commande de désinstallation
QuietUninstallString	Chemin vers une désinstallation silencieuse (si disponible)
InstallLocation	Dossier d’installation du programme

Exemple : désinstaller manuellement un programme

• Repérez dans le registre la clé du programme à supprimer.
• Copiez la valeur UninstallString
• Exécutez manuellement (via Exécuter ou en ligne de commande)
• Facultativement : supprimez la clé si l’entrée reste visible malgré la désinstallation

Clés de registre des services Windows : fonctionnement et modification

Les services Windows sont des composants système essentiels, souvent lancés en arrière-plan au démarrage du système. Ils peuvent assurer des tâches critiques comme les mises à jour, l’impression, la sécurité ou la gestion réseau. Ces services sont gérés par le processus services.exe, mais beaucoup d’entre eux sont hébergés dans des processus partagés nommés svchost.exe (Service Host), afin de mutualiser les ressources et limiter l’empreinte mémoire.

Le registre Windows permet de visualiser, configurer et parfois réparer les services installés. Il est même possible d’ajouter ou de supprimer des services manuellement, bien que cela soit réservé aux utilisateurs expérimentés.

À l’intérieur de chaque service, on trouve de nombreuses valeurs, les plus importantes étant :

• Configuration de Windows : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
• La configuration matérielle : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
• Les profils de configuration matérielle : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles
• La liste des services Windows : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Clé principale des services Windows

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Chaque sous-clé de cette branche représente un service système ou utilisateur. Le nom de la sous-clé correspond au nom court du service (ex. : wuauserv pour Windows Update, WinDefend pour Windows Defender).

À l’intérieur de chaque service, on trouve de nombreuses valeurs, les plus importantes étant :

Nom de valeur	Description
DisplayName	Nom lisible du service
ImagePath	Chemin de l’exécutable ou commande à lancer
Start	Mode de démarrage (voir tableau ci-dessous)
Type	Type de service (interactif, kernel, partage svchost…)
Description	Description du rôle du service
DependOnService	Dépendances (services requis pour démarrer)

Valeurs possibles de Start

Valeur	Mode de démarrage
2	Automatique
3	Manuel
4	Désactivé
0	Démarrage au boot (rare, réservé aux services critiques)
1	Système (avant l’ouverture de session)

Modifier cette valeur permet, par exemple, de désactiver manuellement un service problématique ou au contraire de forcer son démarrage automatique.

Clés Shell Folders : chemins système et redirections de dossiers

Windows utilise des chemins spéciaux appelés « Shell Folders » pour localiser les dossiers système propres à chaque utilisateur ou au système global : Bureau, Documents, Téléchargements, Démarrage, ProgramData, etc. Ces chemins sont utilisés par de nombreuses applications pour enregistrer des fichiers ou charger des ressources. Ils sont définis dans le registre, ce qui permet, entre autres, de personnaliser l’emplacement de certains dossiers, ou de réparer un profil corrompu dont les chemins système ont été modifiés.

Ces clés sont également consultées au démarrage de Windows et par l’Explorateur de fichiers pour afficher les icônes ou les chemins dans les raccourcis (ex. : %USERPROFILE%\Desktop, %APPDATA%, etc.).

Localisation des clés Shell Folders

Il existe deux branches principales dans le registre :

Pour l’utilisateur courant :

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Pour tous les utilisateurs (valeurs système) :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Différence entre Shell Folders et User Shell Folders

• Shell Folders contient des chemins déjà résolus (ex. : C:\Users\Nom\Desktop)
• User Shell Folders contient des variables d’environnement (ex. : %USERPROFILE%\Desktop) — c’est cette clé que Windows utilise en priorité.

Les valeurs présentes dans User Shell Folders peuvent donc être modifiées dynamiquement selon l’utilisateur connecté, ce qui est utile pour la redirection de profils ou la gestion centralisée (ex. en entreprise).

Exemples de valeurs courantes

Nom de la valeur	Chemin par défaut
Desktop	%USERPROFILE%\Desktop
Personal	%USERPROFILE%\Documents
AppData	%USERPROFILE%\AppData\Roaming
Favorites	%USERPROFILE%\Favorites
Startup	%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
My Music	%USERPROFILE%\Music
Local AppData	%USERPROFILE%\AppData\Local

A lire : Restaurer l’emplacement des documents de Windows et Déplacer ses données utilisateurs Windows

Clés AppCompat / Application Compatibility Flags

Depuis Windows XP, Microsoft a intégré un système de compatibilité des applications (AppCompat) pour permettre à d’anciens programmes conçus pour des versions précédentes de Windows de fonctionner correctement. Lorsqu’un programme est identifié comme potentiellement incompatible, ou lorsqu’un utilisateur applique manuellement un mode de compatibilité (ex. : « Windows 7 », « Exécuter en tant qu’administrateur »), Windows enregistre ces préférences dans le registre via des flags AppCompat.

Ces entrées sont stockées dans des clés spécifiques du registre, et peuvent être modifiées pour forcer certains comportements, corriger un dysfonctionnement, ou supprimer des paramètres de compatibilité persistants.

Clés principales à connaître

• Compatibilité utilisateur (User-specific) : HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers ─ Contient les programmes pour lesquels l’utilisateur actuel a défini un mode de compatibilité ou des options spéciales.
• Compatibilité globale (pour tous les utilisateurs) : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers ─ Permet d’appliquer une compatibilité forcée à l’ensemble du système pour une application précise.

Fonctionnement des valeurs

Chaque entrée est une valeur de type chaîne (REG_SZ), où :

• Nom de la valeur = chemin complet vers l’exécutable
• Données = flags de compatibilité appliqués

Exemples :

Chemin de l’exécutable	Données
C:\Program Files\AncienJeu\jeu.exe	WIN7 RUNASADMIN
D:\Utilitaires\app.exe	WINXP256COLOR DISABLETHEMES

Quelques flags courants :

Flag	Effet
WINXPSP3, WIN7, WIN8	Simule un ancien environnement Windows
RUNASADMIN	Lance le programme avec des droits administrateur
DISABLETHEMES	Désactive les thèmes visuels
256COLOR	Force un affichage 256 couleurs
DPIUNAWARE	Ignore les paramètres de mise à l’échelle DPI
DISABLEDXMAXIMIZEDWINDOWEDMODE	Corrige certains jeux plein écran

Ainsi, si un programme se lance toujours en mode administrateur ou avec un comportement étrange, pense à supprimer sa clé dans AppCompatFlags\Layers. Cela réinitialisera les options de compatibilité.

L’article Registre Windows : 12 clés essentielles pour gérer Defender, démarrage, services et plus est apparu en premier sur malekal.com.

Au programme :

En ce mois de juillet 2025 je vous propose une plongée dans les archives du RDV Tech on va remonter juste de quelques années pour se repencher sur le début de quelque chose qui bouleverse beaucoup de choses ces dernières années, l'arrivée de ChatGPT fin 2022. 

On en parlait dans le RDV Tech 490 le 6 décembre 2022 avec au micro avec moi Korben et Cedric de Luca, avec le début de la version conversationnelle de ChatGPT pour le grand public, on était impressionnés par la génération de textes. 

Infos :

Animé par Patrick Beja (Bluesky, Instagram, Twitter, TikTok)

Produit par Patrick Beja (LinkedIn) et Fanny Cohen Moreau (LinkedIn).

Musique libre de droit par Daniel Beja

---

Liens :

🎧 L’Actu Tech (podcast daily): NotPatrick.com/#lactutech

😎 Soutien sur Patreon : Patreon.com/RDVTech

🤗 Communauté Discord : NotPatrick.com/discord

Par écrit :

📰 Newsletter : NotPatrick.com/newsletter

📰 Archives NL: NotPatrick.com/archivenl

📢 WhatsApp : NotPatrick.com/whatsapp

🐤 Veille Twitter : Twitter.com/RdvTech

En vidéo :

📹 Live : Twitch.tv/NotPatrick

📺 VOD : YouTube.com/NotPatrickPodcasts

📱 TikTok : Tiktok.com/@NotNotPatrick

💁 Tous les liens : NotPatrick.com

---

Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

💾

© NotPatrick

Si vous ne disposez pas d'un serveur dédié ou mutualisé avec un accès à une interface de gestion des tâches Linux, on parle ici de cron, alors cela peut être une fonctionnalité qui vous manque.

Heureusement, il existe un service web open-source qui permet d'exécuter des jobs (cron) pour vous, le tout gratuitement et en français (multilingue).

Comment fonctionne cron-job.org

cron-job.org est un service en ligne gratuit qui permet de planifier et d’automatiser l’exécution de requêtes HTTP vers vos sites web, APIs ou scripts, à des intervalles personnalisés allant de chaque minute à une fois par an.

Le paramétrage se fait via une jolie interface web ou une API REST, ce qui le rend accessible même pour ceux qui n’ont pas de serveur dédié ou de connaissances système :

• Jusqu’à 60 exécutions par heure (1 tâche par minute)
• Requêtes HTTP personnalisées : choisissez la méthode au choix (GET, POST, etc.), les en-têtes et le corps de la requête pour chaque job
• Historique et prévisualisation : historique détaillé des exécutions (réponses, temps, erreurs), prochaines dates d’exécution
• Notifications et monitoring : notification par email en cas d’échec
• Mise à disposition d'une page de statut pour suivre les tâches
• Test immédiat : lancez un job manuellement pour vérifier sa configuration avant de le planifier
• Sécurité : Authentification à deux facteurs (TOTP ou YubiKey) pour protéger votre compte
• Écologique & open source : les serveurs tournent à l’énergie hydraulique 100% verte et le code source est disponible sous licence GPL sur GitHub

Vous pourrez par exemple automatiser des scripts de maintenance ou de sauvegarde sur un site web, lancer des tâches récurrentes sur des APIs (envoi de newsletters, nettoyage de base de données, etc.), ou encore surveiller la disponibilité d’un service ou d’un site web.

Plus de 15 ans d'existence

Ce site existe depuis 2010 et avec près de 400K utilisateurs il exécute des millions de tâches quotidiennement. Il est gratuit et sans publicité : financé uniquement par des dons.

C'est une solution simple, puissante et gratuite pour externaliser la planification et l’automatisation de tâches web, sans dépendre d’un cron local ou d’un serveur dédié. Je l'utilise depuis peu pour la publication programmée en remplacement du scheduler (foireux de WordPress) sur Blogmotion, je pense que cela fera l'objet d'un article dédié.

Une belle alternative à easycron dont l'offre gratuite n'est pas aussi généreuse et fournie

cron-job.org 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 05/07/2025 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Un service en ligne gratuit de cron ⌚ provient de : on Blogmotion.

Parmi les nombreuses menaces qui circulent sur Internet, le Trojan Downloader se distingue par sa discrétion et sa dangerosité indirecte. À lui seul, ce malware n’endommage pas immédiatement votre système ni vos fichiers. Pourtant, il joue un rôle crucial dans les attaques informatiques modernes : il est chargé de télécharger et d’installer d’autres malwares plus destructeurs, comme des ransomwares, chevaux de Troie bancaires, spyware ou logiciels d’accès à distance.

Souvent diffusé par pièces jointes piégées, logiciels piratés ou publicités malveillantes, le Trojan Downloader s’exécute silencieusement en arrière-plan, établit une connexion avec un serveur distant, et livre les charges malveillantes choisies par les cybercriminels. Il constitue ainsi le premier maillon d’une chaîne d’infection, et l’un des plus critiques.

Dans cet article, vous allez découvrir :

• Ce qu’est un Trojan Downloader et comment il fonctionne,
• Les exemples les plus connus ayant marqué l’actualité,
• Pourquoi il est si redouté par les spécialistes en cybersécurité,
• Et surtout, comment s’en protéger efficacement.

Qu’est-ce qu’un Trojan Downloader ?

Un Trojan Downloader (ou cheval de Troie téléchargeur) est un type de malware spécialisé dans le téléchargement et l’installation d’autres logiciels malveillants sur l’ordinateur infecté. Contrairement à un cheval de Troie classique qui peut être conçu pour voler des données ou contrôler la machine directement, le downloader agit comme un “agent de livraison” silencieux. Son rôle principal est de préparer le terrain pour des menaces plus graves, comme des ransomwares, des spywares, des chevaux de Troie bancaires ou des logiciels d’accès à distance (RAT).

Souvent de petite taille, il passe inaperçu à l’installation et reste actif en arrière-plan. Une fois lancé, il établit une connexion avec un serveur distant (C2) pour récupérer les charges utiles, qui seront ensuite exécutées automatiquement sur le système, sans intervention de l’utilisateur.

Il fait partie des malwares les plus utilisés dans les campagnes de phishing ou dans les chaînes d’infection complexes. Le Trojan Downloader est souvent le premier maillon d’une attaque plus large, et c’est pourquoi il est particulièrement redouté : il ne fait “rien de visible” à première vue, mais ouvre la porte à tout le reste.

Fonctionnement technique d’un Trojan Downloader

Le Trojan Downloader agit de manière furtive et méthodique. Son objectif principal est de télécharger puis exécuter d’autres malwares sur la machine infectée, le plus souvent à l’insu de l’utilisateur. Voici les principales étapes de son fonctionnement :

Infection initiale

Le Trojan Downloader est généralement distribué via des vecteurs classiques :

• Phishing : pièce jointe malveillante (les virus Office, archive ZIP),
• Téléchargement de logiciels piratés (cracks, keygens),
• Publicités piégées (malvertising) ou faux installateurs,
• Exécutables déguisés (fichier invoice.exe présenté comme une facture, par exemple).

→ Les Virus et Trojan : comment ils infectent les PC

Une fois que l’utilisateur ouvre le fichier, le trojan s’exécute discrètement en arrière-plan.

Connexion au serveur distant

Après s’être lancé, le Trojan Downloader établit une connexion sortante avec un serveur de commande (C2) contrôlé par l’attaquant. Cette communication peut se faire :

• en HTTP/HTTPS (requêtes classiques vers des URLs codées ou dynamiques),
• en protocole personnalisé (plus difficile à détecter),
• parfois via réseaux P2P pour éviter les coupures de serveur.

Le trojan peut récupérer une liste de malwares à télécharger depuis son serveur C2, avec les URLs, signatures ou instructions associées. Dans certains cas, l’adresse du fichier à télécharger est déjà contenue dans le code du trojan : elle peut être codée en dur ou générée dynamiquement à l’exécution, par exemple via une fonction de construction d’URL.

Téléchargement de la charge utile (payload)

Le Trojan Downloader télécharge ensuite un ou plusieurs fichiers malveillants depuis le serveur distant :

• ransomware,
• spyware,
• keylogger,
• cheval de Troie bancaire,
• outil d’accès à distance (RAT),
• ou une nouvelle version de lui-même (mise à jour).

Ces fichiers sont souvent chiffrés ou compressés pour éviter la détection par les antivirus.

Exécution et installation

Une fois les fichiers récupérés, le downloader les exécute immédiatement ou les installe via :

• des scripts temporaires (PowerShell, VBS…),
• l’injection dans un processus système,
• ou en copiant les fichiers dans des dossiers système avec un point de chargement (autorun) pour la persistance (Run/RunOnce, services, tâches planifiées…).

Le downloader peut ensuite s’effacer lui-même pour masquer son rôle dans la chaîne d’infection.

Exemples concrets de Trojan Downloaders connus

Plusieurs Trojan Downloaders célèbres ont été massivement utilisés dans des attaques à grande échelle, souvent comme première étape avant le déploiement d’un ransomware ou d’un malware bancaire.

Upatre (2013–2016)

L’un des premiers Trojan Downloaders largement utilisés dans des campagnes de malspam. Il était souvent distribué via des pièces jointes .ZIP contenant des exécutables déguisés, et servait principalement à télécharger le cheval de Troie bancaire Zeus ou le ransomware CryptoLocker.

Gamarue / Andromeda (2011–2017)

Utilisé dans des kits d’exploitation ou campagnes de spam, Gamarue était un downloader modulaire qui pouvait installer divers malwares selon le profil de la victime. Il a été démantelé en 2017 lors d’une opération conjointe entre Microsoft et le FBI.

Kovter (2014–2020)

Évoluant du simple adware au trojan downloader furtif, Kovter utilisait des techniques de persistance dans le registre Windows uniquement (sans fichier sur disque), rendant sa détection complexe. Il servait à télécharger des ransomwares ou des logiciels publicitaires à grande échelle.

Smoke Loader (depuis 2011 – actif en 2025)

Toujours en activité, Smoke Loader est utilisé dans des campagnes massives de malspam, souvent couplé à d’autres malwares. Il se distingue par sa légèreté et sa capacité à enchaîner les téléchargements de charges utiles (ransomware, RAT, miner…).

Emotet (2014–2021, réapparu brièvement en 2022)

Initialement un trojan bancaire, Emotet est rapidement devenu l’un des downloaders les plus puissants et distribués au monde. Il infectait les victimes via des documents Word piégés, et téléchargeait des malwares comme TrickBot, Qbot, ou des ransomwares comme Ryuk. Son infrastructure a été démantelée début 2021 par Europol, mais des variantes ont refait surface.

Trojan JavaScript / VBS : simple, discret, efficace

En parallèle des exécutables .exe ou des fichiers macro, les trojans écrits en JavaScript (.js) ou en VBScript (.vbs) sont encore aujourd’hui très utilisés dans les campagnes de phishing. Leur force réside dans leur simplicité d’exécution et leur capacité à contourner certains filtres de messagerie, surtout quand ils sont compressés dans des archives .ZIP.

Comment ils fonctionnent :

• L’utilisateur reçoit un e-mail avec un objet générique du type « Facture », « Document important », ou « Relance de paiement ».
• La pièce jointe est souvent une archive .zip contenant un fichier document.js ou fichier.vbs.
• Dès l’ouverture, le script télécharge en arrière-plan un exécutable depuis un serveur distant (fréquemment via wget, bitsadmin, ou powershell Invoke-WebRequest).
• Il lance ensuite automatiquement l’exécutable téléchargé, qui peut être un ransomware, un RAT ou un autre downloader.

Ces scripts ne nécessitent aucune élévation de privilèges et s’exécutent simplement si l’utilisateur double-clique, ce qui les rend extrêmement efficaces, notamment dans des environnements peu protégés.

Pourquoi un Trojan Downloader est-il dangereux ?

Le Trojan Downloader est souvent sous-estimé, car, à lui seul, il ne vole pas directement vos données, ne chiffre pas vos fichiers et ne prend pas le contrôle de votre webcam. Pourtant, il représente une menace majeure dans la chaîne d’infection, comme il ouvre la porte à des malwares bien plus destructeurs.

Voici pourquoi il est particulièrement dangereux.

Il agit en toute discrétion :

Un Trojan Downloader est généralement léger, silencieux, et sans effets visibles immédiats. Il peut s’exécuter en arrière-plan sans ralentir le système ni provoquer d’alerte. De nombreux utilisateurs ne se rendent compte de sa présence qu’après l’installation du vrai malware (ransomware, cheval de Troie bancaire, etc.).

Il installe des menaces bien plus graves :

Son rôle est de télécharger et exécuter d’autres malwares, ce qui signifie qu’une seule infection peut entraîner en cascade :

• le vol de données confidentielles (mots de passe, fichiers),
• l’installation d’un ransomware qui chiffre tout le système,
• l’espionnage via un RAT (Remote Access Trojan),
• ou l’intégration à un botnet utilisé pour des attaques DDoS ou du spam massif.

Il peut réinjecter des malwares après nettoyage :

Certains downloaders restent résidents ou se réinstallent via une tâche planifiée ou un point de démarrage. Résultat : même après avoir supprimé les malwares visibles, le downloader peut réinstaller la menace au redémarrage suivant.

Il est difficile à détecter :

• Il utilise souvent des techniques de dissimulation : noms de fichiers trompeurs, répertoires système, extensions masquées…
• Il peut employer un chiffrement ou une obfuscation de son code ou de ses communications avec le serveur.
• Les antivirus ne le détectent pas toujours s’il est scripté (JavaScript, VBS) ou personnalisé pour une campagne ciblée.

Il peut adapter son comportement à la cible :

Certains Trojan Downloaders avancés sont capables de collecter des informations sur la machine infectée (langue, localisation, type de système, présence d’un antivirus…) avant de choisir quelle charge malveillante installer. Cette approche dynamique rend leur action plus efficace et ciblée.

Comment se protéger d’un Trojan Downloader

Comme le Trojan Downloader agit en amont de l’infection principale, le bloquer à temps permet souvent d’éviter tout le reste de la chaîne d’attaque : ransomware, espionnage, vol de données… Voici les meilleures pratiques à adopter pour s’en protéger efficacement.

• Vigilance face aux e-mails et pièces jointes :
  • Ne jamais ouvrir de pièce jointe inattendue, même si l’expéditeur semble connu.
  • Se méfier des fichiers .zip, .js, .vbs, .lnk, .docm, .xlsm : ce sont des formats classiques pour les malwares.
  • Désactiver l’exécution automatique des macros dans Microsoft Office.
  • Toujours afficher les extensions de fichiers dans l’Explorateur Windows pour repérer les noms trompeurs (Facture.pdf.exe, etc.).
• Filtrer les connexions sortantes suspectes :
  • Activer et configurer un pare-feu efficace (Windows Firewall ou solution tierce).
  • Surveiller les connexions sortantes anormales vers des domaines inconnus (à l’aide de logiciels comme GlassWire, TCPView ou Wireshark).
  • En entreprise : utiliser un proxy ou un filtre DNS (ex. NextDNS, Quad9, OpenDNS avec filtrage) pour bloquer les domaines C2 connus.
• Utiliser une protection antivirus/EDR à jour
• Maintenir le système et les logiciels à jour pour combler failles logicielles
• Faire une analyse complète du système avec votre antivirus une fois par semaine.

L’article Comprendre le Trojan Downloader : rôle, fonctionnement, exemples, protection est apparu en premier sur malekal.com.

Best NAS You Can Buy Right Now (Mid-2025) for Under $249

As personal data storage needs continue to grow in 2025, more users are seeking cost-effective alternatives to cloud services and monthly subscription platforms. Whether you’re backing up years of photos, hosting your own video library, or managing light business data locally, a dedicated NAS (Network Attached Storage) device offers greater privacy and control without recurring fees. Fortunately, the sub-$249 price point now includes a variety of surprisingly capable systems. Thanks to developments in low-power processors, DDR5 memory adoption, and more efficient operating systems, these devices can now handle everything from Plex streaming to light container workloads with relative ease. In this article, we explore five NAS solutions currently available at or below this price point, offering a balance of performance, connectivity, and storage potential for those looking to build their own storage solution on a modest budget.

Important Disclaimer and Notes Before You Buy!

Before diving into the specific NAS models, it’s important to understand the limitations and shared characteristics of devices in this price range. Most sub-$249 NAS units do not include any hard drives or SSDs, and many rely on M.2 NVMe slots or 2.5″/3.5″ SATA bays that must be populated separately. Some models ship with basic onboard storage (e.g., 32GB–64GB eMMC) sufficient only for the operating system. As such, the actual cost of getting a fully operational NAS with adequate storage for your needs may exceed the base unit price. Buyers should also be aware that these devices are best suited for home users, personal cloud use, and entry-level tasks, rather than intensive business or enterprise workloads. Additionally, several of the devices covered in this list do not come with a full-featured NAS operating system. Instead, they either rely on lightweight Linux-based platforms like CasaOS or ZimaOS, or they provide a basic UI designed for local file access and container management. While these OS options are improving in terms of user-friendliness, they may lack advanced features like comprehensive RAID management, automated snapshots, or multi-user file permission systems found in higher-end platforms like Synology DSM or TrueNAS. These NAS units are most appropriate for users with some technical confidence, or for those looking for a basic plug-and-play setup with limited customization needs.

---

Beelink ME Mini NAS – 6 Bay SSD NAS

$209 – Intel N150 – 12GB – No SSD (64GB eMMC Only) – 2x 2.5GbE + WiFi 6 – No OS / User Install – BUY HERE

The Beelink ME Mini is a compact NAS device aimed at users who want high-speed, SSD-based storage in a minimal footprint. Measuring just 99mm on each side, it features six M.2 2280 NVMe slots, providing up to 24TB of total capacity when fully populated. Powered by the Intel N150 processor and paired with 12GB of LPDDR5 memory, it offers a decent balance between performance and energy efficiency. Connectivity is handled via dual 2.5GbE LAN ports, WiFi 6, and Bluetooth 5.2, making it suitable for both wired and wireless environments. The unit is cooled passively and contains an integrated power supply, reducing cable clutter and making it ideal for placement in home media setups or small offices.

However, the device does not include an operating system, and users will need to install a preferred NAS OS themselves — whether that’s CasaOS, Ubuntu Server, or something container-based. There’s also no bundled storage beyond the 64GB eMMC system partition, so the overall cost will rise depending on your NVMe selections. It lacks support for traditional 3.5″ or 2.5″ SATA drives, making this NAS most suitable for users seeking a quiet, SSD-only setup with strong networking performance and flexibility for custom OS installation.

---

GMKTec G9 NAS – 4 Bay M.2 NAS @ The lowest Price

$185.99 – Intel N150 – 12GB – No SSD (64GB eMMC Only) – 2x 2.5GbE + WiFi 6 – Ubuntu 24.10 (Preloaded, Switchable) – BUY HERE

The GMKTec G9 offers similar internal hardware to the Beelink ME Mini, including the same Intel N150 processor and 12GB of LPDDR5 memory, but with a more rectangular chassis and fewer SSD slots — four instead of six. The system includes 64GB of onboard eMMC storage, primarily used for booting Ubuntu 24.10, with the option to dual-boot into Windows 11 if a suitable SSD is installed. Like the Beelink, it lacks traditional SATA support and focuses on high-speed NVMe storage via M.2 2280 slots, up to 4TB per drive. The unit is cooled actively and includes dual HDMI outputs, making it more appealing for those who may want to use it as a lightweight desktop or media output device in addition to a NAS.

One of the notable differences is its broader OS support and better I/O variety, including three USB 3.2 ports and a DisplayPort-capable USB-C connector. This NAS is best suited to users looking for a more configurable or multi-purpose system with better visual output options. However, as with the Beelink, users must add their own NVMe storage, and setup requires a basic understanding of system boot configuration and OS installation. Note – this one GETS HOT, so get SSD heatsinks and ensure a good active airflow wherever you deploy it!

---

Synology BeeStation 4TB NAS – ALL IN ONE!

$199 – Realtek RTD1619B – 1GB – 4TB SINGLE BAY – 1x 1GbE – BeeStation Manager (BSM) – BUY HERE

The Synology BeeStation 4TB is a fully integrated, single-bay NAS aimed squarely at users who want a no-setup-required solution. Unlike most NAS devices in this price range, it comes pre-configured with a 4TB internal hard drive and a sealed chassis, meaning users don’t need to source or install any storage themselves. It runs on a Realtek RTD1619B ARM-based processor, includes 1GB of DDR4 memory, and connects over a single 1GbE port. The included BeeStation Manager (BSM) OS is designed specifically for beginners, offering cloud-style file access, photo management, and mobile app integration with minimal technical effort.

This NAS is best suited to individuals or households that want a simple local backup and file-sharing solution that behaves more like a smart external hard drive than a customizable NAS. It supports basic multimedia functions, Synology mobile apps, and remote access features, but does not allow for internal expansion or RAID redundancy. The included USB-A and USB-C ports can be used for manual backups to external drives. However, because it’s a sealed single-drive unit with no RAID options, users should plan to back up to another location—either cloud or USB—to ensure data protection. Despite these limitations, its all-in-one design, 3-year warranty, and simple user experience make it one of the few truly plug-and-play NAS systems under $250.

---

UGREEN NASync DXP2800 NAS – The New Challenger!

$249 – Intel N100 – 8GB – No Storage (32GB eMMC) – 1x 2.5GbE – UGOS Pro – BUY HERE

The UGREEN DXP2800 is part of the company’s NASync lineup, aimed at users who want a blend of expandability and affordability. It combines the practicality of traditional HDD storage with the performance benefits of SSDs, offering two 3.5″ SATA bays alongside two M.2 NVMe SSD slots for faster caching or active data operations. At the heart of the system is an Intel N100 processor, a 12th-generation quad-core chip from Intel’s energy-efficient N-series lineup, which supports both basic virtualization and multimedia streaming. This is paired with 8GB of DDR5 memory, non-ECC but upgradable, and a 32GB eMMC used solely for the preloaded UGOS Pro operating system. Connectivity is handled through a single 2.5GbE LAN port and a mix of USB ports on both front and rear panels — including USB-C and 10Gbps-capable USB-A. UGOS Pro, while relatively new, features a clean web-based interface with container support, RAID management (0, 1, JBOD), remote file sharing, and basic multimedia services.

While it lacks the ecosystem polish of Synology DSM or QNAP QTS, it is one of the few turnkey options in this price range that supports both SSD and HDD usage in a flexible, non-proprietary layout. However, buyers should still account for the need to install their own drives and configure the storage pools manually. It’s a solid balance of raw hardware potential and modest software capability for users willing to manage their setup beyond the initial boot.

---

ZimaBoard 2 (832 Version) – DIY Enthusiast’s DREAM!

$199 – Intel N150 – 8GB – No Storage (32GB eMMC) – 2x 2.5GbE – ZimaOS – BUY HERE

The ZimaBoard 2 (832) is a low-profile, single-board NAS platform designed for flexibility and modularity rather than out-of-the-box convenience. Unlike traditional NAS systems with enclosures and tool-less drive bays, this unit is a bare embedded board that offers direct access to interfaces for those who want to build or customize their own setup. It is powered by the same Intel N150 quad-core processor used in other compact NAS systems, paired here with 8GB of LPDDR5x memory and 32GB of onboard eMMC storage for its pre-installed ZimaOS. This board features two powered SATA 3.0 ports, making it one of the few sub-$250 NAS options that supports HDDs natively without requiring USB-to-SATA adapters or expansion modules.

In terms of connectivity, the ZimaBoard 2 includes dual 2.5GbE LAN ports, USB 3.1, a PCIe 3.0 x4 slot, and a Mini DisplayPort output supporting 4K60 video. While the PCIe slot expands potential use cases (e.g., additional networking, storage, or accelerator cards), most users will opt to use the SATA ports for reliable storage first. The board is passively cooled with a large integrated heatsink and operates silently, but thermal performance may vary based on enclosure design and ambient temperature. It is particularly well-suited to DIY users looking to build a lightweight NAS, firewall, media server, or container host. ZimaOS includes a web-based UI and supports CasaOS and Linux-based OS alternatives, but configuration still requires basic familiarity with system setup and storage configuration. It’s not intended for users looking for plug-and-play simplicity, but rather those who want total control over their NAS hardware and software environment.

---

Each of the NAS options presented here offers a different balance of hardware, expandability, and ease of use, while remaining under the $249 price threshold. Users who prefer pre-configured simplicity may lean toward the Synology BeeStation, while those seeking customization and SSD-focused performance might opt for the Beelink ME Mini or GMKTec G9. The UGREEN DXP2800 provides hybrid storage flexibility with a more developed software interface, and the ZimaBoard 2 appeals to technically inclined users who want complete control over their system stack. While no single device is perfect, all five represent viable paths toward local data ownership and self-hosted media or backup solutions without breaking the bank.

SUBSCRIBE TO OUR NEWSLETTER
[contact-form-7]
Join Inner Circle

This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below

Need Advice on Data Storage from an Expert?

Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you. Need Help? Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry. [contact-form-7] TRY CHAT Terms and Conditions   Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.

WE LOVE COFFEE

 

Au programme :

IA vs auteurs: première victoire des LLM

Fairphone Gen 6, une première réussite?

TikTok et Instagram bientôt sur votre télé?

Le reste de l’actualité

Infos :

Animé par Patrick Beja (Bluesky, Instagram, Twitter, TikTok)

Co-animé par Jérôme Keinborg (Bluesky).

Co-animé par Cédric de Luca

Produit par Patrick Beja (LinkedIn) et Fanny Cohen Moreau (LinkedIn).

Musique libre de droit par Daniel Beja

Le Rendez-vous Tech épisode 625 – L’important c’est le chemin ET la destination – Victoire légale des LLM, Fairphone Gen 6, TikTok & Insta sur TV

---

Liens :

🎧 L’Actu Tech (podcast daily): NotPatrick.com/#lactutech

😎 Soutien sur Patreon : Patreon.com/RDVTech

🤗 Communauté Discord : NotPatrick.com/discord

Par écrit :

📰 Newsletter : NotPatrick.com/newsletter

📰 Archives NL: NotPatrick.com/archivenl

📢 WhatsApp : NotPatrick.com/whatsapp

🐤 Veille Twitter : Twitter.com/RdvTech

En vidéo :

📹 Live : Twitch.tv/NotPatrick

📺 VOD : YouTube.com/NotPatrickPodcasts

📱 TikTok : Tiktok.com/@NotNotPatrick

💁 Tous les liens : NotPatrick.com

---

Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

💾

© NotPatrick

Parmi les menaces les plus avancées et les plus difficiles à détecter, le bootkit occupe une place à part. Ce type de malware s’attaque à une phase critique du système : le démarrage de l’ordinateur, avant même que Windows ne soit chargé. En infectant le MBR (Master Boot Record) ou le firmware UEFI, un bootkit peut prendre le contrôle du PC dès l’allumage, cacher d’autres malwares et désactiver les protections de sécurité, tout en restant pratiquement invisible pour les antivirus classiques.

Dans cet article, nous allons vous expliquer :

• ce qu’est un bootkit et comment il fonctionne,
• pourquoi il est si difficile à détecter et à supprimer,
• quels sont les exemples les plus connus (TDL4, BlackLotus, Petya…),
• et comment vous protéger efficacement, notamment grâce au Secure Boot et à l’UEFI.

J’ai donc synthétisé pour vous tout ce qu’il faut savoir dans ce guide complet qui vous donnera une vue complète sur cette menace extrêmement furtive, mais bien réelle.

Qu’est-ce qu’un bootkit ?

Un bootkit (contraction de bootloader et rootkit) est un type de malware qui s’infiltre dans la phase de démarrage du système, bien avant que Windows ou tout autre OS ne soit complètement chargé. Il cible généralement :

• le secteur de démarrage (MBR) sur les anciens systèmes,
• ou le bootloader UEFI (EFI/ESP) sur les machines modernes.

Une fois installé, le bootkit peut dissimuler d’autres malwares, prendre le contrôle total du système, et intercepter des fonctions système critiques, tout en restant pratiquement invisible.

Comment fonctionne un bootkit et pourquoi sont-ils si difficiles à détecter ?

Un bootkit agit dès le démarrage de l’ordinateur, avant même que l’antivirus ou le noyau de Windows ne soient actifs. Il s’insère dans la chaîne de démarrage et charge un code malveillant en mémoire, qui peut ensuite :

• injecter des composants malveillants dans le noyau (kernel),
• contourner les contrôles d’intégrité,
• cacher des fichiers, processus ou connexions réseau.

Ce fonctionnement bas-niveau permet au bootkit de prendre la main avant que les protections du système ne soient en mesure de le détecter. Il est donc très difficile à repérer et encore plus compliqué à supprimer sans un accès direct au firmware ou un environnement de secours.

Ainsi, les bootkits ne s’exécutent pas dans le cadre normal du système d’exploitation. Cela signifie que :

• les outils antivirus classiques ne peuvent pas les analyser, puisqu’ils sont actifs avant leur propre lancement,
• certains bootkits utilisent des signatures numériques valides, leur permettant de contourner Secure Boot,
• ils peuvent survivre à un formatage ou à une réinstallation de l’OS, si le secteur de démarrage ou le firmware n’est pas réinitialisé.

Que peut faire un bootkit ?

Les capacités d’un bootkit varient selon les cas, mais elles incluent généralement :

• l’espionnage (keylogger, interception de trafic, vol d’identifiants),
• le contrôle total du système, y compris l’élévation de privilèges,
• la persistance extrême, même après un formatage classique,
• l’installation silencieuse d’autres malwares (trojans, ransomwares…),
• la manipulation de fonctions système, rendant la machine instable ou totalement compromise.

Certains de ces bootkits visaient le vol d’informations (TDL4, Rovnix), d’autres étaient conçus pour un impact destructif (Petya, NotPetya), tandis que les plus récents (BlackLotus, CosmicStrand) visent à cacher leur présence tout en servant de base à d’autres malwares (ransomware, spyware, etc.).

Exemples de bootkits connus

En MBR

Le MBR (Master Boot Record) était historiquement plus vulnérable aux attaques de bootkits pour plusieurs raisons techniques et structurelles :

• Absence de vérification d’intégrité : Le BIOS (ancien firmware des PC) chargeait le MBR sans vérifier sa légitimité. Il n’existait ni signature cryptographique, ni système de validation par le constructeur
• Facilité d’écriture pour un malware : Un malware pouvait utiliser des commandes système simples (\\.\PhysicalDrive0) pour écrire directement dans le MBR, sans besoin de privilèges élevés, ni alerte sécurité
• Pas de Secure Boot à l’époque du MBR

De ce fait, de nombreux boookits ont vu le jour à partir de 2010.

TDL4 (Alureon) est un des bootkits les plus répandus dans les années 2010. Il infectait le MBR pour charger un rootkit au démarrage, permettant de cacher des fichiers, détourner le trafic réseau et désactiver les protections système. TDL4 représentait une menace durable sur Windows XP et Windows 7.

Rovnix est une autre menace de ce type modulaire découvert vers 2012. Il injectait du code dans le MBR et utilisait des techniques de persistance avancées. Il ciblait principalement les données bancaires, en interceptant les sessions de navigation.

Un cas très particulier : Petya est avant tout un ransomware, mais sa particularité est qu’il modifiait le MBR pour bloquer l’accès au système dès le démarrage. Plutôt que de chiffrer les fichiers individuellement, il remplaçait le bootloader Windows par un faux écran de vérification de disque, puis chiffrer la table MFT (Master File Table) du disque.
Même si ce n’est pas un bootkit classique (car il ne se cache pas et ne cherche pas à persister), Petya utilise les techniques des bootkits pour prendre le contrôle avant Windows, et en cela, il représente un cas hybride.

En UEFI

L’UEFI ajoute des mécanismes de sécurité qui visent à rendre l’installation de bootkit plus difficile.
Toutefois, des bootkits UEFI existent.

LoJax a été découvert en 2018 par les chercheurs d’ESET. Il s’agit du premier malware UEFI observé à l’état sauvage, utilisé dans une campagne ciblée d’espionnage attribuée au groupe de cyberespionnage APT28 (Fancy Bear), lié à la Russie.
LoJax ne s’attaquait pas au système Windows directement, mais au firmware UEFI, en modifiant le contenu de la partition système EFI (ESP).

Le bootkit CosmicStrand, découvert dans le firmware de cartes mères modifiées, ce bootkit UEFI injecte un malware en mémoire lors du boot. Il prouve que les pirates peuvent compromettre un PC dès le firmware, même si le disque est remplacé ou Windows réinstallé.

Puis BlackLotus , l’un des bootkits UEFI les plus redoutés. Il exploite une faille (CVE-2022-21894) pour désactiver Secure Boot, bypasser BitLocker, et installer une charge persistante dès le démarrage. Il fonctionne même sur des machines modernes entièrement à jour. Il s’agit d’un malware vendu à l’origine sur les forums underground, signalant un tournant dans la sophistication des bootkits UEFI.

Comment s’en protéger ?

La meilleure défense contre les bootkits repose sur une combinaison de bonnes pratiques, de paramétrage firmware et de technologies modernes.

Activer Secure Boot

Les bootkits tirent leur force du fait qu’ils s’exécutent avant le système d’exploitation, en s’insérant dans le processus de démarrage (MBR ou UEFI). Pour contrer cette menace, Microsoft a introduit, à partir de Windows 8, deux mécanismes complémentaires : Secure Boot et ELAM (Early Launch Anti-Malware). Ensemble, ils forment une chaîne de confiance conçue pour empêcher tout code non autorisé de s’exécuter au démarrage.

Secure Boot est une fonctionnalité de l’UEFI qui vérifie, au moment du démarrage, que chaque composant chargé (bootloader, noyau, drivers critiques) est signé numériquement par un éditeur approuvé (Microsoft ou OEM).
Si un fichier EFI a été modifié ou s’il ne possède pas de signature valide, le firmware bloque son exécution (Security Violated).
Cela vise notamment à corriger le problème d’absence de vérification d’intégrité présent dans MBR.

ELAM (Early Launch Anti-Malware) est un pilote antivirus spécial lancé avant les pilotes tiers lors du démarrage de Windows.
Son rôle est de scanner les pilotes qui se chargent très tôt (y compris ceux injectés par un bootkit) et de bloquer ceux qui sont malveillants ou suspects.
Même si un bootkit contourne Secure Boot ou s’insère plus loin dans la chaîne de démarrage, ELAM peut intercepter son action au moment où il tente d’injecter un composant malveillant dans le noyau de Windows.

C’est une défense essentielle pour empêcher le chargement de code non autorisé au démarrage.
Cela fait partie de la stratégie de Microsoft pour rendre son OS plus sûr.
Plus de détails : Windows 11 et 10 : évolutions des protections de sécurité intégrées contre les virus et malwares
Enfin, à lire : Qu’est-ce que le Secure boot la protection des PC UEFI et comment ça marche ?

Maintenir le firmware à jour

Les fabricants de cartes mères publient régulièrement des mises à jour UEFI/BIOS pour corriger des failles exploitables par des bootkits.

Il est donc recommandé de :

• Maintenir à jour le BIOS est donc essentiel
• Installez les mises à jour de sécurité de Windows. Microsoft peut publier des mises à jour du firmware EFI via Windows Update
• Installez les mises à jour proposées dans les outils des fabricants de PC OEM

Utiliser un antivirus avec protection UEFI

Certains antivirus avancés (comme ESET, Kaspersky, Bitdefender ou Windows Defender sur machines compatibles) scannent le firmware UEFI pour détecter d’éventuelles modifications.

Éviter les ISO ou installeurs non vérifiés

Les bootkits peuvent être installés via des supports compromis : clés USB modifiées, ISO piégés, ou systèmes pré-infectés.
Le risque notamment est lorsque l’on installe une version modifiée de Windows.
Vous n’êtes pas certains que l’auteur y a inséré un malware et notamment un bootkit.

Toujours utiliser des sources officielles.

Utiliser des outils spécialisés de détection

Des outils comme UEFItool, CHIPSEC, ou des antivirus à démarrage sécurisé (bootables) peuvent analyser l’intégrité du firmware.

Comment supprimer un bootkit ?

La suppression d’un bootkit est complexe et dépend du type de système infecté :

• Pour les anciens systèmes MBR : réinitialiser le MBR, puis formater complètement le disque.
• Pour les systèmes UEFI : réinitialiser le BIOS/UEFI aux paramètres d’usine, flasher le firmware si nécessaire, puis réinstaller l’OS avec Secure Boot actif.

Dans certains cas, utilisez des outils de secours bootables, comme :

• Microsoft Defender Offline,
• ESET SysRescue Live,
• ou un LiveCD Linux spécialisé dans l’analyse firmware.

Rootkit et bootkit : quelle est la différence ?

Un rootkit est un malware furtif qui s’exécute dans le système d’exploitation, souvent au niveau noyau (kernel mode), et qui sert à masquer d’autres fichiers, processus ou connexions. Il se charge après Windows.
Au tour des années 2007, il fallait utiliser des outils comme GMER ou TDSKiller de Kaspersky pour détecter ce type de malware.
De son côté, un bootkit, lui, est une extension du rootkit, mais encore plus bas niveau : il s’infiltre dans le processus de démarrage, avant Windows, ce qui lui donne un contrôle total sur la machine dès l’allumage.

Critère	Rootkit	Bootkit
Emplacement	Noyau de Windows, pilotes, services, registre	MBR, secteur de démarrage, firmware UEFI
Moment d’exécution	Après le démarrage du système (post-boot)	Avant ou pendant le démarrage du système (pre-boot)
Objectif principal	Cacher d’autres malwares, manipuler le système	Contrôler la phase de boot, injecter du code très tôt
Mode d’action	Injection dans des processus ou des pilotes	Remplacement ou modification du bootloader
Furtivité	Très élevée, mais dépend de la version de l’OS	Extrême : le malware agit avant que le système ne se charge
Persistance	Persistant jusqu’à nettoyage ou désactivation	Peut survivre à un formatage de disque
Détection	Possible avec outils avancés (antirootkits, EDR)	Très difficile sans analyse firmware ou scan UEFI

L’article Bootkit : malware du démarrage, comment il fonctionne et comment s’en protéger est apparu en premier sur malekal.com.

À l’approche de la fin officielle du support de Windows 10, Microsoft clarifie sa stratégie de transition pour les utilisateurs restés sur l’ancienne version de son système. Alors que le support standard prendra fin le 14 octobre 2025, l’entreprise annonce que les mises à jour de sécurité étendues (ESU) seront gratuites pour les particuliers, à condition d’utiliser Microsoft 365.

Fin de support en 2025 : que cela signifie-t-il ?

Microsoft a annoncé depuis longtemps que Windows 10 ne recevra plus de mises à jour de sécurité régulières après octobre 2025. Cela concerne toutes les éditions, y compris Windows 10 Home et Pro. Au-delà de cette date, les systèmes non migrés vers Windows 11 deviendront plus vulnérables, car les failles découvertes ne seront plus corrigées.

Cependant, comme pour Windows 7 à son époque, Microsoft mettra en place un programme de mises à jour de sécurité étendues (ESU), qui permet de continuer à recevoir des correctifs critiques pendant trois années supplémentaires, soit jusqu’en octobre 2028.

Mises à jour gratuites… mais avec conditions

La principale nouveauté est que, contrairement à Windows 7 où l’ESU était payant, les particuliers pourront bénéficier de ces mises à jour gratuitement, mais uniquement via Microsoft 365.

Concrètement :

• Les utilisateurs de Microsoft 365 (famille ou personnel) qui continueront à utiliser Windows 10 après 2025 recevront les mises à jour de sécurité critiques sans frais supplémentaires.
• Cela permet à Microsoft de protéger les utilisateurs actifs tout en les incitant à rester dans son écosystème.

À noter : les entreprises, elles, devront payer un abonnement annuel ESU pour continuer à recevoir les correctifs, comme c’était le cas avec Windows 7. Les détails tarifaires seront communiqués ultérieurement.

Une solution de transition avant migration

Microsoft ne recommande pas de rester sous Windows 10 à long terme. L’objectif reste clair : faire migrer les utilisateurs vers Windows 11, notamment pour bénéficier des dernières protections système (TPM 2.0, VBS, Smart App Control…). Mais cette initiative vise à éviter que des millions de machines soient exposées sans protection dès octobre 2025.

Cette approche est aussi une réponse aux nombreuses entreprises et particuliers qui n’ont pas encore migré, souvent pour des raisons de compatibilité logicielle, de coût ou simplement par choix matériel.

Comment bénéficier des mises à jour après 2025 ?

Pour les particuliers :

• Il faudra être connecté à un compte Microsoft lié à un abonnement actif Microsoft 365 Famille ou Personnel.
• Les mises à jour seront automatiquement proposées via Windows Update (comme aujourd’hui), sans procédure complexe.

Pour les entreprises :

• Il faudra probablement souscrire à une licence ESU via Microsoft Volume Licensing ou via Intune.
• Un abonnement annuel sera requis, avec un prix croissant chaque année.

À lire : ESU Windows : comment continuer à recevoir des mises à jour de sécurité après la fin de support

En résumé

• Fin du support standard : 14 octobre 2025
• Mises à jour de sécurité étendues (ESU) : jusqu’en octobre 2028
• Gratuites pour les particuliers disposant de Microsoft 365
• Payantes pour les entreprises, via abonnement annuel
• Objectif : laisser plus de temps à ceux qui ne peuvent pas migrer immédiatement vers Windows 11, sans compromettre leur sécurité

Cette décision de Microsoft marque un changement stratégique dans la gestion de fin de vie d’un système, combinant incitation commerciale (via 365) et souci de sécurité pour éviter une nouvelle génération de machines vulnérables post-2025.

L’article Windows 10 : les mises à jour de sécurité prolongées seront gratuites pour les particuliers via Microsoft 365 est apparu en premier sur malekal.com.

Bonjour à tous,

Il y a quelques jours, je vous parlais dans un précédent article de la décision du Danemark de se détourner des solutions propriétaires de Microsoft, pour se tourner vers des alternatives libres, notamment Linux et LibreOffice, dans ses administrations locales. (https://www.linuxtricks.fr/news/10-logiciels-libres/570-souverainete-numerique-le-danemark-passe-a-linux-et-libreoffice/ )
Un mouvement fort en faveur de la souveraineté numérique, qui semble désormais faire boule de neige en Europe, en tout cas, au niveau de la communication.

Vu que l'article précédent a eu du succès, je vais essayer d'améliorer la mise en forme des articles de blog sur les actus, n'hésitez pas à me faire un retour dans les commentaires !

Cette fois, c’est en France que le vent tourne et c'est une bonne nouvelle ! La ville de Lyon vient d’annoncer une décision stratégique majeure. La municipalité va progressivement abandonner les logiciels Microsoft, au profit de Linux comme système d’exploitation et de OnlyOffice pour la suite bureautique.

Lyon s’émancipe de Microsoft
La mairie de Lyon justifie ce virage par la volonté de renforcer sa "souveraineté numérique". Derrière cette expression, on retrouve un objectif clair : réduire la dépendance aux géants du numérique américains (et en particulier Microsoft), tout en reprenant le contrôle sur les outils et les données utilisés au sein de l’administration.

Le projet est ambitieux :
- Plus de 4 000 postes de travail sont concernés.
- La transition se fera progressivement jusqu’en 2026.

Le changement touche à la fois le système d’exploitation, qui passera sous Linux, et la suite bureautique, avec l’adoption d’OnlyOffice en remplacement de Microsoft Office.
On note aussi que PostgreSQL sera plus utilisé, pour la gestion des bases de données (probablement une migration depuis SQL Server vu que Microsoft est visé dans la démarche).

Un programme pilote va être lancé dès cette année dans plusieurs services pour amorcer le mouvement, avant une généralisation à toute l'administration municipale.

La question qu'on pourrait se poser est : Pourquoi OnlyOffice plutôt que LibreOffice ?
Si de nombreuses collectivités optent pour LibreOffice, Lyon a fait le choix d’OnlyOffice, une suite bureautique open source compatible avec les formats de Microsoft Office (docx, xlsx, pptx, etc.), ce qui facilite la transition. Le support de ces formats sont mieux supportés par OnlyOffice. Cela évite une conversion massive des documents bureautique, avec le risque de perdre des informations sur la mise en forme.
Elle propose aussi une expérience plus proche de l’interface Office 365, avec ses menus en ruban, ce qui peut limiter les résistances au changement chez les utilisateurs.

OnlyOffice est également intégrable facilement avec des services cloud comme Nextcloud, ce qui permet de construire un écosystème numérique 100 % libre et souverain. Il s'agit de OnlyOffice Docs, dont on avait fait la découverte il y a quelques années en live sur Youtube. Vouc pouvez le voir en action à 1h32 sur le CKOIKIDI #33 : Installez votre cloud sous Debian avec Nextcloud


Une tendance européenne de fond
Cette décision de Lyon s’inscrit dans un mouvement plus large, à l’échelle européenne.

Comme mentionné dans un article précédent, le Danemark a récemment annoncé que plusieurs de ses communes allaient abandonner Windows et Microsoft Office au profit de Linux et LibreOffice.
Les motivations sont les mêmes : souveraineté, économie, transparence et contrôle des données.

Et l’Allemagne n’est pas en reste : le Land de Schleswig-Holstein, situé au nord du pays, a annoncé un plan de grande ampleur pour remplacer l’ensemble des logiciels propriétaires par des solutions open source dans ses services administratifs.
- Objectif : 30 000 postes migrés d’ici 2026
- Logiciels adoptés : Linux, LibreOffice, Thunderbird (avec mail Open-Xchange), Nextcloud, etc.

Le message est clair : les administrations européennes ne veulent plus dépendre de Microsoft pour leur infrastructure numérique. Et elles passent à l’action.

Une nouvelle ère pour les collectivités françaises ?
Avec Lyon comme pionnière, cette initiative pourrait inciter d'autres collectivités à franchir le pas.
En effet, certaines sont sensibles aux enjeux de maîtrise des données, de coûts de licence et d’éthique numérique et pourraient s’engager dans des démarches similaires.

C’est aussi un signal fort envoyé aux citoyens : oui, il est possible de construire un environnement numérique plus éthique, plus ouvert et plus respectueux de nos libertés.

Mais, manque de cohérence au niveau Français ?
Ce que je constate, c'est que chacun s'y met dans son coin, comme on a l'habitude dans le monde du libre. Je suis toujours étonné qu'en France, on ne mutualise pas les moyens (qu'ils soient humains, financiers ou matériels) pour faire quelquechose de bon. Lyon va mettre en place ces infrastructures, mais est-ce que les procédures, les méthodes, les documentations seront aussi publiées pour faciliter d'éventuelles démarches similaires dans d'autres collectivités ?
Je suis bien conscient que les villes n'utilisent pas toutes les mêmes logiciels, et les mêmes méthodes de travail. Et qu'il en est de même pour les départements et les régions. Cependant, on pourrait unir nos forces pour être plus efficace ! Ce serait l'occasion !

Mais bon, c'est déjà un bon début ! C'est mieux que rien et la prise de conscience est déjà là !


Et vous, qu’en pensez-vous ?
La transition vers les logiciels libres est-elle inévitable dans les services publics ?
Votre mairie pourrait-elle suivre l’exemple lyonnais ?

Lorsque votre antivirus signale une menace, il affiche souvent un nom technique comme Trojan.GenericKD, PUA:Win32/Presenoker ou encore Backdoor.Win32.Agent. Ces noms peuvent sembler obscurs, mais ils reflètent le type exact de menace détectée, son comportement ou sa méthode d’infection. Chaque éditeur antivirus (Microsoft Defender, Kaspersky, Bitdefender, Malwarebytes, etc.) utilise sa propre nomenclature, parfois générique, parfois très précise.
Cela peut aussi être le cas à la suite d’une analyse sur VirusTotal.

Ce guide regroupe et classe les exemples de détections les plus courantes, organisées en tableaux clairs par type de menace :

• Trojans chevaux de Troie téléchargeurs et voleurs de données,
• Backdoors à accès distant,
• PUP/PUA (logiciels potentiellement indésirables),
• Adwares injectant des publicités ou des redirections,
• Scripts malveillants (JavaScript, macros Office), etc.

L’objectif de cet article est de vous aider à identifier rapidement la nature d’une alerte, comprendre si elle est sérieuse, et prendre les bonnes décisions en cas de détection.
Que vous soyez simple utilisateur ou technicien, ce récapitulatif vous offre une vue concrète des menaces détectées en 2025 par les principales solutions de sécurité.

En parallèle, vous pouvez lire ce guide pour mieux comprendre les types de menaces informatiques : Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc

Détections de PUP/PUA (logiciels potentiellement indésirables)

Les PUP sont souvent installés en bundle avec des programmes gratuits, via des installateurs modifiés ou douteux.
Il peut aussi s’agir de logiciel classé comme indésirable (optimiseur système, collecte de données).
Ils ne sont pas toujours dangereux, mais peuvent nuire à la performance ou manipuler la navigation.

Exemple de détection	Exemples	Antivirus
PUA:Win32/XXXXX	PUA:Win32/Presenoker PUA:Win32/InstallCore	Microsoft Defender
PUP.Optional.XXXX PUA.Optional.BundleInstaller	PUA.Optional.BundleInstaller PUP.Optional.DriverUpdate	Malwarebytes
PUA.XXXXX Generic.PUA.2FileDownload.A	PUA.systemcheckup	Bitdefender
Not-a-virus:HEUR:AdWare.Win32.XXXX	Not-a-virus:HEUR:AdWare.Win32.Searcher	Kaspersky
Win32:XXXX-X [PUP]	Win32:UnwRAP-X [PUP]	Avast/AVG
PUA/XXXXX	PUA/InstallCore.Gen	ESET

Scénario possible : votre antivirus détecte un Setup qui se trouve dans votre dossier de Téléchargement.
Autre cas, vous avez installé un logiciel peu fiable détecté comme tel.

Détections d’adwares (publicité intrusive)

Les adwares (logiciels publicitaires) sont des programmes qui affichent de la publicité de manière intrusive sur votre système ou dans votre navigateur. Ils peuvent se manifester par des pop-ups, des redirections automatiques vers des sites sponsorisés, ou l’injection de bannières dans des pages web normales. Bien qu’ils ne soient pas nécessairement classés comme malveillants, leur présence perturbe souvent l’expérience utilisateur, ralentit le système, et peut poser des risques de confidentialité.

Détection	Exemple de détection	Antivirus
Adware:Win32/XXXX Adware:JS/XXXXX.A	Adware:Win32/FusionCore Adware:JS/Adposhel.A Adware:JS/FakeAlert	Microsoft Defender
Adware.XXXXX	Adware.SwiftBrowse Adware.Elex	Malwarebytes
Adware.GenericKD.###		Bitdefender
Adware.Win32.Agent	Adware.Agent.BYI	Kaspersky
Adware.Generic.XXXX	Adware.Generic.279974	ESET

Scénario possible : identique au PUP, sauf dans le cas où l’adware est déjà actif dans le système.

Scripts JavaScript malveillants (injections, redirections, crypto-jacking)

Ces scripts sont souvent injectés dans des pages compromises ou des publicités frauduleuses afin d’infecter les PC des internautes.
Ces scripts injectés dans des pages (publicités, iframe, JavaScript à distance) sont souvent bloqués par le filtrage web, avant même que l’antivirus n’intervienne au niveau fichier.

Détection	Exemple/Description	Antivirus
Trojan:HTML/Phish.XXX!YYY Trojan:HTML/Redirector.XXX	Trojan:HTML/Phish.JA!MTB Trojan:HTML/Redirector.NY	Microsoft Defender
JS:Downloader-XXX [Trj] HTML:Script-Inf Trojan.Script.Heuristic-JS JS:ScriptPE-inf [Trj]	Script JavaScript d’obfuscation menant à une infection	Avast/AVG
JS:Miner-C [Trj] HTML:CoinMiner-EM [Trj]	Script JavaScript injecté pour miner des cryptomonnaies	Avast/AVG
Trojan.JS.Redirector Trojan.JS.Agent.XXXX JS:Trojan.XXXX.YYYY Trojan.JS.Miner.gen	JS:Trojan.Cryxos.4572 Trojan.JS.Agent.fpu	Bitdefender
HEUR:Trojan.Script.Generic HEUR:Trojan.Script.Redirector HEUR:Trojan.Script.Miner.gen		Kaspersky

Scénario possible : vous avez visité un site piraté et l’antivirus bloque le script malveillant placé par le cybercriminel. Autre cas, vous avez téléchargé une pièce jointe malveillante depuis un email.
Dans le premier cas, la détection peut cibler le cache internet du navigateur, et donc l’infection n’est pas active.
Vérifiez l’emplacement de la détection. Vider le cache internet ou réinitialiser son navigateur WEB peut aider à arrêter ces détections.

Trojan Downloader (chargement de payload à distance)

Cette détection désigne un fichier malveillant conçu pour télécharger et installer d’autres malwares à partir d’un serveur distant, sans l’accord de l’utilisateur. Il s’agit d’une détection générique utilisée lorsqu’un comportement de type « downloader » est observé (par exemple, un script ou exécutable qui établit une connexion vers une URL externe et tente de récupérer un second fichier malveillant).

Détection	Exemple	Antivirus
Trojan:Win32/XXXXX	Trojan:Win32/Emotet.A Trojan:Win32/Occamy.AA	Microsoft Defender
Trojan.Downloader.Generic Trojan.Agent.Downloader MalPack.Downloader.###		Malwarebytes
JS:Downloader-XXX	JS:Downloader.PB JS:Downloader-LQB [Trj]	Avast/AVG
Trojan.Downloader.Gen Trojan.GenericKD.Downloader		Bitdefender
Downloader.Agent!gen2		McAfee
Win32/TrojanDownloader.Agent Trojan.Downloader.XXXX	Trojan.Downloader.Small.BM	ESET

Scénario possible : vous avez téléchargé un crack et l’antivirus le bloque. Autre cas, un malware est déjà actif dans le système ou vous avez exécuté un fichier qui tente de l’installer.

Chevaux de Troie avec exfiltration ou backdoor (C2)

Ces menaces permettent un accès distant, la surveillance.

Détection générique	Exemple	Antivirus
Backdoor:Win32/XXXXXBladabindi	Backdoor:Win32/Bladabindi	Microsoft Defender
Backdoor.XXXX Backdoor.Bot.Gen (détection générique)	Backdoor.Qbot Backdoor.Agent.NOIP Glupteba.Backdoor.Bruteforce.DDS	Malwarebytes
Backdoor.Win32.XXXX	Backdoor:Win32/Remcos.GZZ!MTB (Famille Remcos) Backdoor.Win32.Agent.bla (plus générique)	Kaspersky
Backdoor.GenericKD.###	Backdoor.GenericKD.64149272	Bitdefender

Voici maintenant des détections de type Trojan.Stealer.
Soit donc en général, un cheval de Troie capable de donner l’accès à distance courant, permettant aux attaquants de prendre le contrôle, exfiltrer des données, déclencher des captures écran, des keyloggers, etc.
Ils sont conçus pour voler des informations personnelles, identifiants, mots de passe, cookies, données système, etc.

Détection	Exemple	Antivirus
TrojanSpy:Win32/Agent (La mention Spy n’est pas obligatoire)	Trojan:Win32/RedLine!MSR	Microsoft Defender
Trojan.Agent.Stealer Trojan.MalPack.Stealer Trojan.Generic.MSILStealer Spyware.PasswordStealer		Malwarebytes
Trojan.GenericKD.###		Bitdefender
Stealer.XXXXX JS/Spy.Agent.XXX	Stealer.Agent/Gen JS/Spy.Agent.AH	ESET
Infostealer	Infostealer.Gampass – cible les jeux Infostealer.RedLine (Famille RedLine)	Norton

Fichiers HTML/Office infectés (pièces jointes ou pages piégées)

Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.

Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.
Exemple de détection	Antivirus	Description
Trojan:O97M/Agent.XXX	Microsoft Defender	Macro malveillante dans un document Word/Excel
HTML/Phishing.Agent.AB	ESET	Fichier HTML visant à voler des identifiants
DOC:Exploit.CVE-2017-11882	Avast	Exploitation d’une faille Office via fichier Word piégé

Scénario possible : la détection porte sur une pièce jointe malveillante.

Que signifient les noms de détection antivirus (Trojan.Agent, Generic, etc.)

Les noms de détection antivirus varient selon les éditeurs. Certains utilisent des appellations très générales, comme Generic, Agent ou Script, tandis que d’autres emploient des noms plus spécifiques, souvent basés sur la famille du malware ou son comportement.

Il faut également savoir que les antivirus modernes adaptent leurs détections en fonction du contexte et de l’analyse en temps réel. Un fichier peut d’abord être détecté de manière heuristique, puis reclassé plus précisément après passage en sandbox ou analyse via des systèmes d’intelligence cloud (Threat Intelligence).

Malwarebytes

Chez Malwarebytes, la nomenclature des détections est généralement plus descriptive que hiérarchisée, mais elle suit néanmoins une logique basée sur le type de menace, sa famille comportementale, et parfois sa technique d’obfuscation ou son objectif.

Une détection typique peut ressembler à : Trojan.Agent, Trojan.MalPack.Stealer, ou encore Adware.Generic.####

Ce qui donne :

• Préfixe : indique la catégorie de la menace
  Exemples :
  • Trojan. → cheval de Troie (accès à distance, stealer, downloader…)
  • Adware. → logiciel injectant de la publicité ou modifiant le navigateur
  • PUP. → programme potentiellement indésirable
  • Malware. ou MalPack. → détection générique basée sur le comportement
• Nom central : identifie le comportement ou la famille
  • Agent → désignation générique utilisée lorsqu’aucune famille précise n’est reconnue, ou que le comportement est modulaire
  • Stealer → indique un voleur d’informations
  • Downloader → menace qui télécharge un autre malware
  • Injector → injection de code dans des processus légitimes
• Suffixe éventuel : identifiant numérique ou indication d’analyse comportementale
  • Generic, Heur, ou un numéro de variante (Trojan.Agent.EDX)
  • Peuvent aussi signaler une détection basée sur un empaquetage (MalPack) ou une obfuscation avancée

Exemples concrets :

• Trojan.Agent → fichier présentant un comportement trojan, sans attribution de famille spécifique.
• Trojan.MalPack.Downloader → fichier compressé/obfusqué qui agit comme un téléchargeur distant.
• PUP.Optional.DriverUpdate → logiciel potentiellement indésirable proposant des mises à jour de pilotes, souvent classé comme trompeur.

Microsoft (Windows Defender)

Chez Microsoft Defender, les noms de détection suivent une structure relativement standardisée, permettant de comprendre en un coup d’œil le type de menace, sa plateforme cible et sa classification. Un nom de détection typique se présente sous la forme :

<type>:<plateforme>/<nom>.<variante>

Microsoft utilise aussi d’autres préfixes selon la nature de la menace :

• Backdoor: pour les accès à distance non autorisés,
• Ransom: pour les ransomwares,
• PUA: pour les applications potentiellement indésirables (Potentially Unwanted Applications),
• Exploit: pour les fichiers qui exploitent une vulnérabilité système,
• HackTool: pour les outils légitimes détournés à des fins malveillantes.

Par exemple : Trojan:Win32/Agent.WXYZ

• Trojan désigne le type de menace (ici un cheval de Troie),
• Win32 indique la plateforme ciblée, en l’occurrence Windows 32 bits (même si cela s’applique aussi à 64 bits par compatibilité),
• Agent est un nom générique de famille, souvent utilisé lorsque la menace est modulaire, indéterminée ou fait partie d’une classe connue de malwares,
• WXYZ est une variante, une signature spécifique ou un identifiant unique interne.

Enfin, certains noms se terminent par un suffixe comme !MTB, !ml ou !bit, indiquant une détection basée sur :

• !MTB → Machine-learned Threat Based (détection par IA / modèle comportemental),
• !ml → Machine Learning,
• !bit → détection basée sur une signature hash/statique.

Que faire après une détection

Pour neutraliser la menace :

• Mettre en quarantaine et supprimer les menaces. Compléter l’analyse de votre ordinateur avec MBAM. Plus de détails :
• Surveiller le comportement du système. Par exemple, vérifier les connexions réseau (via netstat / outils tiers)
• Réaliser une analyse secondaire avec VirusTotal ou un autre scanner
• Réinitialiser les navigateurs si adware/PUP

Pour vous aider :

• Supprimer les virus et désinfecter son PC
• Menace détectée par Windows Defender : que faire ?
• Supprimer les menaces (virus, trojan, PUA) détectées par Windows Defender de Windows 10, 11
• Se faire désinfecter son PC gratuitement sur le forum : Comment demander de l’aide sur le forum

Une fois l’ordinateur désinfecté :

• Créer un point de restauration si non infecté
• Modifier vos mots de passe. À lire : Que faire après une attaque de virus informatique
• Sécuriser son PC, pour cela, aidez-vous de ce guide : Comment protéger son PC des virus et des pirates ?

L’article Liste des détections antivirus : exemples de malwares, trojans, PUP, adwares (2025) est apparu en premier sur malekal.com.

Et s'il était possible d'identifier le Vélib stationné en meilleur état dans une station grâce à un peu de code?

C'est la mission que s'est lancé Technopolis et j'ai trouvé la vidéo passionnante! Et je ne dis pas ça parce qu'il a réussi à tracker chaque vélo minute par minute...

Comme tous les objets en service, les Vélibs sont victime d'usure voir de maltraitance (les pauvres!). Quoi de plus énervant quand on paye un service de location que de tomber sur un vélo qui n'est pas en étant de fonctionner ?

Entre les données ouvertes, la réflexion pour identifier les vélos les plus pourris et ceux qui roulent le mieux : franchement bravo !

Espérons que d'autres vidéos voient le jour sur cette chaîne car je l'ai trouvé très quali 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 25/06/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Grâce au code il localise le meilleur Vélib 🚴 provient de : on Blogmotion.

Au programme :

Le premier téléphone « américain » coute 1999$

Netflix et TF1 signent un accord majeur

Le reste de l’actualité : temps des ados sur Tiktok, évolution des shorts, le journal de l’IA…

Infos :

Animé par Patrick Beja (Bluesky, Instagram, Twitter, TikTok)

Co-animé par Guillaume Vendé (Bluesky).

Co-animé par Siegfried Thouvenot alias Captain Web (Twitter).

Produit par Patrick Beja (LinkedIn) et Fanny Cohen Moreau (LinkedIn).

Musique libre de droit par Daniel Beja

Le Rendez-vous Tech épisode 624 – En tech, rien n’est simple – Purism Liberty Phone, Netflix <3 TF1, jeunes et écrans, IA cataclysmique

---

Liens :

🎧 L’Actu Tech (podcast daily): NotPatrick.com/#lactutech

😎 Soutien sur Patreon : Patreon.com/RDVTech

🤗 Communauté Discord : NotPatrick.com/discord

Par écrit :

📰 Newsletter : NotPatrick.com/newsletter

📰 Archives NL: NotPatrick.com/archivenl

📢 WhatsApp : NotPatrick.com/whatsapp

🐤 Veille Twitter : Twitter.com/RdvTech

En vidéo :

📹 Live : Twitch.tv/NotPatrick

📺 VOD : YouTube.com/NotPatrickPodcasts

📱 TikTok : Tiktok.com/@NotNotPatrick

💁 Tous les liens : NotPatrick.com

---

Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

💾

© NotPatrick

Synology vient d’annoncer leDS225+, le successeur du DS224+. Cette nouvelle version s’inscrit dans la stratégie de renouvellement de la gamme DSx25+, qui introduction enfin le 2,5 Gb/s. Toutefois, au-delà de cette amélioration réseau, les évolutions restent légères. Ce nouveau NAS justifie-t-il réellement un investissement ?

Synology DS225+ vs DS224+

Processeur et RAM = Même Combat

Les 2 NAS partagent la même architecture. Ils sont construits autour du processeur Quad Core Intel Celeron J4125 cadencé à 2,0 GHz (jusqu’à 2,7 GHz en mode Burst) et 2 Go de RAM DDR4 (non ECC), extensibles jusqu’à 6 Go.

Le processeur J4125 date un peu, mais il a fait ses preuves. Il présente l’avantage d’intégrer un iGPU (processeur graphique) Intel UHD Graphics 600, ce qui est important si vous souhaitez faire du transcodage vidéo matériel avec Plex ou Jellyfin…. On regrettera que Synology se cantonne à seulement 2 Go de mémoire vive par défaut en 2025.

Connectique

La seule vraie nouveauté de ce DS225+, c’est l’arrivée d’un port réseau 2,5 Gb/s, qui vient compléter le port 1 Gb/s déjà présent.

Cette évolution, longtemps réclamée par la communauté, permet de passer les 300 Mo/s sur un réseau compatible. Pour les transferts de gros volumes, c’est une amélioration qui se traduit par des gains de temps substantiels. C’est également particulièrement appréciable dans les environnements multi-utilisateurs.

Côté des ports USB, il n’y a aucun changement.

Politique de compatibilité plus stricte

Depuis la série DSx25+, Synology a durci sa politique de compatibilité matérielle, en particulier concernant les disques durs et SSD. Seuls les modèles estampillés Synology sont désormais officiellement supportés, excluant de fait des références pourtant bien établies sur le marché, comme les Seagate IronWolf ou les WD Red. Cette stratégie traduit une volonté claire de contrôler l’ensemble de l’écosystème afin d’optimiser les performances et la fiabilité de ses produits.

Tableau comparatif DS225+ vs DS224+

	DS225+	DS224+
Modèle du processeur	Intel J4125	Intel J4125
Fréquence du processeur	Quad Core (2,0 – 2,7 GHz)	Quad Core (2,0 – 2,7 GHz)
iGPU	Oui	Oui
Mémoire vive	2 Go DDR4 (extensible jusqu’à 6)	2 Go DDR4 (extensible jusqu’à 6)
Emplacements HDD	2	2
Emplacements SSD NVME	0	0
Unité d’expansion	–	–
Port USB 3.0	2 (dont 1 en façade)	2 (dont 1 en façade)
Port réseau 1 Gb/s	1	2
Port réseau 2,5 Gb/s	1	–
Port réseau 10 GbE	–	–
Consommation électrique	16,98 W (Accès) et 6,08 W (Hibernation disque dur)	14,69 W (Accès) et 4,41 W (Hibernation disque dur)
Score CPU Benchmark	2941 points	2941 points
Disponibilité	À venir	Immédiate
Prix au lancement	À confirmer	351€

Faut-il passer au DS225+ ?

Le Synology DS225+ s’inscrit davantage dans une logique de rafraîchissement que d’une véritable révolution. L’ajout du port 2,5 Gb/s est une bonne nouvelle, qui répond aux attentes des utilisateurs.

Si vous possédez déjà un DS224+, la migration ne se justifie que dans des scénarios très spécifiques (besoin absolu de débits réseau supérieurs). Pour les nouveaux acquéreurs, le choix dépendra essentiellement de leur approche vis-à-vis de la politique de disques certifiés.

Potyos s'est intéressé aux connexions massives vers une machine, souvent connu sous le terme d'attaque DDoS ou attaque par déni de service. Avec la création d'un petit lab à la maison pour tester différents outils et observer la réaction du serveur face à autant de connexions simultanées :

J'aime bien son approche empirique, cela me rappelle un peu "ici Amy Plant".

Il le rappelle dans sa vidéo mais il vaut mieux 2 fois qu'une : mais ne tentez pas ça sur autre chose que des machines vous appartenant. Vous risquez d'avoir de gros ennuis et pensez que les pare-feux n'ont pas de log serait une grossière erreur.

CloudFlare vient d'ailleurs de déjouer une attaque monumentale de 7.3Tbps, ce qui constitue un nouveau record mondial. Autant dire qu'avec votre serveur dédié hébergé chez AWS ou OVH vous ne risquez pas de pouvoir absorber autant de trafic sans tout planter mais heureusement ces hébergeurs fournissent souvent une protection native en amont pour éviter d'écrouler leur infra.

En bonus une autre vidéo de Potyos qui s'était intéressé aux protections WiFi WPA :

Merci Potyos pour la vulgarisation

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 22/06/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Comment simuler une attaque DDoS sur votre serveur provient de : on Blogmotion.