Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

secpol.msc : utiliser la stratégie de sécurité locale sur Windows 11/10

La Stratégie de sécurité locale (secpol.msc) est un outil d’administration intégré à Windows qui permet de configurer les principaux paramètres de sécurité de votre ordinateur. Il offre notamment la possibilité de définir des règles de mot de passe, de verrouillage des comptes, d’auditer les événements de sécurité ou encore de gérer les droits attribués aux utilisateurs.

Contrairement à gpedit.msc, qui permet d’administrer l’ensemble des stratégies de groupe, secpol.msc est spécialisé dans la sécurité. Il constitue un outil particulièrement utile pour renforcer la protection d’un PC, appliquer des règles de sécurité ou limiter certaines actions des utilisateurs.

Dans ce guide, découvrez comment ouvrir secpol.msc, comprendre son fonctionnement, utiliser les principales stratégies de sécurité et connaître les différences avec gpedit.msc, RSOP et les autres outils d’administration de Windows.

✋
Pour tout comprendre sur les stratégies locales Windows, consultez ce guide : Les stratégies locales Windows : comprendre les restrictions d’administration

Qu’est-ce que la stratégie de sécurité locale (secpol.msc) ?

La Stratégie de sécurité locale (secpol.msc) est une console d’administration de Windows permettant de configurer les paramètres de sécurité de l’ordinateur. Elle fait partie des outils Microsoft Management Console (MMC) et est principalement destinée aux administrateurs système ainsi qu’aux utilisateurs souhaitant renforcer la sécurité de leur PC.

Contrairement à gpedit.msc, qui permet de gérer l’ensemble des stratégies de groupe, secpol.msc est exclusivement consacré aux paramètres de sécurité. Il permet notamment de définir les règles de mot de passe, les stratégies d’audit, les droits attribués aux utilisateurs et d’autres paramètres de protection du système.

Vous pouvez par exemple l’utiliser pour :

  • Définir la longueur minimale et la complexité des mots de passe
  • Configurer le verrouillage des comptes après plusieurs tentatives de connexion
  • Auditer les connexions, les accès aux fichiers et les événements de sécurité
  • Attribuer des droits particuliers à certains utilisateurs ou groupes
  • Configurer des options de sécurité avancées de Windows

La console est organisée en plusieurs catégories, notamment :

  • Stratégies de compte
  • Stratégies locales
  • Stratégies de gestion des listes réseau
  • Stratégies de clé publique
  • Stratégies de restriction logicielle
  • Stratégies de contrôle des applications
  • Pare-feu Windows Defender avec fonctions avancées de sécurité

À noter : les paramètres configurés avec secpol.msc sont appliqués uniquement à l’ordinateur local. Dans un environnement professionnel, ils peuvent être remplacés par des stratégies déployées via Active Directory, Microsoft Entra ID ou Microsoft Intune.

Comme gpedit.msc, la console secpol.msc est disponible uniquement sur les éditions Professionnelle, Entreprise et Éducation de Windows. Elle n’est pas incluse dans Windows 11/10 Famille.

Quelle différence entre secpol.msc et gpedit.msc ?

Bien que secpol.msc et gpedit.msc soient deux consoles d’administration de Windows, elles ne remplissent pas le même rôle.

gpedit.msc permet de gérer l’ensemble des stratégies de groupe locales, tandis que secpol.msc est spécialisé dans les paramètres de sécurité du système.

En pratique, secpol.msc constitue un sous-ensemble de gpedit.msc : il regroupe uniquement les stratégies liées à la sécurité, ce qui le rend plus simple à utiliser lorsque vous souhaitez renforcer la protection de votre ordinateur.

Fonctionsecpol.mscgpedit.msc
Gérer les stratégies de sécurité✅✅
Configurer les mots de passe✅✅
Définir les stratégies d’audit✅✅
Attribuer les droits des utilisateurs✅✅
Configurer Windows Update❌✅
Gérer Microsoft Defender❌✅
Modifier les paramètres de confidentialité❌✅
Configurer l’Explorateur de fichiers❌✅
Gérer les stratégies Microsoft Edge❌✅
Administrer l’ensemble des stratégies Windows❌✅

En résumé :

  • Utilisez secpol.msc si vous souhaitez configurer la sécurité de Windows (mots de passe, audits, droits des utilisateurs, stratégies de sécurité…).
  • Utilisez gpedit.msc si vous souhaitez administrer l’ensemble des stratégies de groupe, y compris Windows Update, Microsoft Defender, l’Explorateur de fichiers, Microsoft Edge ou les paramètres système.

Si votre objectif est simplement de renforcer la sécurité de votre ordinateur, secpol.msc est généralement le meilleur choix. En revanche, pour gérer toutes les stratégies de Windows, gpedit.msc reste l’outil de référence.

👉 À lire également :

Comment ouvrir secpol.msc ?

La Stratégie de sécurité locale peut être ouverte de plusieurs façons. La méthode la plus simple consiste à utiliser la boîte de dialogue Exécuter, mais vous pouvez également y accéder depuis la recherche Windows, l’Invite de commandes ou Windows PowerShell.

Remarque : secpol.msc est disponible uniquement sur les éditions Professionnelle, Entreprise et Éducation de Windows. Si vous utilisez Windows 11/10 Famille, un message d’erreur indiquera que Windows ne trouve pas secpol.msc.

Avec la boîte de dialogue Exécuter

  • Sur votre clavier, appuyez sur les touches + R
  • Saisissez secpol.msc
  • Cliquez sur OK ou appuyez sur Entrée

La console Stratégie de sécurité locale s’ouvre alors.

Depuis la recherche Windows

  • Cliquez sur le bouton Rechercher de la barre des tâches
  • Saisissez secpol.msc ou Stratégie de sécurité locale
  • Cliquez sur le résultat correspondant

Depuis l’Invite de commandes ou Windows PowerShell

Vous pouvez également lancer la console depuis un terminal.

  • Ouvrez l’Invite de commandes ou Windows PowerShell
  • Exécutez la commande suivante :
secpol.msc

Depuis le Gestionnaire des tâches

Une autre méthode consiste à utiliser le Gestionnaire des tâches.

  • Ouvrez le gestionnaire de tâches par un clic droit sur le menu Démarrer ou utilisez le raccourci clavier + X
  • Puis Gestionnaire des tâches. Vous pouvez aussi utiliser le raccourci clavier CTRL+MAJ+ESC
  • Saisissez secpol.msc
  • Validez avec OK

Les principales stratégies de sécurité locale

La console Stratégie de sécurité locale est organisée sous la forme d’une arborescence, similaire à celle de l’Éditeur de stratégie de groupe (gpedit.msc). Chaque catégorie regroupe un ensemble de stratégies permettant de configurer un aspect particulier de la sécurité de Windows.

Comprendre les restrictions administrateurs : Les stratégies locales

Elle regroupe plusieurs catégories de paramètres permettant de renforcer la sécurité de Windows et de contrôler les droits accordés aux utilisateurs. Selon vos besoins, vous pouvez définir des règles de mot de passe, auditer les événements de sécurité ou encore limiter certaines actions sur l’ordinateur.

Voici les principales catégories de stratégies disponibles.

CatégorieÀ quoi sert-elle ?Exemples de paramètres
Stratégies de mot de passeDéfinir les règles applicables aux mots de passe des comptes locaux.Longueur minimale, complexité, durée de validité, historique des mots de passe, âge minimal du mot de passe.
Stratégies de verrouillage des comptesProtéger les comptes contre les tentatives de connexion répétées.Nombre maximal de tentatives, durée du verrouillage, réinitialisation du compteur.
Stratégies d’auditEnregistrer les événements de sécurité dans le Journal des événements.Audit des connexions, des accès aux fichiers, des privilèges, des modifications de stratégies.
Attribution des droits utilisateurDéterminer les actions autorisées pour chaque utilisateur ou groupe.Ouverture de session, Bureau à distance, arrêt du système, sauvegarde et restauration, chargement de pilotes.
Options de sécuritéConfigurer le comportement de nombreux composants de sécurité de Windows.UAC, comptes administrateurs, comptes invités, signature numérique, accès réseau, périphériques amovibles.
Pare-feu Windows Defender avec fonctions avancées de sécuritéGérer les règles du pare-feu Windows.Règles entrantes et sortantes, profils Domaine/Privé/Public, sécurité des connexions.
Stratégies de gestion des listes réseauDéfinir le comportement des réseaux détectés par Windows.Type de réseau (Public/Privé), autorisations, découverte réseau.
Stratégies de clé publiqueGérer les certificats et l’infrastructure à clé publique (PKI).Certificats de confiance, EFS, autorités de certification.
Stratégies de restriction logicielleContrôler les applications autorisées à s’exécuter.Blocage par chemin, certificat, hachage ou zone Internet.
Stratégies de contrôle des applicationsAutoriser ou interdire l’exécution d’applications selon des règles avancées.AppLocker, Windows Defender Application Control (WDAC), contrôle des scripts et exécutables.
Infographique de la liste des principales stratégies de sécurité locale (secpol.msc) de Windows 11/0

Cas d’utilisation

La Stratégie de sécurité locale est principalement utilisée pour renforcer la sécurité d’un ordinateur, limiter les actions des utilisateurs ou appliquer des règles de sécurité adaptées à un environnement professionnel ou personnel.

Le tableau ci-dessous présente les principaux cas d’utilisation ainsi que les paramètres que vous pouvez configurer avec secpol.msc.

Cas d’utilisationObjectifExemples de paramètres
Renforcer la sécurité d’un ordinateurAméliorer la protection du système contre les accès non autorisés et les attaques.Complexité des mots de passe, verrouillage des comptes, UAC, options de sécurité.
Définir les droits des utilisateursContrôler les actions autorisées pour chaque utilisateur ou groupe.Ouverture de session, Bureau à distance, arrêt du système, sauvegarde et restauration, chargement des pilotes.
Auditer les événements de sécuritéEnregistrer les événements importants afin de surveiller l’activité du système.Connexions réussies ou échouées, accès aux fichiers, utilisation des privilèges, modifications des stratégies.
Contrôler l’exécution des applicationsLimiter les logiciels pouvant être exécutés sur l’ordinateur.Stratégies de restriction logicielle (SRP), AppLocker, Windows Defender Application Control (WDAC).
Configurer le Pare-feu Windows DefenderDéfinir les règles de filtrage des connexions réseau.Règles entrantes et sortantes, profils Domaine, Privé et Public, sécurité des connexions.
Gérer les certificats et le chiffrementRenforcer la confiance des communications et protéger les données.Stratégies de clé publique, certificats, EFS, autorités de certification.

Les sections suivantes détaillent chacune de ces catégories et présentent les principaux paramètres que vous pouvez configurer avec secpol.msc afin d’améliorer la sécurité de Windows.

Infographique des cas d'utilisation des stratégies de sécurité locale (secpol.msc) de Windows 11/0

Les limites de secpol.msc

Bien que secpol.msc soit un outil puissant pour administrer la sécurité de Windows, il présente certaines limites. Il ne permet pas de gérer toutes les stratégies de Windows et certaines fonctionnalités ne sont disponibles que sur les éditions professionnelles du système d’exploitation.

LimiteExplication
Disponible uniquement sur Windows Professionnel, Entreprise et ÉducationLa console secpol.msc n’est pas incluse dans Windows 11/10 Famille.
Limité aux stratégies de sécuritéIl ne permet pas de gérer les stratégies de Windows Update, de Microsoft Defender, de l’Explorateur de fichiers, de Microsoft Edge ou des Paramètres de Windows.
Ne permet pas d’afficher les stratégies appliquéesPour vérifier les stratégies effectivement en vigueur, utilisez plutôt RSOP ou GPResult.
Ne permet pas de gérer toutes les stratégies de groupePour administrer l’ensemble des stratégies locales, utilisez gpedit.msc ou Policy Plus.
Certaines stratégies sont remplacées en entrepriseSi votre ordinateur est joint à un domaine Active Directory ou géré par Microsoft Intune ou Microsoft Entra ID, les stratégies définies par l’administrateur sont prioritaires sur les paramètres locaux.
Les modifications prennent parfois effet après une actualisationCertaines stratégies nécessitent un redémarrage, une fermeture de session ou l’exécution de la commande gpupdate /force avant d’être appliquées.

En résumé, secpol.msc est l’outil idéal pour configurer les stratégies de sécurité locales, mais il ne remplace pas gpedit.msc lorsqu’il s’agit d’administrer l’ensemble des stratégies de Windows. Il constitue plutôt un outil spécialisé, centré sur la protection du système et la gestion des comptes utilisateurs.

L’article secpol.msc : utiliser la stratégie de sécurité locale sur Windows 11/10 est apparu en premier sur malekal.com.

rsop.msc : afficher les stratégies de groupe appliquées sur Windows 11/10

RSOP (Resultant Set of Policy – Jeu de stratégie résultat) est un outil intégré à Windows qui permet d’afficher les stratégies de groupe effectivement appliquées à votre ordinateur et à votre compte utilisateur. Contrairement à gpedit.msc, qui sert à modifier les stratégies, RSOP est un outil de diagnostic en lecture seule. Il est particulièrement utile pour identifier l’origine d’une restriction, comprendre pourquoi un paramètre est grisé ou résoudre des problèmes tels que « Certains paramètres sont gérés par votre organisation ».

Dans ce guide, découvrez comment ouvrir RSOP, parcourir les stratégies appliquées, identifier une restriction et connaître les limites de cet outil sous Windows 11/10.

✋
Pour tout comprendre sur les stratégies locales Windows, consultez ce guide : Les stratégies locales Windows : comprendre les restrictions d’administration

Qu’est-ce que RSOP ?

RSOP (Resultant Set of Policy, ou Jeu de stratégies résultant) est un outil intégré à Windows permettant d’afficher les stratégies de groupe réellement appliquées à un ordinateur et à l’utilisateur connecté.

Contrairement à gpedit.msc, qui permet de modifier les stratégies disponibles, RSOP est un outil de diagnostic. Il analyse la configuration du système puis affiche uniquement les stratégies effectivement en vigueur.

Il est particulièrement utile pour comprendre pourquoi un paramètre est verrouillé ou pourquoi une restriction est appliquée. Par exemple, RSOP permet de vérifier les stratégies configurées pour :

  • Windows Update
  • Microsoft Defender
  • L’Explorateur de fichiers
  • Le Panneau de configuration
  • Les Paramètres de Windows
  • Les stratégies de sécurité

RSOP est souvent utilisé pour diagnostiquer des problèmes tels que :

À noter : RSOP est un outil en lecture seule. Il permet de consulter les stratégies appliquées, mais il ne permet pas de les modifier. Pour changer une stratégie, vous devrez utiliser gpedit.msc, Policy Plus ou modifier les clés Policies du Registre.

Il est disponible sur les éditions Professionnelle, Entreprise et Éducation de Windows. Sur Windows 11/10 Famille, la console RSOP n’est généralement pas disponible.

Comment ouvrir RSOP

RSOP s’ouvre à l’aide de la console rsop.msc. Lors de son lancement, Windows analyse les stratégies appliquées à l’ordinateur et à l’utilisateur, puis affiche le résultat dans une console MMC (Microsoft Management Console).

Pour ouvrir RSOP :

  • Sur votre clavier, appuyez sur les touches + R
  • Saisissez rsop.msc
  • Cliquez sur OK ou appuyez sur Entrée

Patientez quelques instants pendant que Windows collecte les informations. Cette opération peut prendre quelques secondes selon la configuration de votre ordinateur.

Une fois l’analyse terminée, la console Jeu de stratégies résultant s’ouvre. Vous pouvez alors parcourir les différentes catégories de stratégies appliquées à votre ordinateur et à votre compte utilisateur.

L'interface de rsop.msc - eu de stratégie résultat)

Si un message d’erreur s’affiche ou que la console ne s’ouvre pas, vérifiez que vous utilisez une édition Professionnelle, Entreprise ou Éducation de Windows. L’outil RSOP n’est généralement pas disponible sur Windows 11/10 Famille.

Vous pouvez également lancer RSOP depuis une Invite de commandes ou Windows PowerShell en exécutant simplement la commande :

rsop.msc

Après son ouverture, vous pourrez consulter les stratégies appliquées dans les rubriques Configuration ordinateur et Configuration utilisateur, puis rechercher le paramètre responsable d’une restriction ou d’un message tel que « Certains paramètres sont gérés par votre organisation ».

Parcourir les stratégies appliquées dans Windows 11/10

La console RSOP est organisée de manière similaire à l’Éditeur de stratégie de groupe (gpedit.msc). Les stratégies sont classées dans une arborescence, ce qui permet de retrouver rapidement le composant concerné et de vérifier si une restriction est appliquée.

Les deux principales catégories sont :

  • Configuration ordinateur : contient les stratégies appliquées à l’ensemble de l’ordinateur, quel que soit l’utilisateur connecté.
  • Configuration utilisateur : regroupe les stratégies appliquées uniquement à l’utilisateur actuellement connecté.

Dans chacune de ces catégories, développez Modèles d’administration pour accéder aux différents composants de Windows.

Vous y trouverez notamment des stratégies concernant :

  • Windows Update
  • Microsoft Defender
  • L’Explorateur de fichiers
  • Le Panneau de configuration
  • Le menu Démarrer et la barre des tâches
  • Le système
  • Le réseau
  • Microsoft Edge (si des stratégies sont configurées)

Lorsqu’une stratégie est configurée, RSOP affiche notamment :

  • Le nom de la stratégie
  • Son état (Activé ou Désactivé)
  • Sa description
  • La valeur appliquée

Cela permet de comprendre rapidement pourquoi une fonctionnalité est verrouillée ou pourquoi un paramètre est grisé dans Windows.

Par exemple, si Windows Update indique que certaines options sont gérées par votre organisation, ouvrez le dossier :

Configuration ordinateur > Modèles d’administration > Composants Windows > Windows Update

Afficher les stratégies appliquées dans Windows 11/10 avec RSOP

Vous pourrez alors vérifier si une stratégie est responsable de ce comportement.

De même, si le problème concerne Microsoft Defender, consultez le dossier correspondant afin de voir quelles stratégies sont actuellement appliquées.

Astuce : si vous connaissez déjà le composant concerné (Windows Update, Microsoft Defender, Microsoft Edge, etc.), accédez directement au dossier correspondant plutôt que de parcourir toute l’arborescence. Cela facilite grandement le diagnostic des restrictions appliquées.

Rechercher une stratégie

RSOP ne dispose pas de fonction de recherche intégrée. Si vous recherchez une stratégie précise, vous devrez parcourir l’arborescence jusqu’au composant concerné.

Selon le problème rencontré, les stratégies se trouvent généralement dans l’un des dossiers suivants :

Problème rencontréEmplacement dans RSOP
Windows UpdateConfiguration ordinateur > Modèles d’administration > Composants Windows > Windows Update
Microsoft DefenderConfiguration ordinateur > Modèles d’administration > Composants Windows > Microsoft Defender Antivirus
Explorateur de fichiersConfiguration utilisateur > Modèles d’administration > Composants Windows > Explorateur de fichiers
Panneau de configurationConfiguration utilisateur > Modèles d’administration > Panneau de configuration
Menu Démarrer et barre des tâchesConfiguration utilisateur > Modèles d’administration > Menu Démarrer et barre des tâches
SystèmeConfiguration ordinateur > Modèles d’administration > Système
RéseauConfiguration ordinateur > Modèles d’administration > Réseau

Une fois dans le dossier correspondant, sélectionnez la stratégie souhaitée. Le volet de droite affiche plusieurs informations, notamment :

  • Le nom de la stratégie
  • Son état
  • La valeur appliquée
  • Son chemin d’accès
  • Une description de son rôle

Ces informations permettent de déterminer rapidement si une stratégie est responsable d’une restriction ou d’un paramètre verrouillé.

Astuce : si vous ne connaissez pas le nom exact de la stratégie, commencez par identifier le composant concerné (Windows Update, Microsoft Defender, Explorateur de fichiers, etc.), puis parcourez uniquement le dossier correspondant. Vous gagnerez ainsi un temps précieux lors du diagnostic.

Utiliser RSOP pour résoudre un problème

RSOP est particulièrement utile pour déterminer si une stratégie est responsable d’un dysfonctionnement. Lorsqu’une fonctionnalité de Windows est inaccessible ou qu’un paramètre est grisé, cet outil permet de vérifier rapidement si une stratégie de groupe est à l’origine du problème.

Voici quelques exemples d’utilisation.

Le message « Certains paramètres sont gérés par votre organisation »

Si ce message apparaît dans les Paramètres de Windows, Windows Update ou Microsoft Defender, RSOP permet de vérifier si une stratégie locale est responsable de cette restriction.

Parcourez l’arborescence jusqu’au composant concerné et vérifiez si une stratégie est configurée. Si c’est le cas, vous pourrez ensuite la modifier avec gpedit.msc ou la supprimer si elle n’est plus nécessaire.

👉 Les meilleures solutions dans ce guide complet :

Windows Update est verrouillé

Si certaines options de Windows Update sont grisées ou qu’un message indique que votre organisation gère certains paramètres, ouvrez le dossier :

Configuration ordinateur > Modèles d'administration > Composants Windows > Windows Update

Vous pourrez vérifier si une stratégie impose un comportement particulier, comme la configuration des mises à jour automatiques, l’utilisation d’un serveur WSUS ou la définition d’une version cible de Windows.

👉 Pour corriger ce problème, suivez aussi ce guide :

Windows Update de Windows 11 : Les paramètres Windows Update sont gérés par votre organisation"

Impossible de modifier Microsoft Defender

Lorsque certains paramètres de Microsoft Defender sont inaccessibles, RSOP permet de vérifier si une stratégie de sécurité est appliquée.

Accédez au dossier :

Configuration ordinateur > Modèles d'administration > Composants Windows > Microsoft Defender Antivirus

Vous pourrez alors identifier les stratégies qui désactivent certaines protections ou empêchent leur modification.

👉D’autres solutions dans ce guide complet :

Des fonctionnalités de Windows sont désactivées

RSOP est également utile lorsque des composants de Windows ne fonctionnent plus normalement. Par exemple, il permet de rechercher des stratégies qui :

  • Masquent des options du Panneau de configuration
  • Désactivent le Gestionnaire des tâches
  • Interdisent l’accès à l’Éditeur du Registre
  • Masquent des éléments du menu Démarrer ou de l’Explorateur de fichiers

En consultant les stratégies appliquées, vous pourrez déterminer si le problème provient réellement d’une stratégie ou s’il faut orienter vos recherches vers une autre cause.

Attention : RSOP n’affiche que les stratégies de groupe. Si aucune stratégie n’est présente alors que le problème persiste, vérifiez également les clés Policies du Registre. Certains logiciels de confidentialité ou d’optimisation modifient directement le Registre sans que ces changements apparaissent dans RSOP.

Les limites de RSOP

Bien que RSOP soit un excellent outil de diagnostic, il ne permet pas d’afficher toutes les informations relatives aux stratégies de Windows. Selon votre version de Windows et l’origine des restrictions, certaines stratégies peuvent ne pas apparaître dans la console.

Avant de conclure qu’aucune stratégie n’est appliquée, gardez à l’esprit les limitations suivantes :

  • RSOP est un outil en lecture seule : il permet uniquement de consulter les stratégies appliquées. Pour les modifier, vous devrez utiliser gpedit.msc, Policy Plus ou le Registre Windows.
  • Il n’est pas disponible sur Windows 11/10 Famille. Cette édition ne comprend généralement pas la console rsop.msc.
  • Toutes les restrictions ne proviennent pas de stratégies de groupe. Certains logiciels modifient directement les clés Policies du Registre, ce qui peut ne pas être visible dans RSOP.
  • Les paramètres propres à certaines applications (Microsoft Edge, Google Chrome, Firefox, etc.) peuvent être gérés par leurs propres stratégies et ne sont pas toujours affichés dans la console.
  • RSOP ne permet pas de rechercher une stratégie par son nom. Vous devez parcourir manuellement l’arborescence pour trouver le composant concerné.
  • Les stratégies provenant d’un domaine Active Directory, de Microsoft Entra ID ou de Microsoft Intune peuvent être plus facilement analysées avec GPResult, qui fournit davantage d’informations sur leur origine.

Si RSOP n’affiche aucune stratégie alors qu’un paramètre reste verrouillé ou qu’un message comme « Certains paramètres sont gérés par votre organisation » apparaît, il est recommandé de vérifier également :

  • Les clés Policies du Registre
  • Le rapport généré avec GPResult
  • Les logiciels de confidentialité ou d’optimisation installés sur votre ordinateur (WPD, O&O ShutUp10++, Win11Debloat, etc.)

En pratique, RSOP est idéal pour identifier rapidement une stratégie de groupe locale, mais il ne remplace pas les autres outils de diagnostic lorsque les restrictions proviennent d’une autre source.

Alternatives à RSOP

Bien que RSOP soit un excellent outil pour afficher les stratégies de groupe appliquées, il n’est pas le seul. Selon vos besoins, d’autres utilitaires peuvent être plus adaptés pour modifier une stratégie, générer un rapport détaillé ou vérifier les restrictions enregistrées dans le Registre.

OutilQuand l’utiliser ?
gpedit.mscPour créer, modifier ou supprimer les stratégies de groupe locales.
GPResultPour générer un rapport détaillé des stratégies appliquées à l’ordinateur et à l’utilisateur.
Policy PlusPour gérer les stratégies sur Windows 11/10 Famille ou disposer d’une alternative à gpedit.msc.
Registre WindowsPour vérifier ou modifier directement les clés Policies utilisées par Windows et certains logiciels.

Chaque outil répond à un besoin différent :

  • RSOP permet de consulter les stratégies réellement appliquées.
  • gpedit.msc sert à modifier les stratégies de groupe locales.
  • GPResult produit un rapport complet, particulièrement utile pour le diagnostic ou en environnement professionnel.
  • Policy Plus offre une interface proche de gpedit.msc et constitue une solution pratique sur les éditions Famille de Windows.
  • Le Registre Windows permet de vérifier les stratégies enregistrées dans les clés Policies, notamment lorsqu’elles ont été créées par un logiciel de confidentialité, un script ou une modification manuelle.

L’article rsop.msc : afficher les stratégies de groupe appliquées sur Windows 11/10 est apparu en premier sur malekal.com.

Windows 11 KB5101650 : le Patch Tuesday de juillet 2026 corrige 570 failles dont 3 zero-day et déploie de nombreuses nouveautés

Microsoft déploie la mise à jour cumulative KB5101650 pour Windows 11 24H2 et 25H2 dans le cadre du Patch Tuesday de juillet 2026. Cette mise à jour obligatoire porte les systèmes aux builds 26100.8875 et 26200.8875.

Au-delà des correctifs de sécurité, Microsoft intègre plusieurs fonctionnalités déjà testées dans la mise à jour de prévisualisation KB5095093, notamment Restauration à un instant dans le passé, Teinte de l’écran, des améliorations Bluetooth, des Widgets moins intrusifs ainsi que plusieurs optimisations de l’Explorateur de fichiers.

Mais cette mise à jour est surtout marquée par un record : 570 vulnérabilités corrigées, dont 3 zero-day, deux étant déjà exploitées dans des attaques.

Un Patch Tuesday record : 570 vulnérabilités corrigées

Le Patch Tuesday de juillet 2026 est l’un des plus importants publiés par Microsoft.

Au total, l’entreprise corrige 570 vulnérabilités, parmi lesquelles :

  • 254 élévations de privilèges.
  • 145 exécutions de code à distance (RCE).
  • 102 divulgations d’informations.
  • 35 dénis de service.
  • 17 contournements de fonctionnalités de sécurité.
  • 16 vulnérabilités d’usurpation d’identité.

Parmi elles figurent 3 failles zero-day, dont 2 déjà exploitées avant la publication des correctifs.

Microsoft recommande donc d’installer cette mise à jour dès que possible.

Trois zero-day corrigées, dont deux déjà exploitées

Parmi les 570 vulnérabilités corrigées ce mois-ci figurent trois failles zero-day, dont deux étaient déjà activement exploitées avant la publication des correctifs.

CVE-2026-56155 – Élévation de privilèges dans Active Directory Federation Services (AD FS)

Cette vulnérabilité affecte Active Directory Federation Services (AD FS), le composant de Microsoft utilisé pour l’authentification unique (SSO) dans de nombreux environnements professionnels.

En raison d’un contrôle d’accès insuffisamment granulaire, un utilisateur déjà authentifié pouvait obtenir des privilèges administrateur sur le système.

Microsoft n’a pas communiqué de détails sur les attaques observées, mais indique que cette faille a été découverte par son équipe Detection and Response Team (DART) lors d’investigations menées sur des incidents réels.

Le lien Microsoft : Vulnérabilité d’élévation de privilèges dans les services de fédération Active Directory (AD FS)

CVE-2026-56164 – Élévation de privilèges dans Microsoft SharePoint Server

La seconde zero-day activement exploitée concerne Microsoft SharePoint Server.

Cette vulnérabilité permet à un attaquant distant non authentifié d’obtenir des privilèges élevés sur un serveur SharePoint en exploitant un défaut d’authentification sur une fonction critique.

En attendant l’installation du correctif, Microsoft recommande d’activer AMSI (Antimalware Scan Interface) sur le serveur et de configurer le mode Request Body Scan sur Full afin de limiter les risques d’exploitation.

Comme pour la précédente vulnérabilité, Microsoft n’a pas publié de détails sur les attaques observées.

Le lien Microsoft : Vulnérabilité d’élévation de privilèges dans Microsoft SharePoint Server

CVE-2026-50661 – Contournement de BitLocker

La troisième zero-day avait déjà été rendue publique avant la publication du correctif.

Cette vulnérabilité concerne BitLocker et permet de contourner le chiffrement d’un disque système. Un attaquant disposant d’un accès physique à l’ordinateur pourrait exploiter cette faille pour accéder aux données pourtant protégées par BitLocker.

Même si cette attaque nécessite un accès direct à la machine, Microsoft recommande d’installer rapidement la mise à jour afin d’empêcher toute tentative de contournement du chiffrement.

Le lien Microsoft : Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows BitLocker

La restauration à un instant dans le passé arrive pour davantage d’utilisateurs

L’une des principales nouveautés de KB5101650 est le déploiement plus large de Restauration à un instant dans le passé.

Cette nouvelle fonction modernise la restauration système et permet de revenir plus facilement à un état précédent du PC après un problème logiciel, une mise à jour défaillante ou l’installation d’un pilote instable.

👉Pour tout comprendre, lire :

Infographique complète : comment utiliser la restauration à un instant dans le passé de Windows 11

Le bug des 500 Go d’espace disque est corrigé

Microsoft corrige également le bug du fichier CapabilityAccessManager.db-wal.

À cause d’un dysfonctionnement du composant Capability Access Manager, ce fichier journal pouvait grossir de manière incontrôlée et consommer plusieurs dizaines, voire plusieurs centaines de gigaoctets d’espace disque sur certains PC.

KB5101650 intègre le correctif afin d’empêcher cette croissance anormale.

👉CLe guide complet :

Des Widgets enfin moins intrusifs

Microsoft poursuit la refonte des Widgets de Windows 11.

Avec KB5101650 :

  • les badges de notification deviennent plus discrets ;
  • le tableau de bord est plus lisible ;
  • les couleurs s’adaptent mieux au thème Windows ;
  • l’ouverture accidentelle au survol est moins fréquente.

L’objectif est de rendre les Widgets plus utiles sans qu’ils monopolisent l’attention de l’utilisateur.

Des Widgets enfin moins intrusifs dans Windows 11

Teinte de l’écran améliore l’accessibilité

KB5101650 déploie également Teinte de l’écran, une nouvelle fonction d’accessibilité.

Contrairement au mode Éclairage nocturne, qui modifie principalement la température des couleurs, Teinte de l’écran applique une teinte personnalisable sur l’ensemble de l’écran afin d’améliorer le confort visuel.

Cette fonctionnalité s’adresse notamment aux personnes sensibles à la luminosité ou souffrant de certains troubles de la vision.

Une nouvelle fonction Teinte de l'écran dans Windows 11

L’Explorateur de fichiers gagne en performances

Microsoft apporte également plusieurs optimisations à l’Explorateur de fichiers.

La mise à jour améliore notamment :

  • la vitesse d’ouverture de certaines fenêtres ;
  • la fiabilité de la barre d’adresse ;
  • le renommage des fichiers ;
  • la stabilité générale d’Explorer.exe.

Ces optimisations visent à rendre l’utilisation quotidienne de Windows plus fluide.

Bluetooth devient plus fiable

Microsoft poursuit également ses améliorations du Bluetooth.

KB5101650 améliore notamment :

  • la compatibilité avec les appareils Bluetooth LE Audio ;
  • la stabilité des connexions ;
  • les appels audio ;
  • la gestion des microphones Bluetooth ;
  • la reconnexion après une sortie de veille.

Ces changements devraient être particulièrement appréciés par les utilisateurs d’écouteurs et de casques Bluetooth.

Une nouvelle option pour le pavé tactile

Les utilisateurs de PC portables peuvent désormais personnaliser plus finement la taille de la zone utilisée pour le clic droit du pavé tactile.

Windows propose plusieurs tailles prédéfinies afin d’adapter le comportement du pavé tactile aux préférences de chacun.

Cette option est accessible dans : Paramètres > Bluetooth et appareils > Pavé tactile

Améliorations apportées à Mobile connecté

Dans le cadre de l’expérience Phone Link, la gestion des appels entre un téléphone appairé et un ordinateur via Bluetooth gagne en cohérence et en prévisibilité, notamment en ce qui concerne l’acheminement du son au début d’un appel. Les appels sortants restent désormais sur le téléphone pendant la phase de sonnerie et ne basculent de manière transparente vers l’appareil qu’une fois l’appel pris sous Windows 11.

Le comportement des appels entrants a également été optimisé lorsque le mode « Ne pas déranger » est activé, ce qui évite les interruptions audio indésirables sur le PC lorsque les appels sont gérés sur un téléphone connecté.
Accès vocal et langues de saisie vocale

L’Accès vocal et la Saisie vocale prennent désormais en charge le français, l’allemand et l’espagnol, élargissant ainsi les options de dictée à davantage de régions.

De plus, au fur et à mesure que vous parlez, le système affine le texte en temps réel en corrigeant les erreurs de grammaire, de ponctuation et de reconnaissance. Il s’adapte également mieux au bruit de fond, ce qui améliore la clarté et réduit le besoin de corrections manuelles. Cette fonctionnalité est disponible sur les PC équipés de Copilot+.

Corrections relatives à la virtualisation réseau

Le réseau bénéficie d’améliorations tant dans les environnements virtualisés que standard. Les machines virtuelles confidentielles utilisent désormais par défaut l’accélération matérielle SR-IOV pour de meilleures performances et un débit accru.

Un problème de réseau Hyper-V imbriqué a été résolu afin d’améliorer la fiabilité de l’approvisionnement des machines virtuelles. De plus, des mises à jour au niveau du système réduisent les erreurs Wi-Fi, améliorent la connectivité cellulaire, y compris la prise en charge des VPN IPv6, et renforcent la compatibilité avec les outils VPN tiers.

Windows modernise aussi l’installation des imprimantes

Microsoft améliore également la prise en charge des imprimantes modernes.

Windows privilégie désormais Windows Protected Print basé sur Internet Printing Protocol (IPP) pour les imprimantes compatibles.

Cette évolution permet de limiter la dépendance aux pilotes propriétaires et simplifie l’installation des imprimantes tout en renforçant la sécurité.

Autres corrections et améliorations

Cette mise à jour apporte également quelques corrections et améliorations supplémentaires :

  • Audio : améliore la fiabilité du pilote audio HD intégré.
  • Barre des tâches : corrige un problème où le clic sur le bord gauche de la barre des tâches pour ouvrir le menu Démarrer pouvait ne pas fonctionner correctement lorsque les icônes étaient alignées à gauche.
  • Panneau Emoji : remplace le fournisseur de GIF Tenor par GIPHY pour une expérience de navigation et de partage plus fluide.
  • Sous-système Windows pour Linux (WSL) : améliore la stabilité en mode réseau miroir lors de l’utilisation de connexions VPN.
  • Affichage : améliore la fiabilité du défilement dans les applications sur plusieurs écrans et optimise l’application et la persistance des profils de couleurs.
  • Authentification : améliore les connexions via le canal sécurisé Netlogon pour les contrôleurs de domaine et les anciennes configurations de serveur.
  • Réseau : améliore la fiabilité lors de la connexion à des ressources réseau partagées, y compris NetUseAdd et les connexions non authentifiées. De plus, le géant du logiciel a renforcé la sécurité de l’enregistrement des transports TDI. Les applications utilisant des transports TDI tiers non enregistrés pourraient cesser de fonctionner après cette mise à jour.
  • Menu Démarrer : les nouvelles applications et celles supprimées se mettent désormais à jour sans nécessiter de déconnexion ni de redémarrage.
  • Barre des tâches : corrige des problèmes liés aux badges de notification afin que les compteurs et les éléments visuels s’actualisent correctement dans toutes les applications.
  • Stratégie de groupe : le comportement de la stratégie de groupe lié à la recherche est désormais plus fiable, ce qui améliore la cohérence dans les environnements gérés et d’entreprise.
  • Corbeille : corrige un problème dans lequel la boîte de dialogue de confirmation pouvait
  • Applications : correction d’un problème pouvant entraîner l’affichage inattendu de messages de contrôle des comptes d’utilisateurs (UAC) par certaines applications et certains programmes d’installation après l’installation de la mise à jour KB5089549. Par ailleurs, une correction a été apportée pour certaines applications tierces utilisant OLE Automation qui pouvaient ne pas parvenir à lancer Microsoft Office ou à ouvrir des documents après l’installation de la mise à jour de sécurité de juin 2026 (KB5094126).
  • Bureau à distance : la conception de la boîte de dialogue qui s’affiche lors de l’activation du Bureau à distance dans Paramètres > Système > Bureau à distance a été actualisée. De plus, la société a ajouté la prise en charge des empreintes de certificats SHA-2 pour les éditeurs RDP de confiance. Microsoft recommande de passer à SHA-256 ou à des algorithmes plus puissants, car la prise en charge de SHA-1 sera à terme supprimée.
  • Noyau graphique : Amélioration de la gestion de la mémoire sur les PC dotés de plus de 32 Go de RAM, permettant l’exécution locale de modèles d’IA plus volumineux.
  • Performances : Amélioration des performances d’arrêt grâce à la réduction du temps nécessaire pour arrêter le service de transfert intelligent en arrière-plan (BITS) lors de la mise hors tension de l’ordinateur.
  • Stockage : correction d’un problème d’utilisation de l’espace de stockage par le fichier CapabilityAccessManager.db-wal, qui entraînait une augmentation de la taille de la base de données de plusieurs gigaoctets.
  • Sécurité : mise à jour de l’outil curl de Windows 11 vers la version 8.21.0 et intégration d’améliorations de sécurité supplémentaires.
  • Saisie : mise à jour du comportement de nettoyage des raccourcis clavier. Dans de rares cas, certaines fonctionnalités intégrées peuvent temporairement cesser de répondre aux raccourcis clavier. Le redémarrage de l’application concernée résout généralement le problème.

Conclusion

Avec KB5101650, Microsoft signe l’un des Patch Tuesday les plus importants de ces dernières années. Outre la correction d’un nombre record de 570 vulnérabilités, dont 3 zero-day, cette mise à jour apporte de nombreuses améliorations attendues par les utilisateurs : restauration système modernisée, Widgets plus discrets, Teinte de l’écran, optimisations Bluetooth, Explorateur de fichiers plus rapide et correction de plusieurs bugs importants.

Elle illustre également la nouvelle stratégie de Microsoft : faire évoluer Windows 11 progressivement, en ajoutant régulièrement de nouvelles fonctionnalités via les mises à jour mensuelles plutôt que d’attendre les grandes versions annuelles.

L’article Windows 11 KB5101650 : le Patch Tuesday de juillet 2026 corrige 570 failles dont 3 zero-day et déploie de nombreuses nouveautés est apparu en premier sur malekal.com.

Microsoft confirme un nouveau blocage des certificats Secure Boot 2023 sur certains PC Windows 11

Microsoft a reconnu un nouveau problème empêchant l’installation des certificats Secure Boot 2023 sur certains PC Windows 11.

Ce blocage concerne une partie des appareils participant à la transition vers les nouveaux certificats de démarrage sécurisé, destinés à remplacer les certificats historiques de 2011 qui arriveront à expiration à partir de 2026.

L’entreprise indique travailler sur un correctif et recommande aux utilisateurs concernés de patienter jusqu’à la publication d’une nouvelle mise à jour.

👉A lire sur le sujet :

Un nouveau problème détecté

Depuis plusieurs semaines, Microsoft déploie progressivement les nouveaux certificats Secure Boot 2023 via Windows Update.

Toutefois, l’entreprise a confirmé que certains appareils ne parviennent pas à terminer correctement cette mise à jour.

Dans les journaux d’événements Windows, les utilisateurs concernés peuvent notamment observer des événements indiquant que la mise à jour des certificats n’a pas pu être appliquée.

Microsoft précise que ce problème est actuellement à l’étude et qu’un correctif est en préparation.

👉Ce n’est d’ailleurs pas la première fois : [/su_lien]Secure Boot 2023 de Windows 11 : les mises à jour échouent sur certains PC (explications et solutions)[/su_lien]

Quels PC sont concernés ?

À ce stade, Microsoft n’a pas publié de liste précise des modèles affectés.

Le problème semble toucher uniquement une partie des appareils compatibles avec Secure Boot et ne concerne pas tous les PC Windows 11.

L’entreprise poursuit son déploiement progressif afin de limiter les risques de compatibilité, notamment avec certains firmwares UEFI.

« De nombreux fabricants publient activement ces mises à jour de micrologiciel via leurs canaux de mise à jour habituels. Si une mise à jour de micrologiciel est nécessaire, consultez la page d’assistance relative au démarrage sécurisé de votre fabricant pour connaître la marche à suivre », a indiqué Microsoft, ce qui corrobore nos conclusions précédentes.

Pourquoi ces certificats sont-ils importants ?

Les certificats Secure Boot 2023 remplacent progressivement ceux introduits en 2011.

Ils permettent de continuer à vérifier l’intégrité de la chaîne de démarrage de Windows et de protéger le système contre les chargeurs de démarrage malveillants ou compromis.

Sans cette mise à jour, un ordinateur continuera généralement à fonctionner normalement, mais il pourrait ne plus recevoir certaines futures mises à jour de révocation (DBX) destinées à bloquer des composants vulnérables.

Microsoft préfère bloquer la mise à jour plutôt que de prendre un risque

Ce nouveau problème illustre la prudence adoptée par Microsoft dans le déploiement des certificats Secure Boot 2023.

Plutôt que de forcer une mise à jour susceptible de provoquer un problème de démarrage, l’entreprise préfère suspendre temporairement son installation sur les appareils concernés.

Cette stratégie avait déjà été observée lors des premiers déploiements, notamment après plusieurs incidents liés à certains firmwares UEFI de constructeurs.

Que faire si votre PC est concerné ?

Microsoft ne recommande actuellement aucune manipulation particulière.

Si votre appareil ne reçoit pas encore les certificats Secure Boot 2023 ou si leur installation échoue, il est conseillé :

  • d’installer les dernières mises à jour Windows ;
  • de vérifier si une mise à jour du BIOS/UEFI est disponible auprès du constructeur ;
  • d’attendre la publication du correctif annoncé par Microsoft.

L’entreprise indique qu’une prochaine mise à jour permettra de résoudre ce problème sur les appareils concernés.

Une transition toujours en cours

Ce nouvel incident montre que la migration vers les certificats Secure Boot 2023 reste un chantier important pour Microsoft.

Depuis plusieurs mois, l’entreprise procède par étapes afin de limiter les risques d’incompatibilité avec les nombreux matériels et firmwares UEFI encore en circulation.

Même si certains utilisateurs rencontrent actuellement des difficultés, Microsoft confirme que cette transition reste indispensable avant l’expiration définitive des anciens certificats.

👉 Consultez également notre dossier complet consacré à Secure Boot 2023, qui explique le fonctionnement des certificats, les dates importantes et les vérifications à effectuer sur votre PC.

Conclusion

Microsoft poursuit le déploiement des certificats Secure Boot 2023, mais un nouveau problème empêche actuellement leur installation sur certains PC Windows 11. L’entreprise travaille sur un correctif et recommande aux utilisateurs concernés de patienter avant toute intervention manuelle.

Cette nouvelle difficulté rappelle que la migration vers les nouveaux certificats constitue une opération sensible, qui dépend à la fois de Windows, du firmware UEFI et des fabricants de matériel.

L’article Microsoft confirme un nouveau blocage des certificats Secure Boot 2023 sur certains PC Windows 11 est apparu en premier sur malekal.com.

Microsoft : l’IA va permettre de découvrir davantage de failles de sécurité dans Windows

Microsoft estime que les futures mises à jour de sécurité de Windows contiendront un nombre croissant de correctifs grâce à l’utilisation de l’intelligence artificielle.

L’entreprise explique que l’IA lui permet désormais d’identifier des vulnérabilités plus tôt dans le cycle de développement, mais aussi d’accélérer leur analyse et la création des correctifs. Cette évolution s’inscrit dans un contexte où les cybercriminels utilisent eux aussi l’IA pour rechercher plus rapidement de nouvelles failles de sécurité.

Une course entre les attaquants et les défenseurs

L’intelligence artificielle transforme progressivement la cybersécurité.

Jusqu’à récemment, la découverte de vulnérabilités reposait essentiellement sur des chercheurs en sécurité, des équipes d’audit et des programmes de bug bounty. Désormais, les modèles d’IA sont capables d’analyser de très grandes quantités de code et d’identifier des schémas susceptibles de révéler des erreurs de programmation ou des vulnérabilités.

Le problème est que cette évolution profite aussi bien aux défenseurs qu’aux attaquants.

Les cybercriminels peuvent utiliser l’IA pour accélérer la recherche de nouvelles failles, tandis que les éditeurs de logiciels, comme Microsoft, s’appuient sur ces mêmes technologies pour les détecter et les corriger avant qu’elles ne soient exploitées.

IA et la découverte de vulnérabilités

Microsoft s’attend à publier davantage de correctifs

Microsoft indique que cette évolution aura une conséquence directe sur les futures mises à jour de sécurité de Windows.

L’entreprise prévoit d’intégrer un plus grand nombre de correctifs dans les Patch Tuesday, simplement parce que davantage de vulnérabilités seront découvertes grâce à l’IA.

Il ne s’agit donc pas nécessairement d’une baisse de la qualité du code de Windows, mais d’une capacité accrue à détecter des problèmes qui seraient auparavant passés inaperçus.

Selon Microsoft, les outils d’IA permettent notamment :

  • d’identifier plus rapidement des vulnérabilités potentielles ;
  • d’analyser automatiquement certaines portions de code ;
  • de proposer des correctifs ;
  • de valider les modifications avant leur intégration.

L’entreprise précise toutefois que les décisions finales restent prises par des ingénieurs, qui continuent de relire et de valider les correctifs avant leur publication.

MDASH analyse les composants critiques de Windows avec plusieurs modèles d’IA

Pour rechercher plus efficacement les vulnérabilités dans Windows, Microsoft utilise un système baptisé MDASH, pour Multi-model Agentic Scanning Harness.

Cet outil de découverte de failles repose sur plusieurs modèles d’intelligence artificielle qui travaillent ensemble afin d’analyser les composants et fichiers binaires critiques de Windows. Plutôt que de confier l’examen du code à un seul modèle, Microsoft utilise une approche multimodale destinée à confronter les résultats et à améliorer leur fiabilité.

Le processus fonctionne en plusieurs étapes :

  • les composants critiques de Windows sont analysés à la recherche de comportements potentiellement vulnérables ;
  • plusieurs modèles d’IA examinent et comparent les résultats ;
  • les signalements peu fiables ou les faux positifs sont éliminés ;
  • les vulnérabilités jugées suffisamment crédibles passent dans un second processus de validation spécialement conçu pour Windows ;
  • les résultats les plus sérieux sont ensuite transmis aux ingénieurs Microsoft pour une analyse humaine.

Cette succession de contrôles est importante, car les outils automatisés peuvent détecter de nombreuses anomalies qui ne correspondent pas nécessairement à de véritables failles exploitables.

MDASH ne remplace donc pas les chercheurs et les ingénieurs en sécurité. Il agit plutôt comme un système de présélection capable d’examiner rapidement de grandes quantités de code et de faire remonter les candidats les plus intéressants.

Selon Microsoft, les progrès de l’IA accélèrent à la fois la découverte et l’analyse des vulnérabilités. Des problèmes qui auraient autrefois demandé de longues recherches manuelles peuvent désormais être repérés plus tôt et dans un volume de code beaucoup plus important.

Une évolution du cycle de développement sécurisé

Microsoft profite également de cette évolution pour adapter son Secure Development Lifecycle (SDL).

Le cycle de développement sécurisé prend désormais explicitement en compte les scénarios d’attaque rendus possibles par l’intelligence artificielle. L’objectif est d’anticiper les nouvelles méthodes utilisées pour découvrir ou exploiter des vulnérabilités.

En parallèle, Microsoft investit dans de nouveaux outils internes, notamment des systèmes d’IA spécialisés capables d’assister les développeurs dans la génération et la validation des correctifs de sécurité.

Une tendance déjà visible

Cette annonce n’est pas isolée.

Lors du Patch Tuesday de juin 2026, Microsoft avait déjà publié un nombre record de correctifs de sécurité. L’entreprise reconnaît désormais que l’utilisation de l’intelligence artificielle contribue à cette augmentation du nombre de vulnérabilités détectées.

Cette tendance devrait se poursuivre dans les prochains mois, à mesure que les outils d’analyse automatisée gagneront en efficacité.

Un sujet déjà abordé sur Malekal

Cette annonce confirme une tendance que nous avions déjà évoquée : l’intelligence artificielle accélère la découverte des vulnérabilités, aussi bien du côté des chercheurs en sécurité que des cybercriminels.

L’augmentation du nombre de failles découvertes ne signifie donc pas forcément que Windows devient moins sûr. Elle traduit également une meilleure capacité à détecter des erreurs qui auraient auparavant pu rester invisibles pendant plusieurs années.

👉 Pour approfondir le sujet, consultez également notre dossier :

Conclusion

L’intelligence artificielle est en train de transformer la cybersécurité. Les attaquants disposent de nouveaux outils pour rechercher des vulnérabilités, mais les éditeurs de logiciels bénéficient eux aussi de ces progrès pour renforcer la sécurité de leurs produits.

Microsoft s’attend ainsi à publier davantage de correctifs dans les futures mises à jour de Windows. Si cette évolution peut donner l’impression que davantage de failles sont découvertes, elle reflète surtout une amélioration des capacités de détection et une adaptation du développement de Windows aux nouveaux défis posés par l’IA.

L’article Microsoft : l’IA va permettre de découvrir davantage de failles de sécurité dans Windows est apparu en premier sur malekal.com.

Créer un raccourci pour arrêter, redémarrer ou mettre en veille Windows

Vous utilisez régulièrement les options Arrêter, Redémarrer, Mettre en veille ou Fermer la session de Windows ? Il est possible de créer des raccourcis permettant d’exécuter ces actions en un seul clic depuis le Bureau, le menu Démarrer ou la barre des tâches.

Windows intègre pour cela la commande shutdown, ainsi que d’autres commandes système permettant d’arrêter le PC, de redémarrer l’ordinateur, de verrouiller la session, de mettre le PC en veille ou en veille prolongée. Il suffit de créer un raccourci pointant vers la commande appropriée pour accéder rapidement à ces fonctionnalités.

Dans ce tutoriel, découvrez comment créer un raccourci pour arrêter Windows, redémarrer le PC, fermer la session, verrouiller votre ordinateur, mettre le PC en veille ou en veille prolongée, puis comment personnaliser son icône et l’épingler au menu Démarrer ou à la barre des tâches.

Créer un raccourci pour arrêter son PC en Windows

Windows permet de créer un raccourci qui arrête immédiatement l’ordinateur en utilisant la commande shutdown. Cette méthode est pratique si vous souhaitez arrêter rapidement votre PC depuis le Bureau, la barre des tâches ou le menu Démarrer.

Pour créer ce raccourci :

  • Faites un clic droit sur un emplacement vide du Bureau.
  • Sélectionnez Nouveau > Raccourci.
  • Dans le champ Entrez l’emplacement de l’élément, saisissez la commande suivante :
shutdown /s /t 0
  • Cliquez sur Suivant.
  • Donnez un nom au raccourci, par exemple Arrêter Windows.
  • Cliquez sur Terminer.

Le raccourci est immédiatement créé. Un double-clic dessus lance l’arrêt immédiat de Windows.

Créer un raccourci pour arrêter son ordinateur en Windows

À quoi correspond cette commande ?

La commande est composée de plusieurs paramètres :

  • /s : arrête complètement Windows.
  • /t 0 : lance l’arrêt immédiatement, sans délai.

Vous pouvez modifier le délai en remplaçant 0 par le nombre de secondes souhaité. Par exemple, pour arrêter le PC au bout d’une minute :

shutdown /s /t 60

Pendant le compte à rebours, un message informe l’utilisateur que Windows va s’arrêter.

👉Le guide pour apprendre à utiliser la commande :

Personnaliser l’icône du raccourci

Par défaut, le raccourci utilise une icône générique. Vous pouvez lui attribuer une icône plus représentative.

  • Faites un clic droit sur le raccourci, puis sélectionnez Propriétés.
  • Dans l’onglet Raccourci, cliquez sur Changer d’icône….
  • Si Windows indique qu’aucune icône n’est disponible, saisissez le chemin suivant :
%SystemRoot%\System32\shell32.dll
  • Choisissez une icône représentant l’arrêt ou l’alimentation.
  • Cliquez sur OK, puis sur Appliquer.

Vous pouvez ensuite épingler ce raccourci au menu Démarrer ou à la barre des tâches pour y accéder encore plus rapidement.

Créer un raccourci pour redémarrer le PC

Vous pouvez également créer un raccourci permettant de redémarrer immédiatement Windows. Cette solution est pratique si vous redémarrez fréquemment votre ordinateur après une mise à jour, l’installation d’un logiciel ou pour résoudre un problème.

Pour créer ce raccourci :

  • Faites un clic droit sur un emplacement vide du Bureau.
  • Sélectionnez Nouveau > Raccourci.
  • Dans le champ Entrez l’emplacement de l’élément, saisissez la commande suivante :
shutdown /r /t 0
shutdown : redémarrer ou arrêter Windows en invite de commandes
  • Cliquez sur Suivant.
  • Donnez un nom au raccourci, par exemple Redémarrer le PC.
shutdown : redémarrer ou arrêter Windows en invite de commandes
  • Cliquez sur Terminer.

Un double-clic sur ce raccourci redémarre immédiatement l’ordinateur.

shutdown : redémarrer ou arrêter Windows en invite de commandes

À quoi correspond cette commande ?

La commande utilise les paramètres suivants :

  • /r : redémarre Windows après avoir fermé les applications.
  • /t 0 : exécute le redémarrage immédiatement, sans délai.

Si vous souhaitez laisser quelques secondes avant le redémarrage, remplacez 0 par le délai souhaité. Par exemple, pour redémarrer le PC après 30 secondes :

shutdown /r /t 30

Personnaliser l’icône du raccourci

Comme pour le raccourci d’arrêt, vous pouvez modifier son icône :

  • Faites un clic droit sur le raccourci, puis sélectionnez Propriétés.
  • Dans l’onglet Raccourci, cliquez sur Changer d’icône….
  • Si nécessaire, indiquez le fichier suivant :
%SystemRoot%\System32\shell32.dll
  • Choisissez une icône représentant le redémarrage ou le système.
  • Cliquez sur OK, puis sur Appliquer.

Vous pouvez ensuite épingler ce raccourci au menu Démarrer ou à la barre des tâches afin de redémarrer votre ordinateur en un seul clic.

👉Pour compléter, suivez guide :

Créer un raccourci pour fermer la session

Si vous souhaitez fermer rapidement votre session Windows sans arrêter ni redémarrer l’ordinateur, vous pouvez créer un raccourci utilisant la commande shutdown. Cette solution est pratique sur un ordinateur partagé ou lorsque vous changez régulièrement d’utilisateur.

Pour créer ce raccourci :

  • Faites un clic droit sur un emplacement vide du Bureau.
  • Sélectionnez Nouveau > Raccourci.
  • Dans le champ Entrez l’emplacement de l’élément, saisissez la commande suivante :
shutdown /l
  • Cliquez sur Suivant.
  • Donnez un nom au raccourci, par exemple Fermer la session.
  • Cliquez sur Terminer.

Un double-clic sur ce raccourci ferme immédiatement la session en cours et affiche l’écran de connexion de Windows.

À quoi correspond cette commande ?

La commande utilise le paramètre suivant :

  • /l : ferme la session de l’utilisateur actuellement connecté.

Contrairement aux commandes d’arrêt ou de redémarrage, il n’est pas possible d’utiliser le paramètre /t avec shutdown /l. La fermeture de session est donc exécutée immédiatement.

Avant de fermer la session, pensez à enregistrer les documents ouverts afin d’éviter toute perte de données. Si des applications empêchent la fermeture de la session, Windows peut vous demander de confirmer leur fermeture.

Personnaliser l’icône du raccourci

Pour faciliter son identification, vous pouvez modifier l’icône du raccourci :

  • Faites un clic droit sur le raccourci, puis sélectionnez Propriétés.
  • Dans l’onglet Raccourci, cliquez sur Changer d’icône….
  • Si Windows ne trouve aucune icône, indiquez le fichier suivant :
%SystemRoot%\System32\shell32.dll
  • Sélectionnez une icône adaptée.
  • Cliquez sur OK, puis sur Appliquer.

Vous pouvez ensuite épingler ce raccourci au menu Démarrer ou à la barre des tâches afin de fermer votre session en un seul clic.

Créer un raccourci pour verrouiller Windows

Si vous souhaitez verrouiller rapidement votre session sans la fermer, vous pouvez créer un raccourci dédié. Le verrouillage permet de protéger votre ordinateur lorsque vous vous absentez quelques instants, tout en laissant vos applications et vos documents ouverts.

Pour créer ce raccourci :

  • Faites un clic droit sur un emplacement vide du Bureau.
  • Sélectionnez Nouveau > Raccourci.
  • Dans le champ Entrez l’emplacement de l’élément, saisissez la commande suivante :
rundll32.exe user32.dll,LockWorkStation
  • Cliquez sur Suivant.
  • Donnez un nom au raccourci, par exemple Verrouiller Windows.
  • Cliquez sur Terminer.

Un double-clic sur ce raccourci verrouille immédiatement la session en cours et affiche l’écran de verrouillage de Windows 11/10.

À quoi correspond cette commande ?

Cette commande utilise rundll32.exe pour appeler la fonction LockWorkStation de la bibliothèque système user32.dll.

Contrairement à la fermeture de session, le verrouillage :

  • Conserve toutes les applications ouvertes.
  • Maintient les documents en cours d’édition.
  • Demande votre mot de passe, votre code PIN ou Windows Hello pour accéder de nouveau à la session.

C’est la méthode recommandée lorsque vous quittez temporairement votre poste de travail.

Créer un raccourci pour mettre le PC en veille

La veille permet d’éteindre la plupart des composants de l’ordinateur tout en conservant les applications et les documents ouverts en mémoire. Le PC consomme très peu d’énergie et reprend son activité en quelques secondes lorsque vous appuyez sur une touche ou déplacez la souris.

Vous pouvez créer un raccourci permettant de mettre immédiatement votre ordinateur en veille.

Pour créer ce raccourci :

  • Faites un clic droit sur un emplacement vide du Bureau.
  • Sélectionnez Nouveau > Raccourci.
  • Dans le champ Entrez l’emplacement de l’élément, saisissez la commande suivante :
rundll32.exe powrprof.dll,SetSuspendState Sleep
  • Cliquez sur Suivant.
  • Donnez un nom au raccourci, par exemple Mettre en veille.
  • Cliquez sur Terminer.

Un double-clic sur ce raccourci met immédiatement l’ordinateur en veille.

Utiliser la commande PowerShell (recommandé)

La commande précédente peut ne pas fonctionner correctement sur certaines versions de Windows ou si la veille prolongée est activée. Une alternative plus fiable consiste à utiliser PowerShell.

Créez un raccourci avec la commande suivante :

powershell.exe -Command "(Add-Type '[DllImport(\"powrprof.dll\", SetLastError=true)]public static extern bool SetSuspendState(bool hibernate,bool forceCritical,bool disableWakeEvent);' -Name P -Namespace Win32 -PassThru)::SetSuspendState($false,$false,$false)"

Cette commande demande explicitement à Windows de passer en veille et non en veille prolongée.

Vérifier que la veille est disponible

Si le raccourci ne fonctionne pas, il est possible que la veille soit désactivée ou qu’elle ne soit pas prise en charge par votre matériel.

Pour afficher les états de veille disponibles, ouvrez l’Invite de commandes ou Windows PowerShell en tant qu’administrateur, puis exécutez :

powercfg /a

Cette commande affiche les modes de veille pris en charge par votre ordinateur ainsi que les éventuelles raisons de leur indisponibilité.

👉 Le guide complet :

Créer un raccourci pour mettre le PC en veille prolongée

La veille prolongée (Hibernate) enregistre le contenu de la mémoire vive (RAM) sur le disque, puis éteint complètement l’ordinateur. Au prochain démarrage, Windows restaure votre session telle que vous l’avez laissée, avec les applications et les documents ouverts.

Cette fonctionnalité est particulièrement utile sur un ordinateur portable pour économiser la batterie tout en reprenant rapidement votre travail.

Pour créer un raccourci permettant de mettre le PC en veille prolongée :

  • Faites un clic droit sur un emplacement vide du Bureau.
  • Sélectionnez Nouveau > Raccourci.
  • Dans le champ Entrez l’emplacement de l’élément, saisissez la commande suivante :
shutdown /h
  • Cliquez sur Suivant.
  • Donnez un nom au raccourci, par exemple Mettre en veille prolongée.
  • Cliquez sur Terminer.

Un double-clic sur ce raccourci met immédiatement l’ordinateur en veille prolongée.

Vérifier que la veille prolongée est activée

Si le raccourci ne fonctionne pas, il est possible que la veille prolongée soit désactivée.

Pour vérifier les états d’alimentation disponibles :

  • Ouvrez l’Invite de commandes ou Windows PowerShell en tant qu’administrateur.
  • Exécutez la commande suivante :
powercfg /a

Si la veille prolongée n’est pas disponible, vous pouvez l’activer avec la commande suivante :

powercfg /hibernate on

👉 Le tutoriel complet :

Créer un raccourci pour ouvrir les options d’alimentation

Si vous accédez régulièrement aux options d’alimentation pour modifier le mode de gestion de l’énergie, choisir un plan d’alimentation ou configurer les boutons Marche/Arrêt, vous pouvez créer un raccourci permettant d’ouvrir directement cette page.

Pour créer ce raccourci :

  • Faites un clic droit sur un emplacement vide du Bureau.
  • Sélectionnez Nouveau > Raccourci.
  • Dans le champ Entrez l’emplacement de l’élément, saisissez la commande suivante :
control.exe /name Microsoft.PowerOptions
  • Cliquez sur Suivant.
  • Donnez un nom au raccourci, par exemple Options d’alimentation.
  • Cliquez sur Terminer.

Un double-clic sur ce raccourci ouvre immédiatement les Options d’alimentation du Panneau de configuration.

Que peut-on faire depuis les options d’alimentation ?

Cette fenêtre permet notamment de :

  • Choisir un plan d’alimentation (Équilibré, Économies d’énergie, Performances élevées…).
  • Modifier les paramètres du mode de gestion de l’alimentation.
  • Configurer le comportement du bouton Marche/Arrêt et de la fermeture du capot sur un ordinateur portable.
  • Définir les délais de mise en veille et d’extinction de l’écran.
  • Activer ou désactiver la veille prolongée, selon la configuration de votre ordinateur.

👉 Le guide complet :

Modifier l’icône du raccourci

Par défaut, un raccourci utilise généralement l’icône du programme qu’il lance. Vous pouvez toutefois la remplacer par une autre afin de le distinguer plus facilement sur le Bureau, dans le menu Démarrer ou sur la barre des tâches.

Pour modifier l’icône d’un raccourci :

  • Faites un clic droit sur le raccourci.
  • Sélectionnez Propriétés.
  • Ouvrez l’onglet Raccourci.
  • Cliquez sur Changer d’icône….

Si Windows indique qu’aucune icône n’est disponible, saisissez le chemin suivant :

%SystemRoot%\System32\shell32.dll

Ce fichier contient plusieurs centaines d’icônes intégrées à Windows. Sélectionnez celle de votre choix, puis cliquez sur OK et enfin sur Appliquer.

Vous pouvez également utiliser les icônes contenues dans d’autres bibliothèques système, par exemple :

BibliothèqueContenu
%SystemRoot%\System32\shell32.dllNombreuses icônes système (dossiers, disques, alimentation, sécurité, etc.)
%SystemRoot%\System32\imageres.dllIcônes modernes utilisées par Windows 11/10
%SystemRoot%\System32\pifmgr.dllAnciennes icônes Windows, toujours disponibles
Fichier .exe ou .dllLes programmes contiennent souvent leurs propres icônes

Il est également possible d’utiliser un fichier .ico personnalisé en cliquant sur Parcourir…. Cette solution est idéale pour créer des raccourcis facilement identifiables ou harmoniser l’apparence de votre Bureau.

Une fois l’icône modifiée, le raccourci conserve toutes ses propriétés. Seule son apparence est changée.

Épingler le raccourci au Bureau, au menu Démarrer ou à la barre des tâches

Une fois votre raccourci créé, vous pouvez le placer à l’emplacement de votre choix afin d’y accéder plus rapidement. Windows permet notamment de le conserver sur le Bureau, de l’épingler au menu Démarrer ou à la barre des tâches.

👉Le tutoriel :

Attribuer un raccourci clavier

Il est également possible d’ouvrir un raccourci à l’aide d’une combinaison de touches.

  • Faites un clic droit sur le raccourci.
  • Sélectionnez Propriétés.
  • Ouvrez l’onglet Raccourci.
  • Cliquez dans le champ Touche de raccourci.
  • Appuyez sur la combinaison de touches souhaitée.
  • Cliquez sur Appliquer, puis sur OK.

Vous pourrez ensuite lancer le raccourci directement au clavier, sans passer par le Bureau ou le menu Démarrer.

📖 Ressources utiles et articles liés

L’article Créer un raccourci pour arrêter, redémarrer ou mettre en veille Windows est apparu en premier sur malekal.com.

Microsoft corrige la faille zero-day RoguePlanet dans Microsoft Defender

Microsoft a publié un correctif pour une nouvelle vulnérabilité zero-day baptisée RoguePlanet (CVE-2026-50656), affectant Microsoft Defender.

Cette faille permettait à un attaquant disposant déjà d’un accès limité à une machine Windows d’obtenir des privilèges élevés sur le système. Elle a été découverte par les chercheurs en sécurité de SafeBreach Labs, qui l’ont signalée de manière responsable à Microsoft.

L’entreprise a intégré le correctif directement dans les mises à jour de la plateforme Microsoft Defender, sans nécessiter l’installation d’une mise à jour Windows spécifique.

Qu’est-ce que RoguePlanet ?

RoguePlanet est le nom donné à une vulnérabilité permettant une élévation de privilèges (Elevation of Privilege).

Concrètement, un utilisateur ou un logiciel malveillant disposant déjà d’un accès limité au système pouvait exploiter cette faille afin d’exécuter du code avec des privilèges beaucoup plus élevés.

Cette technique peut notamment être utilisée pour :

  • Désactiver certaines protections de sécurité.
  • Installer des logiciels malveillants persistants.
  • Accéder à des fichiers normalement protégés.
  • Compromettre complètement un ordinateur.

La faille ne permet cependant pas une compromission à distance. Un attaquant doit déjà avoir obtenu un accès au PC pour pouvoir l’exploiter.

👉A lire :

Une vulnérabilité dans Microsoft Defender

Contrairement à ce que l’on pourrait penser, la vulnérabilité ne concerne pas directement le moteur d’analyse antivirus.

Elle touche un composant de Microsoft Defender chargé de certaines opérations système exécutées avec des privilèges élevés.

Les chercheurs de SafeBreach ont montré qu’il était possible d’exploiter ce comportement afin d’obtenir une élévation de privilèges.

Microsoft indique n’avoir observé aucune exploitation active de cette faille avant la publication du correctif.

Quelle version corrige RoguePlanet ?

Microsoft a corrigé la vulnérabilité RoguePlanet avec la version 1.1.26060.3008 du moteur du moteur (Microsoft Malware Protection Engine).

Ce composant est le moteur d’analyse utilisé par Microsoft Defender et par plusieurs solutions de sécurité Microsoft. Il est mis à jour automatiquement via les mises à jour de sécurité de Defender, indépendamment des mises à jour cumulatives de Windows.

Les utilisateurs doivent donc vérifier que leur moteur de protection Microsoft Defender est au moins en version 1.1.26060.3008 afin de bénéficier du correctif.

Pour vérifier la version installée :

  • Ouvrez Sécurité Windows.
  • Cliquez sur Paramètres en bas à gauche.
  • Cliquez sur A propos.
  • Vérifiez la version du moteur de sécurité.

Si la mise à jour n’est pas encore installée, lancez une recherche de mises à jour de protection depuis cette même page.

Microsoft poursuit le renforcement de Windows

Cette correction intervient quelques semaines après plusieurs autres annonces de sécurité importantes :

Microsoft poursuit ainsi sa stratégie consistant à renforcer progressivement les différents composants de sécurité de Windows 11.

Conclusion

Même si RoguePlanet nécessite déjà un accès au système pour être exploitée, cette faille montre qu’une élévation de privilèges reste une étape importante dans une chaîne d’attaque. Grâce au signalement responsable de SafeBreach Labs, Microsoft a pu corriger la vulnérabilité avant qu’elle ne soit exploitée à grande échelle.

Les utilisateurs de Microsoft Defender ont donc intérêt à vérifier que leur plateforme de sécurité est bien à jour afin de bénéficier automatiquement de cette protection.

L’article Microsoft corrige la faille zero-day RoguePlanet dans Microsoft Defender est apparu en premier sur malekal.com.

Histoire des botnets : 20 ans d’évolution de la cybercriminalité

Depuis le début des années 2000, les botnets ont profondément transformé le paysage de la cybercriminalité. D’abord utilisés pour envoyer des campagnes massives de spam ou lancer des attaques par déni de service (DDoS), ils sont progressivement devenus de véritables plateformes criminelles, capables de diffuser des malwares, déployer des ransomwares, réaliser de la fraude publicitaire (Ad Fraud), fournir des proxys résidentiels ou encore être loués sous forme de Botnet-as-a-Service (BaaS).

Cette évolution s’est accompagnée de nombreux changements techniques : apparition des architectures pair-à-pair (P2P), des algorithmes DGA, du Fast Flux DNS, des rootkits, puis des botnets ciblant les objets connectés (IoT) et les Android TV Box. Les opérations de démantèlement menées par Microsoft, Europol, le FBI et d’autres acteurs ont également joué un rôle majeur dans cette course permanente entre cybercriminels et défenseurs.

Dans ce dossier, découvrez l’histoire des botnets, leur évolution au fil des années, les principaux réseaux qui ont marqué la cybersécurité, les grandes opérations de démantèlement et les nouvelles tendances qui façonnent les botnets modernes.

✋
Pour tout savoir sur le fonctionnement d’un botnet, consultez : Les botnets : définition, fonctionnement, types et protection

Les grandes étapes de l’évolution des botnets

En un peu plus de vingt ans, les botnets ont profondément évolué. D’abord simples réseaux d’ordinateurs Windows contrôlés via des serveurs IRC, ils sont progressivement devenus des plateformes criminelles sophistiquées capables de diffuser des malwares, lancer des attaques DDoS, exploiter des objets connectés ou fournir des services de proxys résidentiels.

La frise ci-dessous résume les principales étapes de cette évolution.

Frise chronologique de l'histoire des botnets 20 ans d'évolution

Les premiers botnets (2000-2006)

Les premiers botnets apparaissent au début des années 2000, à une époque où Internet connaît une forte croissance et où les ordinateurs personnels sont de plus en plus connectés en permanence. Les cybercriminels découvrent alors qu’il est beaucoup plus efficace de contrôler des milliers d’ordinateurs à distance que d’agir depuis leur propre machine.

À cette époque, les botnets restent relativement simples. Ils sont principalement composés de PC Windows infectés et utilisent un modèle client/serveur reposant sur des serveurs IRC (Internet Relay Chat). Les ordinateurs compromis rejoignent automatiquement un canal de discussion (channel), sur lequel le botmaster envoie ses commandes.

Le fonctionnement est alors le suivant :

Infographie d'un botnet IRC pour comprendre le fonctionnement

Ces premiers botnets sont utilisés pour plusieurs activités malveillantes :

  • Lancer des attaques DDoS
  • Envoyer des campagnes de spam
  • Télécharger et installer d’autres malwares
  • Ouvrir une porte dérobée (backdoor) sur les ordinateurs infectés

Parmi les botnets les plus connus de cette période figurent :

BotnetParticularité
GTBotL’un des premiers botnets basés sur IRC.
Agobot (Gaobot)Très modulaire, il exploitait de nombreuses vulnérabilités Windows et pouvait lancer des attaques DDoS.
SDBotBotnet IRC largement diffusé, souvent utilisé pour des attaques DDoS et l’installation d’autres malwares.
SpyBotUtilisé pour le contrôle à distance, les attaques DDoS et le téléchargement de nouveaux composants malveillants.

À cette époque, les botnets étaient encore principalement développés par des individus ou de petits groupes. Leur objectif était souvent de démontrer leurs compétences techniques, de perturber des services en ligne ou de contrôler un grand nombre de machines.

Cette période marque toutefois les débuts d’une évolution qui transformera progressivement les botnets en véritables infrastructures criminelles, capables de générer des revenus importants grâce au spam, au vol de données, à la fraude publicitaire ou encore aux proxys résidentiels. Les années suivantes verront apparaître des botnets beaucoup plus massifs, comme Storm puis Conficker, qui changeront profondément l’échelle de la cybercriminalité.

Botnet d'une Backdoor IRC diffusées par MSN

2007-2012 : les grands botnets Windows

Entre 2007 et 2012, les botnets connaissent une croissance spectaculaire. Cette période est souvent considérée comme l’âge d’or des botnets Windows. Grâce aux campagnes massives de spam, aux vers informatiques (worms) et à l’exploitation de failles de sécurité, certains réseaux atteignent plusieurs millions d’ordinateurs infectés.

Les cybercriminels commencent également à se structurer. Les botnets ne sont plus uniquement développés par des passionnés ou de petits groupes, mais par de véritables organisations criminelles, où chacun possède un rôle bien défini : développement des malwares, gestion des serveurs, diffusion des infections, exploitation des données et blanchiment des revenus.

Les principaux botnets de cette période sont les suivants.

BotnetAnnéeParticularité
Storm2007Premier botnet de très grande ampleur, utilisé pour le spam et les attaques DDoS.
Conficker2008Ver informatique ayant infecté jusqu’à 15 millions d’ordinateurs grâce à une faille Windows et aux supports amovibles.
Rustock2006-2011L’un des plus importants spambots au monde, capable d’envoyer jusqu’à 200 millions de spams par jour.
Cutwail (Pushdo)2007Immense réseau spécialisé dans l’envoi de courriers indésirables et de campagnes de phishing.
Waledac2008Botnet de spam utilisant des techniques avancées de communication P2P.
Kelihos2010Successeur de Waledac, principalement utilisé pour le spam et le téléchargement d’autres malwares.

Durant cette période, les spambots dominent largement le paysage. Les revenus proviennent principalement :

  • de l’envoi massif de courriers indésirables (spam) ;
  • des campagnes de phishing ;
  • de la diffusion de faux antivirus (rogues) ;
  • de l’installation d’autres malwares.

Plusieurs botnets commencent à intégrer des rootkits afin d’améliorer leur discrétion. Un rootkit permet de masquer les fichiers, les processus, les connexions réseau ou encore les clés du Registre utilisés par le malware. Cette technique rend la détection beaucoup plus difficile et permet au botnet de rester actif pendant de longues périodes sans être remarqué. Des botnets comme Rustock ou, plus tard, TDSS (Alureon) illustrent parfaitement cette évolution.

👉A lire :

Parallèlement, les techniques utilisées par les botnets évoluent rapidement. Les opérateurs mettent en place des architectures P2P, des algorithmes DGA (Domain Generation Algorithm) et des communications chiffrées afin de rendre leur démantèlement plus difficile.

Cette période marque également le début des grandes opérations internationales de démantèlement. Microsoft, les éditeurs de sécurité et les forces de l’ordre commencent à coordonner leurs actions afin de saisir les serveurs de commande (C2), mettre en place des sinkholes DNS et neutraliser les infrastructures utilisées par les cybercriminels.

À partir de 2010, le modèle économique évolue progressivement. Les botnets ne servent plus uniquement à envoyer du spam : ils deviennent des plateformes de services, capables de distribuer d’autres malwares, de réaliser de la fraude publicitaire ou de générer des revenus grâce à de nouvelles activités criminelles. Cette professionnalisation ouvrira la voie à la génération suivante de botnets, comme ZeroAccess, TDSS ou Necurs.

Des botnet gigantesques

Malware / BotnetTaille du botnet (au meilleur)Année
Rustock540 000 à 810 0002006 à 2010 – shutdown : Operation b107
Cutwail (Pushdo / Pandex)1 100 000 à 1 600 0002007 – encore actif
Bagle520 000 à 780 0002004 à 2012
Srizbienviron 450 0002007/2008
Grum (Tedroo)580 000 à 860 0002008 – Takedown 2012
Maazben240 000 à 360 0002009
Bredolab (Oficla)~220 0002009 – down en 2010 par les autorités Allemandes. Le botmaster, un arménien est arreté et condamndé à 4 ans de prison.
Lethic210 000 – 310 0002008 – semi-down en 2010
Festi140 000 à 220 0002009
Donbot (Buzus)~125 0002010 – Sinkhole en 2012 mais revenu
Kelihos (Possible suite de Waledac)~120 0002009 – Voir Waledac
Bobax (Kraken/Oderoor/Hacktool.spammer)110 000 à 160 0002004
Waledac~90 0002008 – 2010 – TD par Microsoft
Retour en 2012
TD début 2017+arrestation
Mega-D (Ozdok)50 000 à 70 0002009 – down en 2009 par FireEye, remis en ligne un mois après.
Gheg (Tofsee/Mondera)50 000 à 70 0002013
Xarvester (Rlsloup/Pixoliz)20 000 à 36 0002010

2010-2015 : la professionnalisation des botnets

À partir de 2010, les botnets évoluent profondément. Les cybercriminels ne cherchent plus seulement à envoyer du spam ou à lancer des attaques DDoS : ils transforment leurs infrastructures en véritables plateformes criminelles, capables de générer des revenus de multiples façons.

Les groupes derrière ces botnets deviennent également beaucoup plus organisés. Ils se répartissent les tâches entre plusieurs équipes spécialisées :

  • Les développeurs, qui conçoivent les malwares et les techniques d’évasion.
  • Les opérateurs, qui administrent le botnet et les serveurs C2.
  • Les équipes chargées de la diffusion, qui infectent de nouveaux appareils.
  • Les affiliés, qui monétisent le botnet via différentes activités criminelles.

Cette période voit également apparaître les premiers modèles de Malware-as-a-Service (MaaS). Certains groupes vendent ou louent leurs malwares, tandis que d’autres paient pour faire installer leurs propres logiciels malveillants sur des ordinateurs déjà compromis.

Les botnets les plus emblématiques de cette période sont les suivants.

BotnetAnnéeParticularité
TDSS (Alureon / TDL)2010Botnet reposant sur un rootkit très sophistiqué, utilisé pour le proxy, le click fraud et le téléchargement d’autres malwares.
ZeroAccess (Sirefef)2011Botnet P2P spécialisé dans le cryptominage et la fraude publicitaire (Ad Fraud).
Citadel2011Évolution de Zeus, largement utilisée pour les attaques bancaires et les campagnes de malware.
Ponmocup2011L’un des plus grands botnets de téléchargement (downloader), utilisé pour installer d’autres malwares.
Necurs2012Immense botnet spécialisé dans le spam et la distribution de ransomwares et de chevaux de Troie bancaires.

Les activités évoluent elles aussi rapidement. Les opérateurs ne se limitent plus au spam et développent de nouvelles sources de revenus :

  • Fraude publicitaire (Ad Fraud) en simulant des clics sur des publicités.
  • Cryptominage, utilisant la puissance de calcul des ordinateurs compromis.
  • Installation de chevaux de Troie bancaires, comme Zeus ou Citadel.
  • Distribution d’autres malwares, les groupes étant rémunérés pour installer un logiciel malveillant sur les appareils infectés.
  • Services de proxy, revendant déjà l’accès à des connexions Internet compromises.

Cette période marque également une avancée technique importante. Les botnets adoptent progressivement :

  • Les architectures P2P, afin d’éliminer les points de défaillance uniques.
  • Les algorithmes DGA, pour renouveler automatiquement les domaines utilisés par les serveurs C2.
  • Les rootkits, qui masquent le malware et renforcent sa persistance.
  • Des communications chiffrées, rendant l’analyse réseau beaucoup plus difficile.

ZeroAccess (également connu sous les noms Sirefef ou Max++) est un malware et un botnet apparu vers 2011. Il se distingue par son architecture pair-à-pair (P2P), qui le rend particulièrement résistant aux tentatives de démantèlement.

Contrairement aux spambots de l’époque, ZeroAccess est principalement utilisé pour la fraude publicitaire (click fraud) et, sur certaines variantes, pour le cryptominage de Bitcoin. Il peut également télécharger et installer d’autres logiciels malveillants sur les ordinateurs compromis.

Au plus fort de son activité, la taille du botnet est estimée entre 1,9 et 2,2 millions d’ordinateurs infectés, avec environ 800 000 bots actifs simultanément selon Microsoft.

En 2013, une opération conjointe menée par Microsoft, Europol (EC3), le FBI et plusieurs partenaires industriels, dont A10 Networks, a fortement perturbé le botnet en neutralisant une partie de son infrastructure. Malgré cela, son architecture P2P lui a permis de survivre plusieurs mois avant de perdre progressivement de son importance

Les grandes opérations internationales de démantèlement se multiplient également. Des botnets comme Citadel, ZeroAccess ou TDSS subissent d’importantes perturbations grâce à la coopération entre les éditeurs de sécurité, les hébergeurs, les registrars et les forces de l’ordre.

Cette professionnalisation prépare l’arrivée d’une nouvelle génération de botnets. À partir de 2016, les cybercriminels ne ciblent plus uniquement les ordinateurs : les objets connectés (IoT) deviennent à leur tour une cible privilégiée, ouvrant la voie à des botnets comme Mirai, capables de contrôler des centaines de milliers de caméras IP, de routeurs et d’autres équipements connectés.

2016 : l’arrivée des objets connectés

L’année 2016 marque un tournant majeur dans l’histoire des botnets. Jusqu’alors, les cybercriminels ciblaient principalement les ordinateurs Windows. Avec l’essor des objets connectés (IoT), ils découvrent un nouveau terrain de jeu : des millions d’appareils connectés à Internet, souvent mal sécurisés et laissés avec leurs paramètres par défaut.

Les premières victimes sont notamment :

  • Les caméras IP
  • Les routeurs
  • Les enregistreurs vidéo (DVR)
  • Les box Internet
  • Les objets connectés utilisant Linux embarqué

Le botnet qui symbolise cette évolution est Mirai, découvert en 2016.

BotnetAnnéeParticularité
Mirai2016Premier botnet IoT de très grande ampleur, exploitant les mots de passe par défaut des objets connectés pour lancer des attaques DDoS massives.
Linux/Moose2015Botnet ciblant les routeurs Linux afin de détourner le trafic réseau et les réseaux sociaux.
Rakos2016Ver Linux ciblant principalement les serveurs et les objets connectés mal configurés.

Contrairement aux botnets Windows de la décennie précédente, Mirai ne reposait pas sur des failles complexes. Il exploitait principalement un problème très courant : les identifiants administrateur par défaut laissés inchangés sur les appareils connectés.

Une fois compromis, les équipements rejoignaient automatiquement le botnet et pouvaient recevoir des ordres pour lancer des attaques DDoS.

Mirai s’est illustré par plusieurs attaques historiques :

  • En septembre 2016, une attaque de plus de 620 Gbit/s contre le site du journaliste Brian Krebs.
  • Quelques jours plus tard, une attaque dépassant 1 Tbit/s contre l’hébergeur français OVH.
  • En octobre 2016, l’attaque contre le fournisseur DNS Dyn, qui a perturbé l’accès à de nombreux services majeurs comme Twitter, GitHub, Netflix, Reddit, Spotify et Airbnb.

Ces événements ont mis en évidence une réalité inquiétante : des appareils peu puissants, mais très nombreux, peuvent générer des attaques d’une ampleur considérable.

À partir de cette période, les opérateurs de botnets ne ciblent plus uniquement les ordinateurs. Les objets connectés (IoT) deviennent une cible privilégiée, car ils présentent plusieurs avantages :

  • Ils restent allumés en permanence.
  • Ils sont rarement mis à jour.
  • Ils utilisent encore des mots de passe par défaut.
  • Leurs propriétaires surveillent peu leur activité réseau.

Cette évolution ouvre la voie à une nouvelle génération de botnets spécialisés dans les objets connectés. Les années suivantes verront apparaître des variantes toujours plus sophistiquées, comme Mozi, puis plus récemment BADBOX 2.0 et Kimwolf, qui ne se limitent plus aux attaques DDoS mais exploitent également les appareils compromis comme proxys résidentiels ou plateformes de monétisation.

2017-2020 : les botnets deviennent des plateformes criminelles

À partir de 2017, les botnets changent une nouvelle fois de dimension. Ils ne sont plus seulement utilisés pour envoyer du spam ou lancer des attaques DDoS : ils deviennent de véritables plateformes de cybercriminalité, capables de fournir différents services selon les besoins des groupes criminels.

Les opérateurs cherchent désormais à rentabiliser au maximum chaque appareil compromis. Un même botnet peut être utilisé successivement pour diffuser un malware, installer un ransomware, voler des données ou encore relayer du trafic Internet.

Parmi les botnets les plus représentatifs de cette période figurent :

BotnetAnnéeParticularité
Emotet2017D’abord cheval de Troie bancaire, il devient une plateforme de distribution de malwares utilisée par de nombreux groupes criminels.
TrickBot2017Malware modulaire capable de télécharger d’autres charges utiles, notamment des ransomwares comme Ryuk ou Conti.
QakBot (Qbot)2018Cheval de Troie bancaire devenu une plateforme d’accès initial pour les opérateurs de ransomware.
NecursJusqu’en 2020L’un des plus grands spambots au monde, utilisé pour diffuser Locky, Dridex et d’autres malwares.

De nouvelles méthodes d’infections par mail

Les méthodes d’infection évoluent également durant cette période. Les cybercriminels délaissent progressivement les vers informatiques exploitant des failles réseau au profit de campagnes massives de phishing.

Les victimes reçoivent des e-mails imitant des factures, des bons de livraison, des devis ou des documents administratifs, contenant une pièce jointe ou un lien malveillant.

Les fichiers utilisés sont notamment :

  • Des documents Microsoft Word ou Excel contenant des macros malveillantes.
  • Des archives ZIP renfermant des scripts.
  • Des fichiers JavaScript (.js), VBScript (.vbs), Windows Script File (.wsf) ou JScript Encoded (.jse), exécutés par Windows Script Host (WSH).
  • Des raccourcis Windows (.lnk), devenus très populaires à partir de 2021.
  • Plus rarement, des fichiers ISO ou IMG, qui permettaient de contourner certaines protections de Windows.

Une fois exécuté, le premier malware installé (souvent appelé loader ou dropper) télécharge les différents composants du botnet, puis établit la communication avec les serveurs de commande (C2).

Cette évolution marque le passage d’attaques principalement techniques à des campagnes reposant largement sur l’ingénierie sociale, où le facteur humain devient la principale porte d’entrée des botnets modernes.

👉 À lire également :

Porte d’entrée aux réseaux d’entreprise

Contrairement aux générations précédentes, ces botnets ne cherchent plus uniquement à contrôler des ordinateurs. Ils servent également de porte d’entrée (Initial Access) vers les réseaux d’entreprises.

Une fois un poste compromis, ils peuvent :

  • Télécharger et installer d’autres malwares
  • Déployer un ransomware
  • Voler des identifiants
  • Se propager sur le réseau local
  • Ouvrir un accès distant pour d’autres groupes criminels

Cette évolution s’accompagne d’une professionnalisation du cybercrime. Les différents acteurs se spécialisent :

  • certains développent les malwares ;
  • d’autres diffusent les infections ;
  • d’autres encore exploitent les accès obtenus pour déployer un ransomware ou voler des données.

Les botnets deviennent ainsi de véritables plateformes de services, où un accès à un ordinateur compromis peut être revendu ou loué à d’autres groupes criminels. Ce modèle économique annonce l’émergence du Botnet-as-a-Service (BaaS) et du Malware-as-a-Service (MaaS), qui se développeront fortement au cours des années suivantes.

Cette période marque également une montée en puissance des malwares modulaires. Plutôt que d’effectuer une seule tâche, ils téléchargent dynamiquement les composants nécessaires en fonction des objectifs du botmaster, ce qui les rend beaucoup plus flexibles et difficiles à détecter.

À partir de 2020, une nouvelle évolution apparaît : les cybercriminels s’intéressent de plus en plus aux objets connectés, aux Android TV Box et aux proxys résidentiels, ouvrant la voie à des botnets comme BADBOX 2.0 ou Kimwolf, dont l’objectif principal n’est plus seulement l’attaque, mais également la monétisation de la connexion Internet des victimes.

Depuis 2020 : les botnets deviennent des plateformes de services

Depuis 2020, les botnets connaissent une nouvelle évolution. Leur objectif n’est plus uniquement de contrôler un grand nombre d’ordinateurs, mais de rentabiliser chaque appareil compromis en proposant différents services à d’autres groupes cybercriminels.

Cette nouvelle génération se caractérise par plusieurs tendances :

  • Les objets connectés (IoT) deviennent une cible prioritaire.
  • Les proxys résidentiels remplacent progressivement le spam comme source de revenus.
  • Les malwares modulaires permettent d’ajouter ou de supprimer des fonctionnalités à distance.
  • Les infrastructures sont de plus en plus distribuées et résilientes, rendant leur démantèlement plus complexe.

Les botnets les plus représentatifs de cette période sont les suivants.

BotnetAnnéeParticularité
Emotet2021 (retour)Reprend son activité après son démantèlement et continue de servir de plateforme de distribution de malwares.
Mozi2020Botnet IoT basé sur une architecture P2P, ciblant principalement les routeurs et les objets connectés.
Glupteba2020Utilise la blockchain Bitcoin pour retrouver ses serveurs de commande et renforcer sa résilience.
BADBOX 2.02025Botnet ciblant principalement les Android TV Box et autres appareils Android connectés afin d’alimenter un réseau de proxys résidentiels.
Kimwolf2025Botnet Android spécialisé dans les proxys résidentiels, le scan du réseau local et la compromission d’autres appareils Android.

L’une des principales évolutions concerne les appareils ciblés. Alors que les premiers botnets infectaient essentiellement des ordinateurs Windows, les cybercriminels visent désormais :

  • Les Android TV Box
  • Les box IPTV
  • Les téléviseurs connectés
  • Les routeurs
  • Les caméras IP
  • Les NAS
  • Les objets connectés (IoT)

Ces appareils présentent plusieurs avantages : ils restent généralement allumés en permanence, reçoivent peu de mises à jour de sécurité et leurs propriétaires surveillent rarement leur activité réseau.

Les objectifs des opérateurs ont également évolué. Les botnets modernes sont désormais utilisés pour :

  • Fournir des services de proxys résidentiels
  • Effectuer du web scraping à grande échelle
  • Contourner les systèmes anti-bot et les CAPTCHA
  • Réaliser de la fraude publicitaire (Ad Fraud)
  • Distribuer d’autres malwares ou des ransomwares
  • Louer leur infrastructure sous forme de Botnet-as-a-Service (BaaS)

Une autre évolution importante est l’apparition de SDK de proxy résidentiel intégrés directement dans certaines applications ou de firmwares compromis installés sur des appareils dès leur fabrication. Dans ces scénarios, aucun malware classique n’est nécessaire : l’appareil peut relayer du trafic Internet simplement parce qu’il embarque un composant prévu à cet effet.

Cette nouvelle génération montre que les botnets ne sont plus uniquement des réseaux de machines zombies. Ils sont devenus de véritables plateformes de services, capables de monétiser la bande passante, les adresses IP et les ressources de millions d’appareils connectés répartis dans le monde entier.

👉 À lire également :

Quelques autres botnets célèbres

BotnetPériodeTaille estimée (au plus fort)Particularité
Zeus2007-2014Plusieurs millions de PCTrojan Banker dont le code source a été publié en 2011, à l’origine de nombreuses variantes.
SpyEye2009-2013Plusieurs centaines de milliers de PCConcurrent direct de Zeus, spécialisé dans le vol d’identifiants bancaires.
TDSS (Alureon / TDL)2010-2013≈ 90 000 bots actifsRootkit très sophistiqué, proxy, téléchargement de malwares et architecture P2P.
Carberp2010-2012Plusieurs dizaines de milliers de PCTrojan Banker visant principalement les établissements bancaires.
Ponmocup2011-20171,2 à 2 millions de PCL’un des plus grands botnets de téléchargement (downloader), utilisé pour installer d’autres malwares.
Bamital2010-2013≈ 120 000 PCSpécialisé dans la fraude publicitaire (Ad Fraud) et la manipulation des résultats de recherche.
Koobface2008-201240 000 à 60 000 PCPropagation via Facebook, MySpace et d’autres réseaux sociaux.
Sality2003-2014Plusieurs centaines de milliers de PCVirus de fichiers devenu un botnet P2P capable de télécharger d’autres malwares.
Gbot (Cycbot)2009-2012Plusieurs dizaines de milliers de PCDownloader utilisé pour distribuer d’autres logiciels malveillants.
RamnitDepuis 2010Plus de 350 000 PC (certaines campagnes)Virus de fichiers devenu un Trojan bancaire et un botnet de vol de données.

Tous les botnets n’ont pas connu la même notoriété que Storm, Conficker, Mirai ou Emotet. De nombreux réseaux plus spécialisés ont marqué l’évolution de la cybercriminalité en se concentrant sur la fraude bancaire, le click fraud, les réseaux sociaux ou encore la distribution d’autres malwares. Certains, comme Zeus ou TDSS, ont profondément influencé les générations suivantes de malwares.

Les principaux démantèlements de botnets

Depuis le début des années 2010, de nombreuses opérations internationales ont permis de neutraliser certains des plus grands botnets de l’histoire. Elles sont généralement menées par les forces de l’ordre, des organismes comme Europol, Interpol, le FBI, ainsi que des entreprises telles que Microsoft, Google, Lumen, ESET, Symantec ou CrowdStrike.

Le tableau ci-dessous présente les opérations les plus marquantes.

AnnéeBotnetOpérationTaille estiméeRésultat
2010WaledacMicrosoft Sinkhole~90 000 botsSaisie des domaines et mise en place d’un sinkhole DNS.
2011RustockOperation b107~800 000 botsSaisie des serveurs C2, forte baisse mondiale du spam.
2012BamitalMicrosoft / Symantec~120 000 botsRedirection des bots vers des serveurs de désinfection.
2013CitadelOperation b54~1 400 sous-botnetsPlus de 4 000 domaines neutralisés.
2013ZeroAccessMicrosoft, Europol, FBI1,9 à 2,2 millions de botsInfrastructures fortement perturbées malgré l’architecture P2P.
2016AvalancheEuropolInfrastructure mondialePlus de 800 000 domaines et serveurs neutralisés.
2019RetadupGendarmerie nationale~850 000 machinesPrise de contrôle du C2 et désinstallation automatique du malware.
2021EmotetEuropol / EurojustPlusieurs centaines de milliers de machinesLes serveurs C2 sont saisis et un désinstalleur est diffusé.
2023QakBotOperation Duck Hunt~700 000 appareilsInfrastructure saisie et malware neutralisé.
2023MoziCollaboration internationalePlusieurs millions d’appareils IoTLes opérateurs diffusent une mise à jour mettant fin au botnet.

Ces opérations montrent que les botnets ne sont pas invulnérables, mais leur démantèlement nécessite souvent plusieurs mois, voire plusieurs années d’enquête. Les opérateurs utilisent des techniques de plus en plus sophistiquées (P2P, DGA, Fast Flux DNS, Tor, blockchain, etc.) afin de rendre leur infrastructure plus résiliente et de compliquer les opérations des autorités.

Conclusion

En un peu plus de vingt ans, les botnets ont profondément évolué. D’abord limités à quelques centaines ou milliers d’ordinateurs Windows contrôlés via des serveurs IRC, ils sont devenus de véritables plateformes criminelles capables de piloter des millions d’appareils connectés, de diffuser des malwares, de lancer des attaques DDoS, de voler des données ou encore de fournir des services de proxys résidentiels.

Cette évolution illustre parfaitement la professionnalisation de la cybercriminalité. Les opérateurs de botnets s’appuient désormais sur des architectures distribuées, des malwares modulaires et des modèles économiques comme le Botnet-as-a-Service (BaaS) afin de rendre leurs infrastructures plus rentables et plus difficiles à démanteler.

Si les grandes opérations internationales ont permis de neutraliser plusieurs botnets emblématiques comme Rustock, ZeroAccess, Emotet ou QakBot, de nouveaux réseaux apparaissent régulièrement en ciblant les objets connectés, les équipements Android ou d’autres appareils insuffisamment sécurisés.

Comprendre l’histoire des botnets permet également de mieux comprendre les menaces actuelles. Les techniques employées aujourd’hui — phishing, chevaux de Troie, loaders, ransomware ou compromission d’objets connectés — sont souvent directement héritées de cette évolution.

La meilleure protection reste d’adopter de bonnes pratiques de sécurité : maintenir Windows et ses logiciels à jour, utiliser un antivirus, se méfier des pièces jointes et des liens suspects, sécuriser les appareils connectés et remplacer les mots de passe par défaut des équipements réseau et IoT.

📖 Ressources utiles et articles liés

L’article Histoire des botnets : 20 ans d’évolution de la cybercriminalité est apparu en premier sur malekal.com.

Proxy résidentiel : comment les cybercriminels détournent vos appareils connectés

Les proxys résidentiels sont devenus un outil très recherché par les cybercriminels. Contrairement aux VPN, qui utilisent généralement des adresses IP appartenant à des centres de données, ils s’appuient sur les connexions Internet de particuliers, beaucoup plus difficiles à détecter et à bloquer par les sites web.

Le plus inquiétant est qu’il n’est plus forcément nécessaire qu’un ordinateur soit infecté par un malware. Une Android TV Box, une box IPTV, un téléviseur connecté, une caméra IP, un routeur, un NAS ou un autre objet connecté vulnérable peut être détourné afin de relayer le trafic Internet de tiers, parfois simplement à cause d’un firmware compromis, d’une application contenant un SDK spécifique ou d’une mauvaise configuration.

Dans ce guide, découvrez ce qu’est un proxy résidentiel, pourquoi les cybercriminels cherchent à exploiter votre connexion Internet, comment des appareils connectés peuvent être transformés en nœuds d’un réseau de proxys résidentiels et les bonnes pratiques pour protéger votre réseau domestique.

Qu’est-ce qu’un proxy résidentiel ?

Un proxy résidentiel est un serveur intermédiaire qui utilise l’adresse IP d’une connexion Internet résidentielle, c’est-à-dire celle d’un particulier, plutôt que celle d’un centre de données ou d’un fournisseur de services cloud.

👉A lire :

Lorsqu’une personne ou un logiciel utilise un proxy résidentiel, les sites web voient l’adresse IP du particulier et non celle du véritable utilisateur. Les requêtes semblent donc provenir d’un ordinateur ou d’un foyer « normal », ce qui les rend plus difficiles à détecter ou à bloquer.

Le fonctionnement peut être résumé ainsi :

Qu'est-ce qu'un proxy résidentiel : infographie complète

Une IP résidentielle vaut de l’or pour les cybercriminels

En pratique, une adresse IP résidentielle a beaucoup plus de valeur qu’une adresse IP provenant d’un VPN ou d’un centre de données.

En effet, la plupart des services VPN utilisent des adresses IP appartenant à des fournisseurs de cloud ou à des organisations. Ces plages d’adresses sont bien connues des sites web et peuvent être facilement identifiées, voire bloquées.

À l’inverse, une adresse IP résidentielle appartient à un particulier et est fournie par un fournisseur d’accès à Internet (Orange, Free, SFR, Bouygues Telecom, etc.). Pour un site web, cette connexion ressemble donc à celle d’un utilisateur classique naviguant depuis son domicile.

Cette différence permet plus facilement de :

  • Contourner les systèmes anti-bot
  • Éviter certains CAPTCHA
  • Créer de nombreux comptes sur des services en ligne
  • Effectuer du web scraping à grande échelle
  • Contourner les limitations de débit ou les blocages d’adresses IP
  • Masquer l’origine d’activités frauduleuses
  • Ad Fraud peut charger et cliquer sur des publicités en arrière-plan pour générer des revenus publicitaires

C’est pourquoi les réseaux de proxys résidentiels sont devenus très recherchés. Plus un service dispose de connexions Internet résidentielles réparties dans différents pays, plus il est capable de faire passer son trafic pour celui de véritables internautes.

Je pense même qu’un petit tableau serait excellent.

Adresse IP résidentielleAdresse IP de VPN / Datacenter
✅ Fournie par un FAI❌ Appartient à un hébergeur ou un fournisseur VPN
✅ Ressemble à un particulier❌ Facilement identifiable comme un VPN
✅ Plus difficile à bloquer❌ Souvent présente dans des listes de blocage
✅ Passe plus facilement les systèmes anti-bot❌ Déclenche plus souvent des CAPTCHA ou des restrictions
Pourquoi une IP résidentielle vaut de l'or pour les cybercriminels : l'infographie complète

Comment un appareil devient-il un proxy résidentiel ?

Contrairement à une idée reçue, il n’est pas toujours nécessaire qu’un ordinateur soit infecté par un malware pour devenir un proxy résidentiel. De nombreux appareils connectés peuvent être détournés de différentes manières afin de relayer le trafic Internet de tiers.

Les méthodes les plus courantes sont les suivantes.

Infection par un malware

Le scénario le plus classique consiste à infecter un ordinateur, un NAS ou un routeur avec un malware. Une fois installé, celui-ci contacte un serveur de commande et de contrôle (C2) et attend les instructions de l’attaquant.

Au lieu de lancer uniquement des attaques DDoS ou d’envoyer du spam, le malware peut également transformer l’appareil en proxy résidentiel. Les connexions de tiers transitent alors par votre accès Internet.

Firmware ou système compromis

Certains appareils sont vendus avec un firmware vulnérable, voire compromis dès leur fabrication ou leur distribution.

Si une porte dérobée (backdoor) est présente ou qu’une faille de sécurité permet une prise de contrôle à distance, l’appareil peut être intégré à un réseau de proxys résidentiels sans que son propriétaire ne s’en aperçoive.

Applications ou SDK préinstallés

Dans certains cas, le problème ne provient pas d’un malware mais d’une application installée par le fabricant ou d’un SDK intégré à une application.

Consultez le paragraphe plus bas de ce guide pour plus de détails.

Services exposés sur Internet

Certains appareils sont accessibles depuis Internet à cause d’une mauvaise configuration.

Par exemple :

  • ADB (Android Debug Bridge) laissé activé sur une Android TV Box.
  • Interface d’administration exposée sans protection.
  • Mots de passe par défaut jamais modifiés.
  • Failles de sécurité non corrigées.

Ces erreurs permettent à un attaquant de prendre le contrôle de l’appareil et d’y installer un logiciel de relais ou un malware.

Botnets spécialisés dans les objets connectés

Les cybercriminels ciblent de plus en plus les objets connectés (IoT), souvent moins bien protégés que les ordinateurs.

Les appareils les plus visés sont notamment :

  • Android TV Box
  • Box IPTV
  • Téléviseurs connectés
  • Caméras IP
  • Routeurs
  • NAS
  • Cadres photo connectés
  • Boîtiers domotiques

Une fois compromis, ces appareils peuvent être regroupés au sein d’un botnet et utilisés comme nœuds d’un vaste réseau de proxys résidentiels.

À retenir : dans de nombreux cas, le propriétaire de l’appareil ne remarque aucun symptôme visible. Son téléviseur, sa caméra ou son routeur continuent de fonctionner normalement, tandis qu’ils relaient discrètement le trafic Internet d’autres utilisateurs ou de cybercriminels. C’est cette discrétion qui rend les réseaux de proxys résidentiels particulièrement difficiles à détecter.

Quels sont les appareils les plus concernés

Tous les appareils connectés à Internet peuvent, en théorie, être détournés pour servir de proxy résidentiel. Toutefois, certains sont plus exposés que d’autres en raison de leur système d’exploitation, de mises à jour de sécurité insuffisantes ou de mauvaises configurations.

Le tableau ci-dessous présente les appareils les plus fréquemment ciblés.

AppareilNiveau de risquePourquoi ?
Android TV Box / Box IPTV🔴 Très élevéSouvent vendues avec un Android modifié, des applications préinstallées, des mises à jour rares et parfois ADB activé par défaut.
Routeurs et box Internet🔴 Très élevéExposés directement à Internet. Une mauvaise configuration ou une faille peut compromettre tout le trafic réseau.
Caméras IP🔴 Très élevéMots de passe par défaut, firmwares rarement mis à jour et nombreuses failles connues.
NAS🟠 ÉlevéSouvent accessibles depuis Internet et contenant des données sensibles. Ils sont régulièrement ciblés par les attaquants.
Téléviseurs connectés (Smart TV)🟠 ÉlevéCertaines applications ou SDK peuvent être utilisés pour relayer du trafic Internet à l’insu de l’utilisateur.
Objets connectés (IoT)🟡 ModéréLes prises connectées, assistants vocaux ou équipements domotiques peuvent être compromis si leur firmware n’est pas maintenu à jour.
Cadres photo connectés🟡 ModéréCertains modèles utilisent un firmware peu sécurisé et ne reçoivent pratiquement jamais de mises à jour.
Ordinateurs Windows, Linux ou macOS🟡 ModéréGénéralement compromis après l’installation d’un malware qui transforme l’appareil en nœud de proxy résidentiel.
Smartphones Android🟢 Faible à modéréQuelques applications malveillantes peuvent transformer le téléphone en proxy résidentiel, mais ce scénario reste moins fréquent.

À retenir : le niveau de risque ne dépend pas uniquement du type d’appareil, mais surtout de son niveau de sécurité. Un appareil régulièrement mis à jour, provenant d’un fabricant reconnu et correctement configuré présente généralement un risque bien plus faible qu’un appareil abandonné ou vendu avec un firmware modifié.

Les Android TV Box et les box IPTV représentent aujourd’hui l’un des risques les plus importants. Plusieurs campagnes récentes ont montré que certains appareils étaient vendus avec des applications ou des composants permettant de relayer du trafic Internet sans que leur propriétaire en soit conscient.

Les routeurs, caméras IP et autres objets connectés sont également très ciblés, car ils restent allumés en permanence et sont souvent mal sécurisés. Un mot de passe par défaut, un firmware obsolète ou un service d’administration exposé sur Internet peut suffire à compromettre l’appareil et à l’intégrer à un réseau de proxys résidentiels.

Exemples récents de réseaux de proxys résidentiels (botnet)

BADBOX 2.0

BADBOX 2.0 est l’un des exemples les plus marquants de l’évolution des botnets vers les réseaux de proxys résidentiels. Contrairement aux botnets classiques, qui infectaient principalement des ordinateurs, BADBOX 2.0 cible des objets connectés (IoT) utilisés au quotidien.

Les appareils concernés sont notamment :

  • Android TV Box
  • Boîtiers de streaming
  • Téléviseurs connectés
  • Vidéoprojecteurs
  • Cadres photo numériques
  • Systèmes multimédias pour véhicules
  • Autres appareils connectés fonctionnant sous Android

Le FBI indique que ces appareils peuvent être compromis de deux façons :

  • Le logiciel malveillant est déjà présent avant l’achat, directement dans le firmware ou le système de l’appareil.
  • L’infection intervient lors de la configuration initiale, lorsqu’une application contenant une porte dérobée (backdoor) est téléchargée depuis une boutique d’applications non officielle.

Une fois connecté à Internet, l’appareil rejoint automatiquement le botnet BADBOX 2.0 et peut être utilisé comme proxy résidentiel. Les cybercriminels peuvent alors relayer leur trafic via votre connexion Internet afin de masquer leur véritable adresse IP.

Selon le FBI, ce réseau est composé de millions d’appareils compromis et est utilisé pour différentes activités malveillantes, notamment :

  • La revente d’accès à des proxys résidentiels
  • La fraude publicitaire (Ad Fraud)
  • Le contournement des systèmes anti-bot
  • Le web scraping
  • La création automatisée de comptes
  • D’autres activités cybercriminelles

Le FBI recommande notamment :

  • D’éviter les Android TV Box et appareils IoT provenant de marques inconnues ou non certifiées
  • De ne pas installer d’applications depuis des boutiques non officielles
  • De maintenir le firmware et les applications à jour
  • De surveiller le trafic réseau des appareils connectés

BADBOX 2.0 illustre une évolution importante des menaces actuelles : il n’est plus nécessaire qu’un ordinateur soit infecté par un malware pour qu’un cybercriminel exploite votre connexion Internet. Un simple appareil connecté vulnérable ou compromis peut suffire à transformer votre réseau domestique en nœud d’un vaste réseau de proxys résidentiels.

Plus de détails : https://www.bleepingcomputer.com/news/security/fbi-badbox-20-android-malware-infects-millions-of-consumer-devices/

BADBOX 2.0 : botnet android de proxy résidentiels

La chaîne YouTube Underscore_ en parle. Il y explique notamment que ce réseau peut aussi viser des chefs d’Entreprises qui peuvent rammener du travail à la maison.
Le but pouvant être de voler des données d’entreprises.

Kimwolf

Kimwolf est un botnet Android apparu en 2025, considéré comme l’une des principales évolutions des botnets modernes. Contrairement aux réseaux de machines zombies traditionnels, il cible principalement les Android TV Box, les boîtiers de streaming et d’autres appareils Android connectés au réseau domestique.

Les chercheurs estiment que plus de deux millions d’appareils Android ont été compromis. Kimwolf est étroitement lié au botnet Aisuru, dont il constitue la variante spécialisée pour Android.

Les appareils infectés sont utilisés pour plusieurs activités malveillantes :

  • Lancer des attaques DDoS
  • Relayer du trafic via des proxys résidentiels
  • Masquer l’origine d’autres attaques
  • Monétiser la bande passante des victimes
  • Télécharger ou installer d’autres composants malveillants

L’une des particularités de Kimwolf est sa capacité à scanner le réseau local à la recherche d’autres appareils vulnérables. Les chercheurs ont notamment observé qu’il ciblait les Android TV Box et autres équipements Android dont le service Android Debug Bridge (ADB) était exposé sans authentification. Une fois un appareil compromis, celui-ci peut à son tour servir de point d’entrée vers d’autres équipements présents sur le réseau domestique.

Kimwolf illustre également une évolution importante de la cybercriminalité : les appareils compromis ne servent plus uniquement à lancer des attaques DDoS. Les opérateurs du botnet revendent également l’accès aux adresses IP des victimes sous forme de proxys résidentiels, permettant à d’autres cybercriminels de faire transiter leur trafic via des connexions Internet de particuliers. Ces services sont utilisés pour le web scraping, la fraude, le contournement des systèmes anti-bot ou encore la création automatisée de comptes.

Ce botnet rappelle enfin l’importance de désactiver ADB lorsqu’il n’est pas nécessaire, de maintenir les appareils Android à jour et d’éviter les Android TV Box ou boîtiers de streaming provenant de fabricants inconnus ou ne fournissant pas de mises à jour de sécurité régulières.

Kimwolf : réseau d'appareils android infectés et botnet

Les SDK de proxy résidentiel intégrés aux applications

Lorsqu’on parle de réseaux de proxys résidentiels, on imagine souvent un appareil infecté par un malware. Pourtant, ce n’est plus toujours le cas.

Certains développeurs intègrent volontairement un SDK (Software Development Kit) fourni par un service de proxy résidentiel directement dans leur application. En échange d’une rémunération, l’application peut utiliser une partie de la connexion Internet de l’utilisateur pour relayer le trafic d’autres clients du service.

Dans ce scénario :

  • l’appareil n’est pas infecté par un malware ;
  • l’application fonctionne normalement et remplit la fonction attendue ;
  • aucun comportement anormal n’est visible pour l’utilisateur ;
  • seul une partie de la connexion Internet est utilisée en arrière-plan.

Un malware prend le contrôle de votre appareil sans votre accord. Un SDK de proxy résidentiel peut, lui, utiliser votre connexion avec votre consentement… mais ce consentement est parfois peu clair ou insuffisamment explicite.
Le problème est que l’utilisateur n’est pas toujours pleinement informé de cette utilisation. Les conditions d’utilisation peuvent mentionner ce partage de connexion, mais de manière peu visible ou difficile à comprendre.

C’est ce qui rend ces solutions particulièrement controversées : contrairement à un botnet classique, il ne s’agit pas forcément d’une compromission du système, mais d’un mécanisme intégré à une application légitime, qui transforme néanmoins votre appareil en nœud d’un réseau de proxys résidentiels.

Comment cela fonctionne ?

Le principe est relativement simple : le développeur d’une application intègre un SDK (Software Development Kit) fourni par un service de proxy résidentiel. Une fois l’application installée, ce composant permet de relayer une partie du trafic Internet via la connexion de l’utilisateur.

Le fonctionnement peut être résumé ainsi :

Infographie complète sur les SDK de proxy résidentiel intégrés aux applications

Pour l’utilisateur, l’application peut fonctionner normalement. Le téléviseur, la box Android ou l’appareil connecté continue d’afficher le contenu attendu, mais en arrière-plan, une partie de la connexion peut être utilisée pour faire transiter du trafic Internet.

Ce modèle pose plusieurs problèmes :

ProblèmeExplication
Consentement flouL’utilisateur ne comprend pas toujours que sa connexion peut être utilisée par des tiers.
Consommation de bande passanteLe trafic relayé peut ralentir la connexion ou augmenter la consommation de données.
Risque de réputation IPDes activités douteuses peuvent sembler provenir de l’adresse IP de l’utilisateur.
Difficulté de détectionL’appareil peut continuer à fonctionner normalement, sans symptôme évident.

En 2026, des chercheurs ont par exemple signalé que des applications destinées aux Smart TV Samsung et LG pouvaient intégrer un SDK de proxy résidentiel, permettant d’utiliser la connexion Internet des téléviseurs comme nœud de relais. L’information doit être présentée avec prudence, mais elle illustre bien l’évolution du modèle : un appareil peut devenir un proxy résidentiel sans infection visible, simplement via une application installée.

Ce type de fonctionnement montre que les botnets modernes ne reposent plus seulement sur des malwares. Ils peuvent aussi s’appuyer sur des applications, des SDK, des firmwares ou des appareils connectés dont l’utilisateur ne soupçonne pas l’activité réelle en arrière-plan.

Comment savoir si son appareil est utilisé comme proxy résidentiel ?

L’un des principaux problèmes des réseaux de proxys résidentiels est leur discrétion. Dans la plupart des cas, l’appareil continue de fonctionner normalement et son propriétaire ne remarque aucun comportement inhabituel.

Il existe toutefois plusieurs signes qui peuvent alerter.

Les symptômes courants

SymptômeSignification
Bande passante élevéeTrafic relayé
Beaucoup de connexionsProxy
ChauffeCPU
Scans réseauBot

Une activité réseau inhabituelle

Un appareil utilisé comme proxy résidentiel échange en permanence des données avec Internet.

Vous pouvez notamment observer :

  • Une consommation de bande passante anormalement élevée, même lorsque l’appareil est inutilisé.
  • De nombreuses connexions vers des adresses IP inconnues.
  • Un trafic réseau important pendant la nuit ou lorsque personne n’utilise l’appareil.

Ces informations peuvent être consultées depuis l’interface d’administration de votre routeur ou à l’aide d’un analyseur de trafic réseau.

Des connexions provenant du réseau local

Certains botnets ne se contentent pas de communiquer avec Internet. Ils tentent également de scanner le réseau local afin de rechercher d’autres appareils vulnérables.

Cela peut se traduire par :

  • Des tentatives de connexion vers d’autres appareils de votre réseau
  • Des scans des ports TCP ou UDP
  • Des recherches d’appareils Android avec ADB activé
  • Des tentatives d’accès à des interfaces d’administration

Ce comportement est notamment observé sur certains botnets ciblant les Android TV Box et les objets connectés.

Une activité inhabituelle du processeur ou du réseau

Si un appareil relaie le trafic d’autres utilisateurs, vous pouvez constater :

  • Une utilisation anormalement élevée du processeur
  • Une activité réseau permanente
  • Une augmentation de la consommation électrique
  • Un échauffement inhabituel de l’appareil

Ces symptômes ne sont pas spécifiques aux proxys résidentiels, mais ils peuvent constituer un indice lorsqu’ils apparaissent sans raison apparente.

Des services d’administration exposés

Les appareils les plus vulnérables sont souvent ceux dont les services d’administration restent accessibles.

Vérifiez notamment :

  • Qu’ADB est désactivé sur les Android TV Box
  • Que les mots de passe par défaut ont été remplacés
  • Que le firmware est à jour
  • Que l’interface d’administration n’est pas accessible depuis Internet

Surveiller les connexions réseau

Si vous pensez qu’un appareil est utilisé comme proxy résidentiel, il peut être utile d’analyser son activité réseau.

Vous pouvez notamment :

  • Consulter les journaux de votre routeur ou de votre pare-feu
  • Utiliser un analyseur de trafic comme Wireshark
  • Identifier les appareils qui génèrent le plus de trafic
  • Vérifier les connexions établies vers des serveurs inconnus

À retenir : un appareil utilisé comme proxy résidentiel ne présente pas forcément de symptômes visibles. Dans de nombreux cas, la seule conséquence est une utilisation inhabituelle de votre connexion Internet, tandis que l’appareil continue de fonctionner normalement. C’est ce qui rend ces réseaux particulièrement difficiles à détecter sans surveiller le trafic réseau.

Comment s’en protéger ?

Il est possible de réduire considérablement le risque qu’un appareil soit utilisé comme proxy résidentiel en appliquant quelques bonnes pratiques de sécurité. La plupart des compromissions exploitent des appareils mal sécurisés, des logiciels obsolètes ou des fonctionnalités d’administration laissées actives.

Pour protéger vos appareils connectés :

  • Achetez des appareils provenant de fabricants reconnus, qui publient régulièrement des mises à jour de sécurité.
  • Installez les mises à jour du firmware dès qu’elles sont disponibles.
  • Téléchargez uniquement des applications depuis les boutiques officielles (Google Play, Samsung Store, LG Content Store, etc.).
  • Évitez les Android TV Box et les box IPTV d’origine inconnue, qui sont souvent vendues avec des logiciels modifiés ou des applications préinstallées.
  • Désactivez ADB (Android Debug Bridge) lorsque vous ne l’utilisez pas.
  • Remplacez les mots de passe par défaut des routeurs, caméras IP, NAS et autres objets connectés.
  • N’exposez pas les interfaces d’administration directement sur Internet.
  • Surveillez régulièrement le trafic réseau de vos appareils afin de détecter une activité inhabituelle.
  • Isolez les objets connectés sur un réseau Wi-Fi invité ou un VLAN, lorsque votre routeur le permet.

Il est également recommandé de redémarrer régulièrement vos appareils et de supprimer les applications que vous n’utilisez plus, en particulier sur les téléviseurs connectés et les Android TV Box.

À retenir : les appareils les plus exposés sont souvent ceux qui ne reçoivent plus de mises à jour de sécurité ou qui proviennent de fabricants peu connus. Avant d’acheter un objet connecté, vérifiez que le constructeur assure un suivi logiciel et publie régulièrement des correctifs de sécurité.

Conclusion

Les proxys résidentiels illustrent une évolution majeure de la cybercriminalité. Alors que les anciens botnets ciblaient principalement les ordinateurs Windows pour lancer des attaques DDoS ou envoyer du spam, les cybercriminels s’intéressent désormais à la connexion Internet des particuliers, dont les adresses IP sont beaucoup plus difficiles à détecter et à bloquer.

Aujourd’hui, les appareils les plus exposés sont les objets connectés (IoT), et plus particulièrement ceux fonctionnant sous Android, comme les Android TV Box, les box IPTV, les téléviseurs connectés, mais aussi les caméras IP, les routeurs ou d’autres équipements connectés. Certains sont compromis par un malware, tandis que d’autres peuvent embarquer un firmware vulnérable ou une application contenant un SDK de proxy résidentiel.

Cette évolution montre qu’il n’est plus nécessaire d’infecter un ordinateur pour exploiter la connexion Internet d’une victime. Un simple appareil connecté mal sécurisé peut suffire à intégrer un réseau mondial de proxys résidentiels et à relayer le trafic de tiers à l’insu de son propriétaire.

Pour limiter les risques, privilégiez des appareils de fabricants reconnus, maintenez leur firmware à jour, installez uniquement des applications provenant de sources officielles et surveillez régulièrement l’activité de votre réseau. Les objets connectés doivent aujourd’hui être considérés comme de véritables ordinateurs : ils nécessitent les mêmes précautions de sécurité que votre PC ou votre smartphone.

📖 Ressources utiles et articles liés

L’article Proxy résidentiel : comment les cybercriminels détournent vos appareils connectés est apparu en premier sur malekal.com.

Microsoft prolonge discrètement les mises à jour de sécurité gratuites de Windows 10 jusqu’en octobre 2027

Bonne nouvelle pour les utilisateurs de Windows 10 qui ne peuvent pas encore passer à Windows 11. Microsoft a discrètement prolongé d’une année supplémentaire son programme Extended Security Updates (ESU) gratuit destiné aux particuliers.

Initialement, ce programme permettait de continuer à recevoir des mises à jour de sécurité jusqu’au 12 octobre 2026 après la fin du support de Windows 10. Désormais, les PC inscrits au programme ESU pourront rester protégés jusqu’au 12 octobre 2027.

Une année supplémentaire de mises à jour de sécurité

Windows 10 a officiellement atteint sa fin de support le 14 octobre 2025.

Depuis cette date, Microsoft ne fournit plus de nouvelles fonctionnalités ni de support technique pour Windows 10. En revanche, les utilisateurs inscrits au programme Extended Security Updates (ESU) continuent de recevoir les correctifs de sécurité indispensables pour protéger leur ordinateur contre les nouvelles vulnérabilités.

Microsoft vient de confirmer que cette couverture sera désormais prolongée d’un an pour les particuliers, jusqu’au 12 octobre 2027. Les utilisateurs déjà inscrits n’ont aucune démarche à effectuer : leur protection sera automatiquement prolongée.

Pourquoi Microsoft accorde-t-il une année supplémentaire ?

Interrogé par BleepingComputer, Microsoft explique que de nombreux utilisateurs ont encore besoin de temps pour migrer vers Windows 11 ou remplacer leur ordinateur.

L’entreprise indique vouloir accompagner cette transition en laissant davantage de temps aux particuliers tout en continuant à protéger leur PC contre les nouvelles menaces de sécurité.

Cette décision intervient alors que plusieurs centaines de millions d’ordinateurs utilisent encore Windows 10, dont une partie importante ne répond pas aux exigences matérielles de Windows 11.

Comment bénéficier gratuitement du programme ESU ?

Pour les particuliers, Microsoft continue de proposer plusieurs moyens d’accéder gratuitement au programme ESU.

Selon votre région, il est notamment possible de :

  • Sauvegarder les paramètres Windows avec un compte Microsoft via l’application Sauvegarde Windows.
  • Utiliser des points Microsoft Rewards lorsque cette option est proposée.
  • Dans l’Espace économique européen (EEE), s’authentifier avec un compte Microsoft pour bénéficier de l’inscription gratuite.

Une fois inscrit, le PC continue à recevoir les mises à jour de sécurité distribuées via Windows Update jusqu’au 12 octobre 2027.

Et les entreprises ?

Le changement concerne uniquement le programme gratuit destiné aux particuliers.

Les entreprises continuent de relever du programme ESU payant, qui peut couvrir jusqu’à trois années de mises à jour de sécurité après la fin du support de Windows 10.

Les conditions de ce programme professionnel restent inchangées.

Faut-il rester sous Windows 10 ?

Même si cette prolongation est une bonne nouvelle, elle ne modifie pas la stratégie de Microsoft.

Le programme ESU ne fournit que des mises à jour de sécurité :

  • Pas de nouvelles fonctionnalités.
  • Pas d’améliorations majeures de Windows.
  • Pas de support technique classique.

Pour les utilisateurs dont le matériel est compatible, Microsoft continue de recommander une migration vers Windows 11.

En revanche, cette année supplémentaire permettra aux personnes dont le PC n’est pas encore remplacé de continuer à utiliser Windows 10 avec un niveau de sécurité satisfaisant pendant leur transition.

Conclusion

En prolongeant gratuitement le programme ESU jusqu’en octobre 2027, Microsoft reconnaît implicitement que de nombreux utilisateurs ne sont pas encore prêts à abandonner Windows 10. Cette décision offre un délai supplémentaire pour préparer une migration vers Windows 11 ou renouveler son matériel, tout en continuant à recevoir les correctifs de sécurité essentiels.

L’article Microsoft prolonge discrètement les mises à jour de sécurité gratuites de Windows 10 jusqu’en octobre 2027 est apparu en premier sur malekal.com.

Windows 11 : 5 fonctionnalités très attendues arrivent en juillet 2026

Microsoft prépare une importante mise à jour pour Windows 11 qui sera déployée progressivement à partir de la mise à jour facultative de juin, puis généralisée lors du Patch Tuesday de juillet 2026.

Contrairement aux dernières annonces centrées sur Copilot et l’intelligence artificielle, cette mise à jour met l’accent sur des améliorations réclamées depuis longtemps par les utilisateurs : un meilleur contrôle des mises à jour Windows, une restauration système modernisée, des Widgets moins envahissants, une nouvelle fonction d’accessibilité et une meilleure prise en charge du Bluetooth.

Des Widgets enfin moins intrusifs

Microsoft poursuit la refonte des Widgets de Windows 11 avec plusieurs améliorations destinées à rendre cette fonctionnalité moins envahissante au quotidien.

Jusqu’à présent, de nombreux utilisateurs reprochaient aux Widgets d’afficher trop de notifications ou de s’ouvrir automatiquement au simple survol de leur icône dans la barre des tâches.

Avec cette mise à jour, Microsoft modifie ce comportement. Les Widgets deviennent plus discrets et leur affichage est mieux intégré à l’interface de Windows 11.

Parmi les principales améliorations :

  • Les notifications et badges sont moins envahissants.
  • Le tableau de bord des Widgets est plus clair et mieux organisé.
  • Les couleurs s’adaptent davantage au thème clair ou sombre de Windows.
  • L’ouverture accidentelle des Widgets est réduite grâce à un meilleur contrôle du comportement au survol.

Microsoft améliore également l’expérience sur l’écran de verrouillage avec une présentation plus sobre des informations affichées par les Widgets.

Ces changements répondent à l’une des critiques les plus fréquentes adressées aux Widgets depuis leur introduction dans Windows 11 : ils deviennent plus utiles sans monopoliser l’attention de l’utilisateur.

Des Widgets enfin moins intrusifs dans Windows 11

Suspendre Windows Update avec un calendrier

Microsoft améliore également la gestion des mises à jour Windows en proposant une nouvelle interface plus intuitive pour suspendre temporairement Windows Update.

Jusqu’à présent, les utilisateurs devaient choisir une durée prédéfinie, généralement par tranches d’une semaine, sans toujours savoir précisément à quelle date les mises à jour reprendraient.

Avec cette évolution, Windows 11 affiche désormais un calendrier permettant de sélectionner directement la date jusqu’à laquelle les mises à jour doivent être suspendues.

Cette nouvelle présentation offre plusieurs avantages :

  • Une meilleure visibilité sur la période de suspension.
  • Un choix plus simple de la date de reprise des mises à jour.
  • Une interface plus claire et plus moderne.
  • Une gestion plus pratique lorsque l’on souhaite éviter une mise à jour pendant une période donnée.

La durée maximale de suspension reste fixée à 35 jours, conformément aux règles actuelles de Windows Update.

Cette amélioration ne modifie donc pas le fonctionnement de Windows Update, mais rend cette fonctionnalité beaucoup plus simple à utiliser, notamment pour les utilisateurs qui souhaitent repousser temporairement l’installation des mises à jour pendant un déplacement, des vacances ou une période de forte activité.

Suspendre Windows Update avec un calendrier dans Windows 11

La restauration à un instant dans le passé

L’une des principales nouveautés de cette mise à jour est l’arrivée d’une nouvelle interface baptisée « Restauration à un instant dans le passé », qui modernise enfin la gestion des points de restauration système dans Windows 11.

Jusqu’à présent, cette fonctionnalité reposait sur une interface héritée du Panneau de configuration, quasiment inchangée depuis plusieurs versions de Windows. Microsoft commence désormais à l’intégrer directement dans l’application Paramètres, avec une présentation plus moderne et plus simple à utiliser.

Cette nouvelle interface permet notamment de gérer :

  • L’activation de la restauration système.
  • La fréquence de création automatique des points de restauration.
  • La durée de conservation des instantanés.
  • L’espace disque réservé aux points de restauration.
  • La liste des points de restauration disponibles.

Les points de restauration permettent de revenir à un état antérieur du système après une modification importante, comme l’installation d’un pilote, d’un logiciel ou d’une mise à jour Windows ayant provoqué un dysfonctionnement.

Contrairement à une réinitialisation complète de Windows, cette opération restaure les paramètres système et les fichiers système sans supprimer les documents personnels de l’utilisateur.

Microsoft modernise ainsi l’un des outils de dépannage les plus utiles de Windows, tout en offrant davantage de contrôle sur son fonctionnement. Cette évolution devrait également encourager davantage d’utilisateurs à activer les points de restauration, souvent désactivés ou oubliés malgré leur efficacité pour résoudre rapidement certains problèmes.

👉 Si vous souhaitez découvrir cette fonctionnalité en détail, consultez notre guide complet :

Infographique complète : comment utiliser la restauration à un instant dans le passé de Windows 11

Une nouvelle fonction Teinte de l’écran

Microsoft introduit également une nouvelle fonction d’accessibilité baptisée Teinte de l’écran, destinée à améliorer le confort visuel des utilisateurs.

Contrairement au mode Éclairage nocturne, qui réduit principalement la lumière bleue en réchauffant les couleurs de l’écran, Screen Tint applique une teinte colorée personnalisable à l’ensemble de l’affichage.

Une nouvelle fonction Teinte de l'écran dans Windows 11

L’objectif est de réduire la fatigue visuelle et d’améliorer la lisibilité dans certaines situations, notamment pour les personnes sensibles à la luminosité ou présentant certains troubles de la vision.

Les utilisateurs pourront choisir parmi plusieurs couleurs prédéfinies ou définir leur propre teinte afin d’adapter l’affichage à leurs préférences ou à leurs besoins.

Cette nouvelle fonction vient compléter les outils d’accessibilité déjà présents dans Windows 11, comme la Loupe, les filtres de couleur, le Contraste élevé ou l’Éclairage nocturne.

Même si elle s’adresse en priorité aux personnes ayant des besoins spécifiques, Screen Tint pourra également intéresser les utilisateurs qui passent de longues heures devant leur écran et souhaitent réduire leur fatigue visuelle sans modifier la luminosité ou la température des couleurs.

Choisir une couleur de teinte personnalisée dans Windows 11

Une importante mise à jour du Bluetooth

Microsoft poursuit également l’amélioration de la prise en charge du Bluetooth dans Windows 11 avec plusieurs nouveautés destinées à rendre les connexions plus fiables et plus simples à utiliser au quotidien.

L’une des principales évolutions concerne la gestion des nouveaux appareils Bluetooth compatibles avec Bluetooth Low Energy (LE Audio). Windows 11 améliore leur détection et leur configuration afin de simplifier l’appairage et d’offrir une meilleure qualité audio lorsque le matériel est compatible.

Microsoft continue également d’améliorer la stabilité des connexions Bluetooth en corrigeant plusieurs problèmes susceptibles de provoquer des coupures audio, des déconnexions inattendues ou des difficultés de reconnexion après une sortie de veille.

Ces optimisations bénéficient notamment :

  • Aux casques et écouteurs sans fil.
  • Aux enceintes Bluetooth.
  • Aux microphones Bluetooth.
  • Aux appareils compatibles Bluetooth LE Audio.

Cette mise à jour s’inscrit dans la volonté de Microsoft de faire de Windows 11 une plateforme mieux adaptée aux nouveaux périphériques audio sans fil, dont les performances et les fonctionnalités continuent d’évoluer rapidement.

Même si ces améliorations passent souvent inaperçues, elles devraient contribuer à rendre les connexions Bluetooth plus stables et plus fiables, en particulier sur les ordinateurs portables utilisés quotidiennement avec des périphériques audio sans fil.

Quand seront disponibles ces nouveautés ?

Les fonctionnalités présentées dans cet article sont introduites avec la mise à jour de prévisualisation KB5095093 pour Windows 11 24H2 et 25H2.

Comme il s’agit d’une mise à jour optionnelle, elles ne sont pas encore disponibles sur tous les PC. Microsoft les déploie progressivement grâce au mécanisme de Controlled Feature Rollout (CFR), qui permet d’activer certaines nouveautés par vagues, même si la mise à jour est déjà installée.

Concrètement, deux ordinateurs exécutant la même version de Windows 11 et ayant installé KB5095093 peuvent ne pas disposer exactement des mêmes fonctionnalités. Microsoft active progressivement les nouveautés afin de surveiller leur stabilité et de pouvoir suspendre leur déploiement en cas de problème.

Certaines de ces fonctionnalités seront probablement intégrées aux prochaines mises à jour cumulatives de Windows 11, mais Microsoft ne garantit ni leur date de disponibilité, ni qu’elles seront toutes activées en même temps pour l’ensemble des utilisateurs.

Les utilisateurs qui souhaitent découvrir ces nouveautés dès maintenant peuvent installer la mise à jour facultative KB5095093 depuis Paramètres > Windows Update. Toutefois, leur activation dépendra également du calendrier de déploiement défini par Microsoft.

Conclusion

Avec KB5095093, Microsoft poursuit sa stratégie de faire évoluer Windows 11 par petites étapes plutôt qu’au travers de grandes mises à jour annuelles.

Après le Patch Tuesday de juin 2026, qui a introduit notamment le Low Latency Profile pour améliorer la réactivité du système, Shared Audio pour les périphériques Bluetooth, la prise en charge des caméras multi-applications ou encore plusieurs améliorations de sécurité autour de Secure Boot 2023, cette nouvelle mise à jour de prévisualisation apporte à son tour des fonctionnalités concrètes comme Restauration à un instant dans le passé, une meilleure gestion des Widgets, un calendrier plus pratique pour suspendre Windows Update ou encore la nouvelle fonction Screen Tint.

Microsoft semble ainsi privilégier un développement « au fil de l’eau », où les nouveautés sont intégrées progressivement dans Windows 11 avant d’être activées par vagues grâce au Controlled Feature Rollout (CFR). Cette approche permet d’introduire régulièrement de nouvelles fonctionnalités tout en limitant les risques de régression à grande échelle.

Les prochains mois devraient donc continuer d’apporter de nombreuses évolutions à Windows 11, en particulier à l’approche de la sortie de Windows 11 26H2 prévue à l’automne 2026.

Suivre les actualités Windows par RSS
Recevez automatiquement les dernières actualités Windows, les mises à jour Microsoft, les correctifs de sécurité et les problèmes connus dans votre lecteur RSS favori.

👉S'abonner gratuitement au flux RSS des actualités Windows

L’article Windows 11 : 5 fonctionnalités très attendues arrivent en juillet 2026 est apparu en premier sur malekal.com.

Configurer la restauration à un instant dans le passé de Windows 11 (fréquence, rétention, espace disque)

La restauration à un instant dans le passé est une nouvelle fonctionnalité de Windows 11 qui permet de configurer la création automatique d’instants de restauration afin de pouvoir revenir à un état antérieur du système en cas de problème. Vous pouvez notamment définir la fréquence de création, la durée de rétention ainsi que l’espace disque utilisé pour conserver ces instants.

À la différence de la Restauration du système, cette fonctionnalité repose sur un mécanisme de récupération distinct et s’appuie sur le Volume Shadow Copy Service (VSS) pour créer des instantanés du système. Microsoft la déploie progressivement dans les versions Insider de Windows 11 avant sa disponibilité dans les versions stables.

Dans ce guide, découvrez comment accéder aux paramètres de la restauration à un instant dans le passé, activer ou désactiver la fonctionnalité, modifier sa configuration et comprendre le rôle de chaque option. Vous apprendrez également pourquoi certains paramètres peuvent être grisés ou indisponibles selon votre version de Windows 11.

Comment accéder aux paramètres de la restauration à un instant dans le passé

Les paramètres de la restauration à un instant dans le passé sont accessibles depuis l’application Paramètres de Windows 11. C’est depuis cette interface que vous pouvez activer ou désactiver la fonctionnalité, consulter son état et, selon votre version de Windows, modifier certains paramètres comme la fréquence de création des points de restauration, la durée de rétention ou l’espace disque utilisé.

Pour accéder aux paramètres :

  • Ouvrez Paramètres (Windows + I)
  • Cliquez sur Système
  • Ouvrez Récupération
  • Cliquez sur Restauration à un instant dans le passé

La fenêtre de configuration affiche les différents paramètres de la fonctionnalité ainsi que son état actuel.

Restauration à un instant dans le passé dans les paramètres de Windows 11

Paramètres par défaut et options grisées

La modification des paramètres dépend de l’édition de Windows 11.
Ce tableau récapitule les options disponibles par édition de Windows 11 :

ConfigurationPar défautOptionsEditions eligible for configuration
Activer/Désactiver la fonctionnalitéVoir ci-dessous*On/OffFamille, Pro, Entreprise
Fréquence des points de restauration
(approximative)
Toutes les 24 heures4, 6, 12, 16, 24 heuresEntreprise seulement
Durée de conservation des points de restauration
(approximative)
72 heures4, 6, 12, 16, 24, 72 heuresEntreprise seulement
Limite maximale d’utilisation2% du disquePourcentage d’espace disque (min. 2 Go ; max. 50 Go équivalents)Famille, Pro, Entreprise

La restauration à un instant donné sera activée par défaut sur les systèmes non gérés par l’entreprise :

  • Appareils sous Windows Édition Familiale
  • Appareils sous Windows Édition Professionnelle qui ne sont pas joints à un domaine et qui ne sont pas inscrits dans la gestion des terminaux d’entreprise

* La restauration à un instant donné sera désactivée par défaut sur les systèmes gérés par l’entreprise jusqu’à Windows 11, version 26H2 :

  • les appareils sous Windows Édition Entreprise et Édition Éducation
  • les appareils sous Windows Édition Pro qui sont joints à un domaine ou gérés par une organisation

Activer ou désactiver la restauration à un instant dans le passé

La restauration à un instant dans le passé peut être activée ou désactivée depuis ses paramètres de configuration. Lorsque la fonctionnalité est activée, Windows crée automatiquement des instants de restauration qui pourront être utilisés pour revenir à un état antérieur du système en cas de problème.

Pour activer ou désactiver la fonctionnalité :

  • Ouvrez Paramètres (Windows + I)
  • Cliquez sur Système
  • Ouvrez Récupération
  • Cliquez sur Restauration à un instant dans le passé
  • Activez ou désactivez l’interrupteur Activer la restauration à un instant dans le passé

Une fois la fonctionnalité activée, Windows commence à créer automatiquement des instants de restauration selon les paramètres configurés.

Après l’activation, il est recommandé de vérifier les paramètres de fréquence de création, de durée de rétention et d’espace disque alloué afin d’adapter le fonctionnement de la restauration à vos besoins.

Activer ou désactiver la restauration à un instant dans le passé de Windows 11

Configurer la fréquence des points de restauration

Seulement disponible pour l’édition Entreprise de Windows 11.

La fréquence détermine à quel intervalle Windows crée automatiquement un nouvel instant de restauration. Une fréquence plus élevée offre davantage de points de restauration disponibles, mais peut également augmenter l’espace disque utilisé.

Pour modifier cette valeur :

  • Ouvrez Paramètres (Windows + I)
  • Cliquez sur Système
  • Ouvrez Récupération
  • Cliquez sur Restauration à un instant dans le passé
  • Modifiez le paramètre Fréquence des points de restauration

Choisissez ensuite la fréquence souhaitée, puis enregistrez les modifications.

Configurer la fréquence des points de restauration

Configurer la durée de rétention

Seulement disponible pour l’édition Entreprise de Windows 11.

La durée de rétention correspond à la période pendant laquelle Windows conserve les instants de restauration avant de les supprimer automatiquement. Une fois ce délai écoulé, les anciens instants sont effacés afin de libérer de l’espace disque et laisser la place aux plus récents.

Pour modifier la durée de rétention :

  • Ouvrez Paramètres (Windows + I)
  • Cliquez sur Système
  • Ouvrez Récupération
  • Cliquez sur Restauration à un instant dans le passé
  • Modifiez le paramètre Durée de rétention

Sélectionnez ensuite la durée souhaitée, puis enregistrez les modifications.

Configurer la durée de rétention

Configurer l’espace disque utilisé

La restauration à un instant dans le passé utilise une partie de l’espace disponible sur le disque système afin de stocker les instants de restauration. Plus l’espace alloué est important, plus Windows peut conserver d’instants de restauration avant de supprimer les plus anciens.

Pour modifier cette valeur :

  • Ouvrez Paramètres (Windows + I)
  • Cliquez sur Système
  • Ouvrez Récupération
  • Cliquez sur Restauration à un instant dans le passé
  • Modifiez le paramètre Utilisation du disque

Définissez ensuite la quantité d’espace disque que Windows peut utiliser pour enregistrer les instants de restauration.

Lorsque l’espace alloué est atteint, Windows supprime automatiquement les instants de restauration les plus anciens afin de libérer de la place pour les nouveaux. Il est donc recommandé d’allouer suffisamment d’espace si vous souhaitez conserver plusieurs instants de restauration.

Comment créer un point de restauration

À l’heure actuelle, la restauration à un instant dans le passé est encore en cours de développement dans les versions Insider de Windows 11.

Contrairement à la Restauration du système, qui permet de créer manuellement un point de restauration, Microsoft ne propose pas encore de fonctionnalité permettant de créer un instant de restauration à la demande.

Les instants de restauration semblent être créés automatiquement par Windows en fonction des paramètres de la fonctionnalité, notamment la fréquence de création configurée.

En attendant, si vous souhaitez créer un point de restauration avant une modification importante du système, vous pouvez utiliser la Restauration du système, qui permet de créer des points de restauration à tout moment.

👉 Le guide :

Comment fonctionne la restauration à un instant dans le passé de Windows 11 ?

La restauration à un instant dans le passé est une nouvelle fonctionnalité de récupération de Windows 11 conçue pour restaurer rapidement un ordinateur à un état antérieur lorsqu’un problème survient. Contrairement à la Restauration du système classique, elle ne se limite pas aux fichiers système et s’appuie sur une architecture plus moderne basée sur le Volume Shadow Copy Service (VSS).

Le lien Microsoft : Restauration à un instant dans le passé pour Windows

Comprendre le fonctionnement de la restauration à un instant dans le passé de Windows 11

Une fonctionnalité basée sur le service VSS

La restauration à un instant dans le passé repose sur le Volume Shadow Copy Service (VSS), le mécanisme de Windows permettant de créer des clichés instantanés (snapshots) d’un volume sans interrompre son utilisation. Microsoft confirme que les instants de restauration sont créés à partir de snapshots VSS et peuvent être administrés à l’aide de l’outil vssadmin.

Grâce à cette technologie, Windows capture un état cohérent du système tout en continuant à fonctionner normalement.

Que contient un instant de restauration ?

Contrairement à la Restauration du système, qui sauvegarde principalement les fichiers système, les pilotes et le Registre, la restauration à un instant dans le passé enregistre un état beaucoup plus complet de l’ordinateur.

Un instant de restauration peut notamment contenir :

  • Les fichiers système Windows
  • Les applications installées
  • Les paramètres du système
  • Les paramètres des applications
  • Les fichiers personnels stockés localement
  • Les mots de passe, certificats et secrets enregistrés

En revanche, les fichiers synchronisés avec un service cloud, comme OneDrive, ne sont pas restaurés puisqu’ils sont conservés dans le stockage en ligne.

Où sont stockés les instants de restauration ?

Microsoft indique que les instants de restauration utilisent le stockage VSS déjà présent dans Windows.

Autrement dit, ils ne disposent pas d’un espace de stockage indépendant mais partagent l’espace réservé aux clichés VSS avec les autres fonctionnalités qui utilisent cette technologie, comme la Restauration du système.

Microsoft ne précise toutefois pas explicitement si ces snapshots sont enregistrés dans le dossier System Volume Information, même si cela est très probable compte tenu du fonctionnement historique de VSS.

Comment Windows gère l’espace disque ?

Windows réserve une partie de l’espace disque pour stocker les instants de restauration.

Lorsque cette limite est atteinte :

  • Les instants les plus anciens sont supprimés automatiquement.
  • Les nouveaux snapshots remplacent progressivement les anciens.
  • La durée de conservation dépend de la rétention configurée et de l’espace disponible.

Les paramètres de fréquence, de rétention et de taille maximale sont configurables via les paramètres Windows ou par les administrateurs au moyen du Recovery CSP.

Les instants sont créés automatiquement

À l’heure actuelle, Windows crée automatiquement les instants de restauration selon une fréquence définie dans la configuration de la fonctionnalité.

Contrairement à la Restauration du système, il n’est pas encore possible de créer manuellement un instant de restauration. Cette possibilité pourrait toutefois évoluer dans de futures versions de Windows 11.

Une évolution de la Restauration du système

Même si les deux fonctionnalités utilisent VSS, Microsoft présente la restauration à un instant dans le passé comme une évolution importante de la récupération de Windows.

Elle apporte plusieurs améliorations :

  • Une restauration plus complète de l’ordinateur.
  • La prise en charge des fichiers personnels locaux.
  • Une gestion automatique des instants de restauration.
  • Une configuration directement intégrée dans Paramètres > Système > Récupération.
  • Une administration à distance pour les environnements professionnels.

Cette nouvelle architecture devrait progressivement remplacer les usages les plus courants de la Restauration du système, tout en coexistant avec celle-ci pendant la période de transition.

📖 Ressources utiles et articles liés

Vous cherchez toutes les solutions pour réparer Windows ?

👉 Consultez le guide complet pour réparer Windows :

L’article Configurer la restauration à un instant dans le passé de Windows 11 (fréquence, rétention, espace disque) est apparu en premier sur malekal.com.

Restauration à un instant dans le passé de Windows 11 : comment l’utiliser

La restauration à un instant dans le passé est une nouvelle fonctionnalité de récupération de Windows 11 qui permet de revenir à un état antérieur du système lorsqu’un problème survient. Elle peut être utilisée après une mise à jour défectueuse, l’installation d’un pilote incompatible ou d’un logiciel ayant rendu Windows instable.

Bien qu’elle poursuive le même objectif que la Restauration du système, cette fonctionnalité repose sur un mécanisme indépendant et dispose de sa propre interface dans l’Environnement de récupération Windows (WinRE). Les deux outils peuvent d’ailleurs coexister sur un même ordinateur.

Dans ce guide, je vous montre comment fonctionne la restauration à un instant dans le passé, comment y accéder, restaurer Windows 11 avec cette fonctionnalité et comprendre les différences avec les points de restauration système. Vous apprendrez également pourquoi cette option peut être absente sur certains PC et comment l’activer lorsqu’elle sera disponible.

Qu’est-ce que la restauration à un instant dans le passé ?

La restauration à un instant dans le passé est une nouvelle fonctionnalité de récupération introduite dans Windows 11. Elle permet de revenir à un état antérieur du système lorsqu’un problème survient, par exemple après l’installation d’une mise à jour, d’un pilote ou d’un logiciel.

Son fonctionnement est similaire à celui de la Restauration du système, mais il s’agit d’un mécanisme de récupération distinct. Contrairement aux points de restauration système, cette fonctionnalité n’est pas accessible directement depuis Windows. Elle s’utilise uniquement depuis l’Environnement de récupération Windows (WinRE), accessible via les options de récupération ou le démarrage avancé.

Lors de la restauration, Windows rétablit l’ordinateur à l’état dans lequel il se trouvait à la date du point de restauration sélectionné. Toutes les modifications effectuées après cet instant sont supprimées, notamment :

  • Les documents créés ou modifiés
  • Les téléchargements
  • Les applications et fonctionnalités installées
  • Les paramètres système
  • Les mises à jour Windows
  • Les mots de passe, certificats et clés enregistrés

En revanche, les données stockées dans des services cloud, comme OneDrive, ne sont pas supprimées, puisqu’elles sont synchronisées avec le stockage en ligne.

Attention : cette opération peut entraîner une perte de données. Avant de lancer une restauration, assurez-vous que les fichiers importants créés après le point de restauration ont été sauvegardés.

À l’heure actuelle, la restauration à un instant dans le passé est en cours de déploiement dans les versions Insider de Windows 11. Elle n’est donc pas encore disponible sur tous les ordinateurs, même si la Restauration du système est activée.

Infographique complète : comment utiliser la restauration à un instant dans le passé de Windows 11

Quelle est la différence avec la Restauration du système ?

Bien que leur objectif soit similaire, la restauration à un instant dans le passé et la Restauration du système sont deux fonctionnalités distinctes de Windows 11.

La Restauration du système existe depuis de nombreuses années et s’appuie sur des points de restauration créés automatiquement ou manuellement. La restauration à un instant dans le passé est, quant à elle, une nouvelle fonctionnalité de récupération actuellement en cours de déploiement dans Windows 11.

Le tableau ci-dessous résume les principales différences connues entre ces deux outils.

Restauration à un instant dans le passéRestauration du système
Nouvelle fonctionnalité de Windows 11Fonction disponible depuis plusieurs versions de Windows
En cours de déploiementDisponible sur Windows 11/10
Accessible depuis une entrée dédiée de l’environnement de récupération Windows (WinRE)Accessible depuis Windows et depuis WinRE
Mécanisme de récupération indépendant de la Restauration du systèmeRepose sur des points de restauration système
Peut coexister avec la Restauration du systèmePeut être utilisée indépendamment de la restauration à un instant dans le passé
Ne semble pas nécessiter l’activation de la Protection du système*Nécessite d’activer la Protection du système pour créer des points de restauration
Toutes les versions de Windows 11 ne disposent pas encore de cette fonctionnalitéDisponible sur la plupart des installations de Windows 11/10

👉A lire :

Si vous utilisez déjà la Restauration du système, il est recommandé de continuer à l’activer. Les deux fonctionnalités ne sont pas exclusives et peuvent être proposées simultanément dans les options de récupération de Windows.

Comment restaurer Windows 11 avec cette fonctionnalité

Une fois la restauration à un instant dans le passé lancée depuis l’environnement de récupération Windows (WinRE), un assistant vous guide tout au long de la procédure de restauration.

Les étapes peuvent légèrement évoluer au fil des versions Insider de Windows 11, mais le principe reste identique.

Pour restaurer Windows :

La restauration à un instant dans le passé de Windows 11
  • Choisissez l’instant de restauration que vous souhaitez utiliser
Comment restaurer Windows 11 avec la restauration à un instant dans le passé des options de récupération (WinRE)
  • Confirmez votre choix en cliquant sur Continuer
Comment restaurer Windows 11 avec la restauration à un instant dans le passé des options de récupération (WinRE)
  • Un avertissement s’affiche, cliquez sur Restaurer pour continuer
Comment restaurer Windows 11 avec la restauration à un instant dans le passé des options de récupération (WinRE)
  • Pendant cette opération, Windows restaure le système à l’état correspondant à l’instant sélectionné. L’ordinateur peut redémarrer automatiquement une ou plusieurs fois avant la fin du processus.
Restauration de Windows 11 avec Restauration à un instant dans le passé

Attention : la durée de la restauration dépend de la configuration de votre ordinateur et de la quantité de données à traiter. N’éteignez pas le PC et ne l’interrompez pas tant que l’opération n’est pas terminée.

À l’issue de la restauration, Windows redémarre normalement et vous pouvez vérifier si le problème rencontré a été corrigé.

Remarque : cette fonctionnalité étant encore en cours de développement dans les versions Insider de Windows 11, Microsoft peut modifier son interface ou son fonctionnement avant son déploiement dans la version finale. Cette page sera mise à jour à mesure que de nouvelles informations seront disponibles.

Les risques et précautions avant de restaurer Windows

Avant d’utiliser la restauration à un instant dans le passé, il est important de comprendre que cette fonctionnalité effectue une restauration complète de l’état du système. Toutes les modifications apportées après l’instant de restauration sélectionné seront perdues.

Avant de lancer la restauration, il est recommandé de sauvegarder les fichiers importants créés ou modifiés après la date du point de restauration.

Les risques pendant la restauration

Microsoft indique que plusieurs situations peuvent empêcher la création ou la restauration correcte d’un instant de restauration :

  • Un espace disque insuffisant
  • Une forte activité du disque (E/S importantes)
  • Un dysfonctionnement du service Volume Shadow Copy Service (VSS)
  • Un système de fichiers corrompu ou défaillance disque
  • L’arrêt ou le redémarrage du PC pendant la restauration
  • La modification de fichiers chiffrés avec EFS (Encrypted File System)

Dans certains cas, l’ordinateur peut également ne plus démarrer correctement après la restauration si le système était déjà endommagé avant l’opération.

Vérifier le système après la restauration

Une restauration peut également supprimer des mises à jour de sécurité, des stratégies de sécurité ou certaines modifications récentes apportées à Windows.

Une fois l’opération terminée, il est recommandé de :

  • Vérifier le bon fonctionnement de Windows
  • Installer les dernières mises à jour via Windows Update
  • Contrôler les applications récemment installées
  • Vérifier que les paramètres de sécurité sont toujours correctement configurés

Pourquoi l’option n’apparaît-elle pas ?

Si vous ne voyez pas l’option Restauration à un instant dans le passé dans l’environnement de récupération Windows (WinRE), cela ne signifie pas nécessairement qu’un problème est présent sur votre ordinateur.

À l’heure actuelle, cette fonctionnalité est en cours de déploiement par Microsoft et n’est disponible que sur certaines versions Insider de Windows 11. Elle n’est donc pas encore proposée sur toutes les installations.

Plusieurs raisons peuvent expliquer son absence :

  • Vous utilisez une version stable de Windows 11.
  • Votre build Insider ne prend pas encore en charge cette fonctionnalité.
  • Le déploiement progressif n’a pas encore atteint votre appareil.
  • Microsoft peut limiter son activation à certains canaux Insider ou à certaines configurations matérielles.

Il est également important de noter que cette fonctionnalité est indépendante de la Restauration du système. Vous pouvez donc avoir la Protection du système activée et disposer de points de restauration, sans pour autant voir apparaître l’option Restauration à un instant dans le passé dans WinRE.

Inversement, lorsque cette nouvelle fonctionnalité est disponible, elle peut coexister avec la Restauration du système. Les deux outils apparaissent alors séparément dans les options de récupération de Windows et utilisent des mécanismes distincts.

Si vous souhaitez utiliser cette fonctionnalité, assurez-vous d’installer la dernière build Insider compatible et de maintenir votre système à jour. Microsoft devrait progressivement la rendre disponible auprès d’un plus grand nombre d’utilisateurs avant son intégration dans une version stable de Windows 11.

Aller plus loin pour restaurer Windows 11

La restauration à un instant dans le passé constitue une nouvelle solution de récupération de Windows 11, mais elle n’est pas la seule. Selon la nature du problème rencontré, d’autres outils intégrés à Windows peuvent être plus adaptés.

👉Si vous souhaitez revenir à un état antérieur du système sans réinstaller Windows, vous pouvez utiliser les points de restauration système :

En revanche, si Windows est fortement endommagé ou que vous souhaitez repartir sur une installation propre, la fonctionnalité Réinitialiser ce PC permet de réinstaller Windows 11 en conservant ou en supprimant vos fichiers personnels.

👉Le guide complet :

👉Pour découvrir toutes les méthodes de récupération disponibles, consultez également notre guide complet :

📖 Ressources utiles et articles liés

Vous cherchez toutes les solutions pour réparer Windows ?

👉 Consultez le guide complet pour réparer Windows :

L’article Restauration à un instant dans le passé de Windows 11 : comment l’utiliser est apparu en premier sur malekal.com.

Windows 11 : Ma configuration logicielle idéale

Lorsque j’installe Windows 11 sur un nouveau PC ou après une réinstallation complète, je n’installe pas immédiatement des dizaines de logiciels. Au contraire, je préfère commencer par quelques applications soigneusement choisies qui couvrent les besoins essentiels : navigation web, sécurité, gestion des mots de passe, surveillance du matériel, stockage et maintenance du système.

Au fil des années, j’ai testé de nombreux logiciels. Certains sont devenus inutiles avec l’évolution de Windows, tandis que d’autres sont devenus incontournables. Dans cet article, je vous présente les applications que j’installe systématiquement après une nouvelle installation de Windows 11 afin d’obtenir un système plus sûr, plus pratique et plus facile à maintenir.

Vous découvrirez également les extensions que j’ajoute à Firefox ainsi que les logiciels que je n’utilise plus aujourd’hui malgré leur popularité passée.

Ma configuration logicielle en un coup d’œil

Si je devais réinstaller Windows 11 aujourd’hui, voici les logiciels que j’installerais en priorité. Cette sélection couvre les besoins essentiels : navigation web, sécurité, stockage, surveillance du matériel et entretien du système.

BesoinLogicielPourquoi ?
🌐 NavigateurFirefoxRapide, respectueux de la vie privée et personnalisable
🔑 Mots de passeBitwardenDes mots de passe uniques et sécurisés
🛡 SécuritéMalekal Windows HardenerRenforcer Windows en quelques clics
💾 StockageWizTreeTrouver immédiatement les fichiers volumineux
🧹 NettoyageBleachBitSupprimer les fichiers inutiles
❤ Santé du SSDCrystalDiskInfoDétecter une panne avant qu’il ne soit trop tard
🌡 Diagnostic matérielHWiNFOSurveiller les températures et le matériel
Windows 11 : Ma configuration logicielle idéale - infographique complète

Firefox : mon navigateur par défaut après chaque installation de Windows

Le premier logiciel que j’installe après une nouvelle installation de Windows 11 est Firefox. Même si Microsoft Edge est désormais un excellent navigateur, Firefox reste selon moi le meilleur compromis entre performances, respect de la vie privée et personnalisation.

Développé par Mozilla, Firefox se distingue par son moteur indépendant de Chromium et par sa politique plus respectueuse des données personnelles. Il offre également une excellente compatibilité avec les sites modernes tout en restant léger et rapide au quotidien.

Ses principaux avantages :

  • Respect renforcé de la vie privée
  • Protection intégrée contre le pistage publicitaire
  • Grande stabilité
  • Nombreuses extensions disponibles
  • Synchronisation des favoris, mots de passe et onglets
  • Personnalisation avancée de l’interface

Firefox constitue une excellente alternative à Chrome pour les utilisateurs qui souhaitent davantage de contrôle sur leur navigation et leurs données personnelles.

La navigation privée dans Firefox

Les extensions que j’installe immédiatement

Après l’installation de Firefox, j’ajoute systématiquement quelques extensions qui améliorent la sécurité et le confort de navigation.

uBlock Origin

uBlock Origin reste l’un des meilleurs bloqueurs de publicités disponibles. Il supprime les publicités intrusives, réduit le pistage publicitaire et accélère souvent le chargement des pages web.

Ses bénéfices sont immédiats :

  • Moins de publicités
  • Navigation plus rapide
  • Réduction du trafic réseau inutile
  • Meilleure lisibilité des pages
uBlock Origin : bloquer les publicités et les traqueurs

Malwarebytes Browser Guard

Malwarebytes Browser Guard ajoute une couche de protection supplémentaire contre les sites malveillants, le phishing, les arnaques en ligne et certains scripts de suivi.

L’extension permet notamment :

  • De bloquer les sites frauduleux
  • De détecter certaines tentatives de phishing
  • De filtrer les domaines malveillants connus
  • De renforcer la sécurité de la navigation

👉 Le guide complet :

Malwarebytes Browser Guard : extension pour protéger le WEB contre les malwares et traqueurs

Pourquoi Firefox fait partie de ma configuration idéale

Avec Firefox, uBlock Origin, Malwarebytes Browser Guard et Bitwarden, la majorité des besoins sont couverts dès les premières minutes après l’installation de Windows. Vous disposez immédiatement d’un navigateur rapide, sécurisé, respectueux de votre vie privée et prêt pour une utilisation quotidienne.

Bitwarden : ne plus jamais réutiliser le même mot de passe

Après l’installation du navigateur web, Bitwarden est l’un des premiers logiciels que j’installe. Ce gestionnaire de mots de passe permet de stocker tous vos identifiants dans un coffre-fort sécurisé et de générer des mots de passe uniques pour chaque site.

Ses principaux avantages :

  • Générer des mots de passe robustes
  • Stocker ses identifiants en toute sécurité
  • Synchroniser ses mots de passe entre plusieurs appareils
  • Remplir automatiquement les formulaires de connexion

Grâce à Bitwarden, il n’est plus nécessaire de mémoriser des dizaines de mots de passe différents ou de réutiliser le même mot de passe sur plusieurs sites.

👉Le guide complet :

L'extension Bitwarden dans Mozilla Firefox

Pourquoi je recommande d’installer Bitwarden

La réutilisation des mots de passe reste l’une des principales causes de piratage de comptes. Bitwarden permet d’utiliser facilement des mots de passe uniques et complexes pour chaque service tout en simplifiant les connexions au quotidien.

C’est probablement l’un des logiciels qui apporte le plus de sécurité pour le moins d’effort.

Alternative : KeepassXC

Malekal Windows Hardener : renforcer la sécurité de Windows en quelques clics

Après l’installation de Windows, j’utilise Malekal Windows Hardener (MWH) pour appliquer rapidement plusieurs recommandations de sécurité. Cet outil gratuit permet de renforcer Windows sans avoir à modifier manuellement de nombreux paramètres avancés.

Il permet notamment de :

  • Renforcer Microsoft Defender
  • Activer certaines protections avancées
  • Désactiver des fonctionnalités obsolètes ou peu sécurisées
  • Durcir la configuration du pare-feu Windows
  • Réduire la surface d’attaque du système

Un complément à Microsoft Defender

Contrairement à un antivirus, MWH ne recherche pas les virus présents sur l’ordinateur. Son rôle est préventif.

L’idée est de limiter les possibilités d’exploitation avant même qu’une menace ne puisse s’exécuter. Cette approche de durcissement (hardening) complète parfaitement Microsoft Defender et les protections du navigateur.

Les deux outils travaillent donc ensemble :

  • Microsoft Defender détecte les menaces
  • MWH réduit les possibilités d’attaque

Malekal Windows Hardener outil essentiel de sécurité

Contrairement à un antivirus qui détecte les menaces, MWH agit de manière préventive en limitant les possibilités d’exploitation du système. En quelques clics, il permet d’améliorer significativement la sécurité de Windows tout en conservant une utilisation simple au quotidien.

Menu principal de Malekal Windows Hardener

WizTree : savoir immédiatement ce qui occupe votre espace disque

WizTree est l’un des premiers outils que j’installe après une nouvelle installation de Windows. Il analyse le disque en quelques secondes et affiche précisément les fichiers et dossiers qui occupent le plus d’espace.

Il permet notamment de :

  • Identifier les fichiers les plus volumineux
  • Repérer les dossiers qui saturent le disque
  • Retrouver rapidement les téléchargements oubliés
  • Visualiser l’occupation du stockage

Pourquoi WizTree fait partie de ma configuration idéale

Lorsqu’un SSD commence à se remplir, WizTree permet de trouver immédiatement la cause du problème. Rapide, simple et très efficace, c’est l’un des meilleurs outils pour gérer l’espace disque sous Windows.

BleachBit : nettoyer Windows sans logiciels inutiles

BleachBit est un utilitaire gratuit et open source qui permet de supprimer les fichiers temporaires, caches et autres données inutiles accumulées par Windows et les applications.

Il permet notamment de :

  • Libérer de l’espace disque
  • Supprimer les fichiers temporaires
  • Nettoyer les caches des navigateurs
  • Effacer certaines traces d’utilisation

Pourquoi BleachBit fait partie de ma configuration idéale

BleachBit se concentre sur l’essentiel sans ajouter de fonctions d’optimisation inutiles. Léger, efficace et transparent, il permet de maintenir facilement un système propre et de récupérer rapidement de l’espace disque.

👉 Le guide complet :

Prévisualiser le nettoyage de Windows

CrystalDiskInfo : surveiller la santé de vos disques

CrystalDiskInfo est un utilitaire gratuit qui permet de vérifier l’état de santé des SSD et des disques durs grâce aux informations SMART fournies par le matériel. En quelques secondes, il affiche les indicateurs essentiels pour détecter un disque défaillant avant qu’il ne provoque une perte de données.

Il permet notamment de :

  • Vérifier l’état de santé du disque
  • Surveiller la température
  • Consulter les heures de fonctionnement
  • Détecter les premiers signes de défaillance
  • Contrôler l’usure des SSD

Un outil indispensable pour éviter les mauvaises surprises

Une panne de disque peut entraîner la perte de fichiers importants sans avertissement. CrystalDiskInfo permet de surveiller régulièrement l’état de vos périphériques de stockage et d’anticiper les problèmes avant qu’ils ne deviennent critiques. C’est un outil simple, léger et indispensable pour protéger ses données.

Liste des applications incontournables de Windows

HWiNFO : surveiller les températures et diagnostiquer le matériel

HWiNFO est l’un des outils les plus complets pour surveiller l’état du matériel d’un ordinateur. Il permet d’afficher en temps réel les températures, tensions, fréquences et informations détaillées des principaux composants du PC.

Il permet notamment de :

  • Surveiller les températures du processeur et de la carte graphique
  • Contrôler les fréquences et les tensions
  • Vérifier la vitesse des ventilateurs
  • Identifier précisément les composants installés
  • Détecter d’éventuels problèmes de surchauffe

Pourquoi je l’installe systématiquement HWiNFO sur Windows 11

Les problèmes de température sont une cause fréquente de ralentissements, de plantages et d’instabilités. HWiNFO permet de vérifier rapidement que le processeur, la carte graphique et les autres composants fonctionnent dans des conditions normales. C’est un outil incontournable pour diagnostiquer les problèmes matériels et surveiller la santé globale du PC.

HWiNFO : afficher un résumé du système

Les logiciels que je n’installe plus systématiquement

Au fil des années, certains logiciels étaient considérés comme incontournables après une installation de Windows. Pourtant, avec l’évolution de Windows 11, l’amélioration des outils intégrés et l’apparition de nouvelles alternatives, plusieurs applications ont perdu une grande partie de leur intérêt.

Cela ne signifie pas qu’il s’agit de mauvais logiciels, mais simplement qu’ils ne font plus partie de ma configuration par défaut.

Les antivirus tiers

Pendant longtemps, installer un antivirus tiers était presque obligatoire après une installation de Windows. Aujourd’hui, Microsoft Defender offre un niveau de protection suffisant pour la majorité des utilisateurs.

Associé à un navigateur sécurisé, à Malwarebytes Browser Guard, à Bitwarden et à quelques bonnes pratiques, il permet déjà de bénéficier d’une protection efficace sans ajouter de logiciel supplémentaire.

CCleaner

CCleaner a longtemps été la référence du nettoyage Windows. Toutefois, les versions récentes de Windows intègrent déjà de nombreux outils de maintenance et de nettoyage.

Pour les opérations de nettoyage ponctuelles, je préfère aujourd’hui utiliser BleachBit ou les outils intégrés de Windows, qui répondent à la plupart des besoins.

Driver Booster et les logiciels de mise à jour de pilotes

Les logiciels de mise à jour automatique des pilotes promettent souvent de trouver les pilotes les plus récents pour l’ensemble du matériel. Dans la pratique, ils peuvent parfois installer des versions inadaptées ou provoquer des problèmes de stabilité.

Dans la majorité des cas, Windows Update et les sites officiels des fabricants restent les méthodes les plus fiables pour mettre à jour les pilotes.

Les optimiseurs Windows

De nombreux logiciels prétendent accélérer Windows en nettoyant le Registre, en optimisant la mémoire ou en appliquant des réglages automatiques.

Sur les versions modernes de Windows, ces optimisations apportent rarement un gain mesurable et peuvent parfois provoquer davantage de problèmes qu’elles n’en résolvent.

Je préfère identifier les causes réelles d’un ralentissement avec des outils comme HWiNFO, Process Explorer ou Autoruns plutôt que d’utiliser des optimiseurs génériques.

Les packs de codecs

Autrefois, l’installation de packs de codecs était souvent nécessaire pour lire certains formats vidéo. Aujourd’hui, VLC prend en charge la quasi-totalité des formats multimédias sans configuration particulière.

Pour la plupart des utilisateurs, il n’est donc plus nécessaire d’installer de codecs supplémentaires.

Les suites de sécurité tout-en-un

Certaines suites regroupent antivirus, VPN, gestionnaire de mots de passe, nettoyage système et optimisation des performances dans une seule application.

Je préfère généralement utiliser des outils spécialisés pour chaque besoin :

  • Microsoft Defender pour la protection du système
  • Bitwarden pour les mots de passe
  • Firefox et Malwarebytes Browser Guard pour la navigation
  • BleachBit pour le nettoyage

Cette approche offre davantage de contrôle et évite d’installer des logiciels particulièrement lourds.

Ce que j’utilise à la place

Aujourd’hui, ma configuration de base reste volontairement simple :

  • Firefox avec uBlock Origin et Malwarebytes Browser Guard
  • Bitwarden
  • Malekal Windows Hardener
  • WizTree
  • BleachBit

Avec seulement quelques logiciels soigneusement choisis, il est possible de disposer d’un système rapide, sécurisé et facile à maintenir sans multiplier les applications inutiles.

Les autres logiciels indispensables à découvrir

Les cinq logiciels présentés dans ce guide constituent ma configuration de base après une nouvelle installation de Windows. Ils couvrent l’essentiel : navigation web, sécurité, gestion des mots de passe, stockage et nettoyage du système.

Cependant, selon vos besoins, de nombreux autres outils peuvent compléter efficacement votre installation. Bureautique, multimédia, dépannage, réparation système, compression de fichiers, surveillance du matériel ou encore personnalisation de Windows, il existe de nombreuses applications gratuites qui peuvent vous faire gagner du temps au quotidien.

👉 Pour découvrir une sélection plus complète, consultez également notre guide :

Vous y trouverez notamment des logiciels comme LibreOffice, PDF24 Creator, VLC, 7-Zip, CrystalDiskInfo, PowerToys, FRST, HWiNFO, Malekal Rescue Center, FixWin 11 et bien d’autres outils utiles pour équiper et maintenir efficacement votre PC.

Aller plus loin pour entretenir et stabiliser Windows

Installer les bons logiciels constitue une excellente base, mais cela ne suffit pas toujours à garantir un système rapide, stable et fiable sur le long terme. Quelques bonnes pratiques d’entretien permettent également d’éviter les ralentissements, les erreurs système et les problèmes de stabilité qui apparaissent souvent après plusieurs mois d’utilisation.

👉 Pour apprendre à entretenir efficacement votre ordinateur, consultez notre guide complet :

Vous y trouverez des conseils pour gérer le stockage, surveiller l’état du matériel, maintenir Windows à jour et conserver un système performant au quotidien.

👉 Si vous souhaitez éviter les plantages, écrans bleus, redémarrages intempestifs ou autres problèmes de stabilité, consultez également :

Vous découvrirez les principales causes d’instabilité d’un PC ainsi que les bonnes pratiques pour conserver un système fiable et éviter les pannes les plus courantes.

L’article Windows 11 : Ma configuration logicielle idéale est apparu en premier sur malekal.com.

Windows 11 KB5095093 teste une nouvelle fonction « Restauration à un instant dans le passé

Microsoft déploie la mise à jour de prévisualisation KB5095093 pour Windows 11 24H2 et 25H2. Cette mise à jour optionnelle introduit plusieurs nouveautés, dont une nouvelle fonction baptisée « Restauration à un instant dans le passé », qui modernise la gestion des points de restauration système.

Cette évolution permet de mieux contrôler la création, la conservation et l’utilisation des instantanés système depuis une interface plus moderne. Elle peut notamment aider les utilisateurs à revenir plus facilement à un état précédent après un problème logiciel, une mise à jour défaillante ou l’installation d’un pilote instable.

KB5095093 apporte également plusieurs corrections et améliorations autour de Secure Boot 2023, du panneau emoji, de la Corbeille, du réseau, de l’authentification et des badges de notification dans la barre des tâches.

KB5095093 dans Windows Update de Windows 11

Une interface modernisée pour les points de restauration

Jusqu’à présent, les points de restauration Windows reposaient principalement sur une interface héritée du Panneau de configuration datant de plusieurs versions de Windows.

Microsoft commence désormais à intégrer cette fonctionnalité directement dans l’application Paramètres avec une nouvelle interface plus moderne.
Celle-ci est disponible dans : Paramètres Windows > Système > Récupération > Restauration à un instant dans le passé.

La nouvelle page permet notamment de gérer :

  • L’activation de la restauration système
  • La fréquence de création des points de restauration
  • La durée de conservation des instantanés
  • L’espace disque utilisé
  • La liste des points de restauration disponibles

L’objectif est de rendre cette fonctionnalité plus accessible aux utilisateurs tout en conservant son fonctionnement traditionnel.

Accéder à Restauration à un instant dans le passé. dans les paramètres de Windows 11

👉Pour tout comprendre, lire :

Infographique complète : comment utiliser la restauration à un instant dans le passé de Windows 11

Qu’est-ce qu’un point de restauration ?

Les points de restauration permettent d’enregistrer un état du système avant une modification importante.

En cas de problème après :

  • Une mise à jour Windows
  • Une installation de pilote
  • L’installation d’un logiciel
  • Une modification de la configuration système

il devient possible de revenir à un état précédent sans réinstaller Windows.

Les fichiers personnels de l’utilisateur ne sont pas affectés par cette opération.

Une fréquence et une rétention configurables

L’une des nouveautés visibles dans cette interface est la possibilité de définir plus facilement :

  • La fréquence de création des points de restauration
  • La durée de conservation des instantanés
  • L’espace maximal utilisé sur le disque

Microsoft semble ainsi vouloir offrir davantage de contrôle sur la gestion automatique des points de restauration.

Restauration à un instant dans le passé de Windows 11

Une fonctionnalité utile pour le dépannage

Même si elle est parfois oubliée par les utilisateurs, la restauration système reste l’un des outils les plus efficaces pour résoudre rapidement certains problèmes de Windows.

Elle permet notamment de revenir en arrière après :

  • Un pilote défectueux
  • Une mise à jour problématique
  • Une mauvaise configuration du système
  • Certains logiciels incompatibles

La modernisation de cette fonction pourrait donc encourager davantage d’utilisateurs à l’activer.

Les autres nouveautés de KB5095093

La nouvelle interface de restauration système n’est pas la seule nouveauté introduite dans KB5095093. Microsoft continue également de faire évoluer plusieurs composants de Windows 11.

Une nouvelle expérience de migration PC à PC

Microsoft poursuit le développement de l’outil de migration permettant de transférer plus facilement ses données d’un ancien PC vers un nouveau.

Les Paramètres de Windows affichent désormais davantage d’éléments liés à cette future fonctionnalité, même si celle-ci n’est pas encore entièrement disponible.

À terme, Microsoft souhaite proposer une expérience similaire à celle d’un smartphone, avec un transfert simplifié des paramètres, fichiers et préférences entre deux ordinateurs Windows.

Des améliorations de la recherche dans les Paramètres

Microsoft améliore également la recherche intégrée à l’application Paramètres.

Les résultats sont désormais plus pertinents et permettent de retrouver plus facilement certaines options système sans parcourir manuellement les différentes catégories.

Une meilleure gestion des applications par défaut

Windows 11 continue d’évoluer pour simplifier la gestion des applications par défaut.

Microsoft apporte plusieurs ajustements destinés à rendre plus cohérent le choix des navigateurs, lecteurs multimédias et autres applications associées aux différents types de fichiers.

Des améliorations pour les PC Copilot+

Plusieurs optimisations concernent les PC équipés d’un NPU.

Microsoft continue d’améliorer les fonctionnalités d’intelligence artificielle locales ainsi que les performances de certains traitements exécutés directement sur l’appareil.

Des corrections pour l’Explorateur de fichiers

KB5095093 apporte également plusieurs correctifs pour l’Explorateur de fichiers.

Microsoft corrige notamment différents problèmes d’affichage, de stabilité et de réactivité signalés par les utilisateurs des versions Insider.

Un déploiement plus large des certificats Secure Boot 2023

KB5095093 améliore également le ciblage des appareils éligibles aux nouveaux certificats Secure Boot 2023.

Microsoft indique que Windows utilise désormais davantage de données de fiabilité afin d’identifier les PC pouvant recevoir automatiquement les nouveaux certificats. Le déploiement reste toutefois progressif : les appareils ne reçoivent les certificats qu’après avoir présenté suffisamment de signaux positifs lors des précédentes mises à jour.

Cette approche vise à éviter les problèmes de compatibilité avec certains firmwares UEFI, tout en élargissant progressivement le nombre de PC préparés à l’expiration des anciens certificats Secure Boot de 2011.

👉A lire :

Le panneau emoji passe à GIPHY pour les GIF

Microsoft modifie également le fonctionnement du panneau emoji accessible avec le raccourci Windows + ..

Les GIF intégrés au panneau emoji utilisent désormais GIPHY, après l’abandon de l’API Google Tenor. À partir du 30 juin 2026, les utilisateurs devront installer les dernières mises à jour Windows pour continuer à utiliser les GIF depuis ce panneau.

Sans mise à jour récente, Windows affichera un message indiquant que le service GIF n’est pas disponible.

Le bug de la Corbeille corrigé

KB5095093 corrige aussi un problème apparu après la mise à jour de sécurité de juin 2026 KB5094126.

Dans certains cas, la boîte de confirmation affichée lors de la suppression définitive d’un fichier pouvait montrer un nom interne de la Corbeille au lieu du nom réel du fichier supprimé.

Ce bug n’entraînait pas de perte de données, mais pouvait semer la confusion chez les utilisateurs. Il est désormais corrigé avec cette mise à jour de prévisualisation.

👉Plus de détails:

Des améliorations réseau et authentification

Microsoft corrige également plusieurs problèmes liés aux environnements professionnels.

La mise à jour améliore les connexions sécurisées Netlogon entre les serveurs membres et les contrôleurs de domaine, notamment dans les environnements où les contrôleurs de domaine ont été configurés avant 2025.

Windows améliore aussi la fiabilité des connexions aux ressources réseau partagées, y compris certains accès utilisés par des applications ou des fonctions système.

Des badges de notification plus fiables dans la barre des tâches

Enfin, KB5095093 corrige plusieurs problèmes d’affichage des badges de notification dans la barre des tâches.

Les compteurs et indicateurs visuels des applications devraient désormais se mettre à jour plus correctement, ce qui permet de mieux suivre les notifications et activités récentes.

Conclusion

Avec « Restauration à un instant dans le passé », Microsoft poursuit la modernisation progressive des outils historiques de Windows. Cette nouvelle interface facilite la gestion des points de restauration et pourrait rendre la restauration système plus accessible aux utilisateurs qui souhaitent sécuriser leur PC avant une modification importante.

Suivre les actualités Windows par RSS
Recevez automatiquement les dernières actualités Windows, les mises à jour Microsoft, les correctifs de sécurité et les problèmes connus dans votre lecteur RSS favori.

👉S'abonner gratuitement au flux RSS des actualités Windows

L’article Windows 11 KB5095093 teste une nouvelle fonction « Restauration à un instant dans le passé est apparu en premier sur malekal.com.

Microsoft Defender Antivirus : impossible d’activer les protections antivirus (temps réel, cloud, falsification)

Microsoft Defender Antivirus protège Windows 11 et Windows 10 contre les virus, logiciels malveillants, ransomwares et autres menaces de sécurité. Pour assurer cette protection, plusieurs mécanismes travaillent ensemble : protection en temps réel, protection cloud, protection contre les falsifications, accès contrôlé aux dossiers et services de sécurité Windows.

Lorsque l’un des composants de Microsoft Defender Antivirus ne fonctionne plus correctement, il peut devenir impossible d’activer certaines protections. Vous pouvez alors rencontrer différents symptômes : protection en temps réel désactivée, protection cloud indisponible, message « Ce paramètre est géré par votre administrateur », état « Obtention des informations de protection », erreurs dans l’Observateur d’événements ou protections qui restent inactives malgré leur activation.

Dans ce guide, nous verrons comment identifier l’origine du problème, analyser les erreurs de Microsoft Defender Antivirus, vérifier les services de sécurité et comprendre pourquoi les protections antivirus ne peuvent plus être activées sur Windows 11/10.

Pourquoi la protection en temps réel de Microsoft Defender ne s’active plus ?

Lorsque Microsoft Defender Antivirus ne parvient plus à démarrer correctement, plusieurs mécanismes de sécurité peuvent devenir inactifs en même temps. Il est alors fréquent de constater que les boutons d’activation ne répondent plus, que certaines protections restent désactivées ou que l’application affiche des messages d’erreur.

Le tableau suivant présente les symptômes les plus fréquents ainsi que leurs causes possibles :

Symptôme constatéCause possible
Protection en temps réel désactivéeService WinDefend arrêté ou défaillant
Protection cloud inactiveServices Microsoft Defender Antivirus indisponibles
Protection contre les falsifications désactivéeMicrosoft Defender ne démarre plus correctement
Accès contrôlé aux dossiers indisponibleProtection en temps réel inactive
Boutons d’activation qui ne font rienService Defender bloqué ou corrompu
Message « Ce paramètre est géré par votre administrateur ou organisation »Stratégie de groupe, modification du registre ou service Defender défaillant
Obtention des informations de protection… en permanenceInterface Sécurité Windows incapable de communiquer avec Defender
Erreur 0x8007043c dans l’Observateur d’événementsService ou composant Microsoft Defender Antivirus en échec
Protection contre les virus et menaces inaccessibleService WinDefend ou package SecHealthUI corrompu
Toutes les protections sont grisées ou désactivéesMoteur Defender non fonctionnel

Contrairement à ce que l’on pourrait penser, ces symptômes ne signifient pas toujours que Microsoft Defender Antivirus est désinstallé. Dans de nombreux cas, l’application Sécurité Windows reste accessible, mais les services de protection ne démarrent plus correctement. Les différentes protections (temps réel, cloud, falsification, accès contrôlé aux dossiers, etc.) deviennent alors inopérantes même si leur interface reste visible.

La première étape consiste donc à identifier précisément le composant en échec en vérifiant les services Microsoft Defender Antivirus ainsi que les événements enregistrés dans Microsoft-Windows-Windows Defender/Operational.

Protection Microsoft Defender Antivirus : Ce paramètre est géré par votre administrateur

Impossible d’activer la protection en temps réel

La protection en temps réel est l’un des principaux mécanismes de sécurité de Microsoft Defender Antivirus. Elle analyse en permanence les fichiers, processus et téléchargements afin de détecter et bloquer les menaces avant qu’elles ne puissent s’exécuter sur le système.

Lorsque cette protection ne s’active plus, plusieurs comportements peuvent être observés :

  • Le bouton Protection en temps réel revient automatiquement sur Désactivé
  • L’option est grisée ou inaccessible
  • Aucun message d’erreur explicite n’est affiché
  • La page Protection contre les virus et menaces indique que votre appareil est vulnérable
  • L’application reste bloquée sur Obtention des informations de protection…

Dans la majorité des cas, ce problème est provoqué par :

CauseDescription
Service WinDefend arrêtéLe moteur antivirus ne démarre plus
Antivirus tiers installéMicrosoft Defender est désactivé automatiquement
Stratégie de groupeUne stratégie interdit l’activation de la protection
Modification du RegistreUne clé bloque le fonctionnement de Defender
Application Sécurité Windows corrompueL’interface ne communique plus avec le moteur antivirus
Fichiers système endommagésCertains composants Defender ne fonctionnent plus correctement

Si plusieurs protections sont simultanément désactivées (temps réel, cloud, protection contre les falsifications, accès contrôlé aux dossiers), le problème provient généralement du service Microsoft Defender Antivirus lui-même et non de la seule protection en temps réel.

Dans ce cas, vérifiez d’abord l’état des services Microsoft Defender ainsi que les erreurs enregistrées dans l’Observateur d’événements avant d’entreprendre une réparation plus avancée.

Protection cloud désactivée

La protection cloud de Microsoft Defender Antivirus permet de compléter l’analyse locale en interrogeant les services de sécurité Microsoft. Lorsqu’un fichier suspect est détecté, Defender peut comparer son empreinte avec les informations de sécurité les plus récentes afin d’améliorer la détection des menaces.

Lorsque cette protection est désactivée, Microsoft Defender continue généralement de fonctionner, mais il perd une partie de ses capacités de détection avancée et de réaction rapide face aux nouvelles menaces.

Les symptômes les plus fréquents sont :

  • Le bouton Protection basée sur le cloud reste désactivé
  • L’activation échoue sans message d’erreur clair
  • La protection se désactive à nouveau après quelques secondes
  • La page Protection contre les virus et menaces affiche des avertissements de sécurité

Les causes les plus courantes sont :

CauseDescription
Service Microsoft Defender défaillantLe moteur antivirus ne fonctionne plus correctement
Protection en temps réel désactivéeCertaines protections avancées deviennent indisponibles
Stratégie de groupeUne stratégie bloque les fonctionnalités cloud
Modification du RegistreLes paramètres Defender ont été désactivés
Outil d’optimisation ou de confidentialitéCertaines applications désactivent volontairement les services cloud de Microsoft
Antivirus tiersMicrosoft Defender fonctionne en mode limité ou désactivé

Lorsque la protection cloud est désactivée en même temps que la protection en temps réel ou la protection contre les falsifications, le problème provient généralement d’un dysfonctionnement plus global de Microsoft Defender Antivirus.

Dans ce cas, vérifiez l’état des services Microsoft Defender ainsi que les erreurs présentes dans Microsoft-Windows-Windows Defender/Operational afin d’identifier le composant défaillant.

Protection contre les falsifications indisponible

La protection contre les falsifications (Tamper Protection) empêche les logiciels malveillants, scripts ou utilisateurs non autorisés de modifier les paramètres de sécurité de Microsoft Defender Antivirus.

Lorsqu’elle est active, elle protège notamment :

  • Les paramètres antivirus
  • La protection en temps réel
  • La protection cloud
  • Certaines clés du Registre Windows liées à Defender
  • Les stratégies de sécurité critiques

Lorsque cette protection devient indisponible ou reste désactivée, l’application Sécurité Windows peut afficher :

  • Un message indiquant que la protection est désactivée
  • Un bouton d’activation qui ne répond pas
  • Une erreur lors de l’activation
  • L’état Obtention des informations de protection…
  • Le message Ce paramètre est géré par votre administrateur

Les causes les plus fréquentes sont :

CauseDescription
Service Microsoft Defender défaillantLe moteur antivirus ne fonctionne plus correctement
Protection en temps réel inactiveLa protection contre les falsifications devient indisponible
Stratégie de groupe ou RegistreUne configuration bloque certaines fonctionnalités Defender
Outil d’optimisation ou de confidentialitéCertains utilitaires désactivent les protections avancées
Antivirus tiersMicrosoft Defender est placé dans un état limité
Application Sécurité Windows corrompueL’interface ne parvient plus à afficher l’état réel des protections

Dans de nombreux cas, la protection contre les falsifications n’est pas la cause du problème mais une conséquence d’un dysfonctionnement plus général de Microsoft Defender Antivirus.

Si la protection en temps réel, la protection cloud et la protection contre les falsifications sont simultanément désactivées, vérifiez en priorité l’état du service WinDefend ainsi que les événements enregistrés dans Microsoft-Windows-Windows Defender/Operational.

Ce paramètre est géré par votre administrateur ou organisation

Il est fréquent que Sécurité Windows affiche le message :

« Ce paramètre est géré par votre administrateur »

à côté de la protection en temps réel, de la protection cloud ou de la protection contre les falsifications.

Dans un environnement professionnel, ce message est généralement normal. Il indique qu’une stratégie de groupe ou une politique de sécurité définie par l’administrateur contrôle certains paramètres de Microsoft Defender Antivirus.

En revanche, sur un ordinateur personnel, ce message peut apparaître alors qu’aucune stratégie d’entreprise n’a été configurée.

Les causes les plus fréquentes sont :

CauseDescription
Stratégie de groupeUn paramètre Defender est imposé par l’administrateur
Modification du RegistreUne clé désactive certaines fonctionnalités de sécurité
Outil de confidentialité ou d’optimisationDes stratégies Windows ont été appliquées automatiquement
Antivirus tiersMicrosoft Defender est partiellement désactivé
Logiciel malveillantCertaines protections Defender ont été neutralisées
Service Microsoft Defender défaillantL’application ne parvient plus à récupérer l’état réel des protections

Par exemple, vous pouvez rencontrer ce message « « Ce paramètre est géré par votre administrateur » » dans la Protection dans le Cloud ou l’envoie automatique d’un échantillon.
Inspectez alors la clé suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet

Vérifiez si les clés suivantes existent :

ValeurFonction
DisableBlockAtFirstSeenDésactive la fonctionnalité Block at First Sight qui permet à Microsoft Defender de bloquer rapidement des fichiers inconnus en s’appuyant sur le Cloud Microsoft. Lorsque la valeur est activée, Defender devient moins réactif face aux nouvelles menaces.
SubmitSamplesConsentDéfinit le comportement d’envoi automatique d’échantillons suspects vers Microsoft pour analyse. Permet de contrôler si les fichiers détectés peuvent être transmis au service Cloud de Microsoft Defender.
SpyNetReportingConfigure le niveau de participation au service Microsoft MAPS (Microsoft Active Protection Service), désormais intégré à la protection Cloud de Microsoft Defender. Cette valeur détermine si Defender peut envoyer des informations de télémétrie et de réputation afin d’améliorer la détection des menaces.
« Ce paramètre est géré par votre administrateur » dans protection contre les virus et menaces de Microsoft Defender

Désactiver des fonctionnalités ou protection de Microsoft Defender

Il est également possible que certaines stratégies Windows aient été créées par un logiciel de personnalisation, de confidentialité ou de suppression de composants Windows. Certains outils anti-bloatware ou anti-télémétrie modifient le Registre ou les stratégies de groupe afin de désactiver certaines fonctionnalités du système. Dans ce cas, Sécurité Windows peut afficher ce message même sur un ordinateur personnel qui n’est rattaché à aucun domaine d’entreprise.

Enfin, certains logiciels malveillants tentent également de désactiver Microsoft Defender Antivirus afin d’échapper à la détection. Ils peuvent modifier des stratégies, des services ou certains paramètres du Registre pour empêcher le démarrage normal des protections.

Lorsque ce message apparaît en même temps que :

  • Une protection en temps réel désactivée
  • Une protection cloud inactive
  • Une protection contre les falsifications indisponible
  • L’état Obtention des informations de protection…
  • Des boutons d’activation qui ne répondent pas

le problème provient généralement d’un dysfonctionnement de Microsoft Defender Antivirus plutôt que d’une véritable stratégie d’administration. Il est alors recommandé de vérifier les services Defender ainsi que les erreurs enregistrées dans Microsoft-Windows-Windows Defender/Operational.

👉 A lire :

Le menu « Protection contre les virus et menaces » a disparu

Dans certains cas, la rubrique Protection contre les virus et menaces disparaît totalement de l’application Sécurité Windows.

Ce comportement peut être provoqué par une stratégie de groupe ou une clé du registre configurée pour masquer certaines sections de l’interface de Microsoft Defender Antivirus.

Par exemple, la clé suivante peut entraîner la disparition de la protection antivirus :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\UX Configuration

Valeur :

UILockdown

Lorsqu’elle est activée, Windows masque certaines parties de l’interface de sécurité afin d’empêcher leur utilisation ou leur affichage.

Les causes les plus fréquentes sont :

  • Une stratégie de groupe appliquée sur l’ordinateur
  • Un script PowerShell ou un fichier REG
  • Un logiciel d’administration système
  • Un malware ayant modifié la configuration de sécurité
  • Un outil d’optimisation ou de désactivation de Microsoft Defender

Si le menu a disparu sans action volontaire de votre part, il est recommandé de vérifier les stratégies Windows et d’effectuer une analyse antivirus complète du système.

Le menu Protection protection contre les virus et menaces a disparu de Sécurité Windows

Vérifier les erreurs dans l’Observateur d’événements

Lorsque Microsoft Defender Antivirus ne parvient plus à démarrer correctement, les informations affichées dans Sécurité Windows sont parfois insuffisantes pour identifier l’origine du problème. L’Observateur d’événements permet alors d’obtenir des détails plus précis sur les erreurs rencontrées par les composants de sécurité.

Pour accéder aux journaux Defender :

  • Appuyez sur Windows + R
  • Saisissez eventvwr.msc
  • Ouvrez Observateur d’événements
  • Développez Journaux des applications et des services
  • Ouvrez Microsoft > Windows > Windows Defender
  • Cliquez sur Operational

Les événements enregistrés dans ce journal permettent souvent d’identifier rapidement le composant défaillant.

Événements fréquemment rencontrés

IDDescription
3002Une fonction de protection Microsoft Defender Antivirus n’a pas pu démarrer correctement
3004Une fonctionnalité de protection est désactivée ou indisponible
5001Le moteur Microsoft Defender Antivirus a rencontré un problème
5007Une modification de configuration Defender a été détectée
5013Une fonctionnalité de sécurité a été bloquée ou désactivée
1150 à 1151Problèmes liés à la protection en temps réel ou à l’analyse antivirus

Par exemple, l’événement 3002 est souvent observé lorsque la protection en temps réel, la protection cloud ou d’autres composants de sécurité ne parviennent plus à s’initialiser correctement.

Rechercher une erreur 0x8007043c

Dans certains cas, l’événement affiche l’erreur : 0x8007043c

Cette erreur apparaît généralement lorsque le service Microsoft Defender Antivirus ou l’un de ses composants ne démarre pas correctement.

Elle peut être accompagnée de symptômes comme :

  • Protection en temps réel désactivée
  • Protection cloud indisponible
  • Protection contre les falsifications inactive
  • Message « Ce paramètre est géré par votre administrateur »
  • État Obtention des informations de protection…

Si plusieurs événements d’erreur sont enregistrés simultanément dans le journal Windows Defender/Operational, cela indique généralement un problème plus global affectant le moteur Microsoft Defender Antivirus ou ses services associés.

L’analyse des événements constitue souvent l’étape la plus efficace pour comprendre pourquoi les protections antivirus ne peuvent plus être activées.

La fonctionnalité de protection en temps réel Antivirus Microsoft Defender a rencontré une erreur et échoué (0x8007043c)

Vérifier les services Microsoft Defender Antivirus

Lorsque Microsoft Defender Antivirus ne parvient plus à démarrer correctement, plusieurs services de sécurité peuvent être arrêtés ou rencontrer des erreurs.

Pour vérifier leur état :

  • Appuyez sur Windows + R
  • Saisissez services.msc
  • Recherchez les services suivants
ServiceNom système
Antivirus Microsoft DefenderWinDefend
Service d’inspection réseauWdNisSvc
Centre de sécurité Windowswscsvc
Pare-feu Windows Defendermpssvc
Web Threat Defensewebthreatdefsvc

Le service Web Threat Defense dépend lui-même du composant WTD qui charge le pilote wtd.sys.

Si l’un de ces services est arrêté ou ne démarre pas correctement, certaines protections de Microsoft Defender Antivirus peuvent devenir indisponibles.

Toutefois, ne modifiez pas leur configuration sans avoir identifié l’origine du problème. L’objectif de cette vérification est avant tout de confirmer qu’un dysfonctionnement affecte les composants de sécurité.

Vous pouvez vérifier l’état des principaux services de sécurité Microsoft Defender avec la commande PowerShell suivante :
Get-Service WinDefend,WdNisSvc,wscsvc,mpssvc,webthreatdefsvc | Select-Object Name,Status,StartType

Exemple de résultat :

Name             Status   StartType
----             ------   ---------
WinDefend        Running  Automatic
WdNisSvc         Running  Manual
wscsvc           Running  Automatic
mpssvc           Running  Automatic
webthreatdefsvc  Running  Automatic

Les services essentiels doivent normalement être dans l’état Running (En cours d’exécution). Si l’un d’eux est arrêté, désactivé ou absent, cela peut expliquer pourquoi certaines protections Microsoft Defender Antivirus ne peuvent plus être activées.

Vérifier qu’un logiciel malveillant n’a pas désactivé Microsoft Defender

Certains logiciels malveillants tentent de neutraliser Microsoft Defender Antivirus afin d’échapper à la détection. Ils peuvent notamment :

  • Désactiver certains services Defender
  • Modifier des stratégies de groupe
  • Modifier le Registre Windows
  • Désactiver la protection en temps réel
  • Empêcher l’activation des protections cloud ou contre les falsifications

👉 A lire :

Si vous suspectez une infection, essayez d’effectuer une analyse avec Malwarebytes Anti-Malware (MBAM). Lorsqu’un logiciel malveillant désactive Microsoft Defender Antivirus, il peut également empêcher l’installation ou le démarrage des outils de sécurité. Si Malwarebytes refuse de s’installer, se ferme immédiatement ou ne fonctionne pas correctement, cela peut être un signe supplémentaire d’infection.
👉Dans ce cas, consultez notre guide de désinfection ou demandez de l’aide sur le forum Malekal :

Réparer Microsoft Defender Antivirus

Si les protections antivirus restent désactivées après les vérifications précédentes, cela indique généralement un problème plus profond affectant Microsoft Defender Antivirus ou ses composants de sécurité.

Les causes les plus fréquentes sont :

  • Une application Sécurité Windows corrompue
  • Des services Microsoft Defender défaillants
  • Un antivirus tiers mal désinstallé
  • Des stratégies ou modifications du Registre bloquant Defender
  • Des composants système endommagés

La résolution du problème dépend de son origine. Les méthodes de réparation peuvent inclure :

  • La réinitialisation de l’application Sécurité Windows
  • La réinstallation de Microsoft Defender Antivirus
  • La suppression des stratégies bloquantes
  • La réparation des composants Windows
  • La réinstallation des packages de sécurité

Comme ces opérations nécessitent plusieurs manipulations détaillées, nous les avons regroupées dans un guide dédié.

👉 Consultez notre guide complet :

Si les protections antivirus restent désactivées malgré toutes les réparations, il peut être nécessaire d’effectuer une réparation de Windows sans perte de données afin de restaurer l’ensemble des composants de sécurité du système.

L’article Microsoft Defender Antivirus : impossible d’activer les protections antivirus (temps réel, cloud, falsification) est apparu en premier sur malekal.com.

Microsoft force désormais l’installation de Windows 11 25H2 avant l’arrivée de 26H2

Alors que Microsoft prépare activement Windows 11 26H2 pour une sortie à l’automne 2026, l’entreprise a commencé à déployer automatiquement Windows 11 25H2 sur certains PC encore sous des versions plus anciennes du système.

Cette stratégie n’a rien de nouveau chez Microsoft, mais elle confirme que Windows 11 25H2 devient désormais la version de référence avant l’arrivée de Windows 11 26H2.

Les utilisateurs concernés peuvent ainsi voir Windows Update proposer automatiquement la mise à jour vers Windows 11 25H2, même sans avoir lancé manuellement le processus.

Quels PC sont concernés ?

Microsoft cible principalement les appareils exécutant une version de Windows 11 qui approche de sa fin de support.

Comme lors des précédents déploiements automatiques, l’objectif est d’éviter que des PC continuent à fonctionner avec une version qui ne recevra bientôt plus de correctifs de sécurité.

Cette approche concerne principalement :

  • Les éditions Familiale et Professionnelle de Windows 11
  • Les appareils gérés par Windows Update
  • Les PC arrivant à proximité de leur date de fin de support

Les entreprises disposant d’outils de gestion centralisée conservent généralement le contrôle du déploiement.

Pourquoi Microsoft pousse Windows 11 25H2 ?

Microsoft prépare progressivement l’écosystème Windows à l’arrivée de Windows 11 26H2.

L’entreprise a déjà confirmé que :

partagent la même base technique et le même noyau Windows (Germanium).

Grâce à cette architecture commune, la migration vers Windows 11 26H2 devrait être particulièrement rapide pour les utilisateurs déjà présents sur Windows 11 25H2.

Microsoft cherche donc à placer le plus grand nombre possible d’appareils sur cette base commune avant la prochaine mise à jour annuelle.

Une mise à niveau beaucoup plus rapide

Contrairement aux grandes mises à jour Windows du passé, Windows 11 25H2 s’installe à l’aide d’un petit package d’activation.

La plupart des composants sont déjà présents dans Windows 11 24H2 et sont simplement activés lors de la mise à niveau.

Cette méthode permet :

  • Une installation plus rapide
  • Un téléchargement plus léger
  • Moins de risques d’incompatibilité
  • Un redémarrage plus court

Microsoft utilisera la même approche pour Windows 11 26H2.

👉Pour mieux comprendre, lire :

Quel lien avec Windows 11 26H2 ?

Cette accélération du déploiement intervient quelques jours seulement après la confirmation officielle de Windows 11 26H2.

Microsoft a indiqué que la future version :

  • Arrivera à l’automne 2026
  • Ne nécessitera pas de nouveau matériel
  • Sera compatible avec les PC déjà capables d’exécuter Windows 11 25H2
  • Utilisera la même base technique que 24H2 et 25H2

Les utilisateurs qui passeront aujourd’hui à Windows 11 25H2 devraient donc bénéficier d’une transition particulièrement simple vers Windows 11 26H2 lorsqu’elle sera disponible.

Où est passée Windows 11 26H1 ?

Cette annonce soulève également une question fréquente : pourquoi Microsoft passe-t-il directement à Windows 11 26H2 ?

L’entreprise a confirmé l’existence d’une version interne baptisée Windows 11 26H1. Toutefois, cette branche repose sur un noyau Windows différent et n’est pas destinée au grand public.

Les utilisateurs de Windows 11 classiques passeront donc directement de 24H2 ou 25H2 vers 26H2.

👉Plus de détails :

Historique des versions de Windows 11 (21H2 à 26H2)

Peut-on bloquer la mise à niveau ?

Les utilisateurs des éditions Familiale disposent de peu de possibilités pour empêcher définitivement ce type de mise à jour lorsque leur version approche de la fin du support.

Les éditions Professionnelle et Entreprise offrent davantage d’options grâce aux stratégies de groupe, à Windows Update for Business ou aux outils de gestion informatique.

Pour la majorité des utilisateurs, Microsoft recommande toutefois d’accepter la mise à niveau afin de continuer à recevoir les mises à jour de sécurité et les futures évolutions de Windows 11.

Conclusion

Le déploiement automatique de Windows 11 25H2 montre que Microsoft entre désormais dans la dernière phase de préparation avant la sortie de Windows 11 26H2.

En poussant davantage de PC vers 25H2, l’entreprise simplifie la future migration vers 26H2 et réduit le nombre d’appareils exécutant des versions proches de leur fin de support.

Pour les utilisateurs, cette mise à jour constitue donc avant tout une étape intermédiaire vers la prochaine grande version de Windows 11 attendue à l’automne 2026.

Suivre les actualités Windows par RSS
Recevez automatiquement les dernières actualités Windows, les mises à jour Microsoft, les correctifs de sécurité et les problèmes connus dans votre lecteur RSS favori.

👉S'abonner gratuitement au flux RSS des actualités Windows

L’article Microsoft force désormais l’installation de Windows 11 25H2 avant l’arrivée de 26H2 est apparu en premier sur malekal.com.

Windows 11 26H2 veut mieux diagnostiquer les écrans noirs et les crashs GPU

Microsoft travaille sur une amélioration de Windows 11 destinée à mieux diagnostiquer les écrans noirs, gels d’affichage et crashs de pilotes graphiques affectant les cartes AMD, NVIDIA et Intel.

Grâce à une nouvelle fonctionnalité baptisée DirectX Dump Files (DDF), Windows 11 26H2 pourra enregistrer davantage d’informations lors d’un incident graphique afin d’aider les développeurs et fabricants de pilotes à identifier plus rapidement l’origine des problèmes.

Cette évolution concerne la gestion des GPU connectés et déconnectés à chaud (Hotplug), une fonctionnalité de plus en plus importante avec la généralisation des stations d’accueil Thunderbolt, des GPU externes (eGPU) et des PC portables professionnels.

Selon les dernières versions Insider de Windows 11, Microsoft prépare un nouveau mécanisme capable d’améliorer considérablement la détection et la gestion des cartes graphiques lorsque leur état change pendant que le système est en fonctionnement.

Un problème ancien de Windows

Aujourd’hui, Windows ne gère pas toujours correctement certains changements liés aux cartes graphiques.

Les utilisateurs peuvent notamment rencontrer :

  • Des écrans noirs temporaires
  • Une mauvaise détection du GPU actif
  • Des problèmes après la sortie de veille
  • Des dysfonctionnements lors du branchement d’une station d’accueil
  • Une gestion imparfaite des GPU externes (eGPU)

Ces problèmes peuvent toucher aussi bien les cartes AMD que NVIDIA ou Intel puisqu’ils sont liés à la manière dont Windows gère les périphériques graphiques.

Une correction d’un problème de timeout (TDR)

Microsoft travaille sur un problème qui touche depuis longtemps les cartes graphiques AMD, NVIDIA et Intel : les erreurs de type TDR (Timeout Detection and Recovery).

Ces incidents se manifestent généralement par :

Les joueurs et utilisateurs de logiciels 3D connaissent souvent ce type de problème : l’écran devient noir pendant quelques secondes, le pilote graphique redémarre et Windows affiche un message indiquant que le pilote d’affichage a cessé de répondre avant d’être récupéré automatiquement.

Même si Windows 11 24H2 et 25H2 ont déjà introduit plusieurs améliorations via le modèle de pilotes graphiques WDDM 3.2, Microsoft estime que les outils de diagnostic restent insuffisants.

Pour résoudre ce problème, Windows 11 26H2 introduira une nouvelle fonctionnalité DirectX baptisée DirectX Dump Files (DDF).

Le principe est similaire aux fichiers de vidage mémoire (Memory Dump) utilisés lors des écrans bleus. Lorsqu’un crash graphique ou un événement TDR survient, Windows pourra générer automatiquement un fichier .DXDMP contenant un instantané complet de l’état du GPU au moment du problème.

Ces fichiers incluront notamment :

  • Les informations matérielles du GPU
  • La version du pilote graphique
  • Les informations DirectX
  • L’état de Windows
  • Les données de l’application concernée
  • Les informations relatives au crash ou au gel de l’affichage

Microsoft espère ainsi permettre aux développeurs de jeux, aux fabricants de pilotes graphiques et aux éditeurs de logiciels de diagnostiquer beaucoup plus facilement les problèmes affectant les cartes AMD, NVIDIA et Intel.

Même si cette nouveauté ne supprimera pas les crashs graphiques, elle devrait considérablement accélérer leur identification et leur correction.

Une nouvelle gestion du « GPU Hotplug »

Microsoft travaille actuellement sur une nouvelle fonctionnalité baptisée GPU Hotplug.

L’objectif est de permettre à Windows 11 de mieux gérer l’ajout ou la suppression d’une carte graphique sans nécessiter de redémarrage ou de réinitialisation complète du pilote graphique.

Cette amélioration devrait être particulièrement utile pour :

  • Les stations d’accueil Thunderbolt
  • Les boîtiers eGPU
  • Les PC portables professionnels multi-écrans
  • Les configurations hybrides avec plusieurs GPU

Windows pourrait ainsi réagir plus rapidement lorsqu’un GPU devient disponible ou lorsqu’il est déconnecté.

Un avantage pour AMD, NVIDIA et Intel

L’un des points les plus intéressants est que cette amélioration ne semble pas dépendre d’un constructeur particulier.

Contrairement à certaines optimisations spécifiques aux pilotes graphiques, la nouvelle gestion du GPU Hotplug est intégrée directement dans Windows.

Les utilisateurs de cartes :

  • AMD Radeon
  • NVIDIA GeForce et RTX
  • Intel Arc et GPU intégrés Intel

pourraient donc tous bénéficier de cette évolution.

Microsoft cherche ainsi à améliorer la stabilité globale de Windows lorsqu’un changement matériel affecte le sous-système graphique.

Une fonctionnalité déjà visible dans les versions Insider

Les premières références à cette amélioration ont été découvertes dans les versions Insider de Windows 11.

Microsoft n’a pas encore communiqué officiellement sur sa date de déploiement, mais sa présence dans les builds de test montre que le développement est déjà bien avancé.

Comme souvent avec les fonctionnalités Insider, il est possible que certains détails évoluent avant une disponibilité générale.

Une nouveauté qui pourrait arriver avec Windows 11 26H2

Même si Microsoft n’a confirmé aucun calendrier précis, cette amélioration pourrait faire partie des nouveautés attendues dans Windows 11 26H2.

L’entreprise travaille actuellement sur plusieurs optimisations du sous-système graphique, notamment pour les PC portables, les stations d’accueil USB4 et Thunderbolt ainsi que les configurations utilisant plusieurs écrans.

La nouvelle gestion du GPU Hotplug s’inscrit parfaitement dans cette stratégie visant à améliorer l’expérience utilisateur sur les configurations modernes.

Pourquoi cette amélioration est importante

Pour de nombreux utilisateurs, le problème peut sembler anecdotique. Pourtant, avec la montée en puissance des PC portables professionnels, des docks USB4 et des GPU externes, la gestion dynamique des cartes graphiques devient un enjeu important.

Une meilleure prise en charge du GPU Hotplug pourrait réduire les problèmes d’affichage, améliorer la stabilité après une sortie de veille et limiter certains bugs liés aux changements de configuration graphique.

Si Microsoft poursuit son développement comme prévu, Windows 11 pourrait enfin disposer d’une gestion des GPU plus moderne et mieux adaptée aux usages actuels.

Conclusion

Même si Windows 11 26H2 ne supprimera pas à lui seul les écrans noirs et les crashs graphiques, Microsoft prépare des outils capables d’améliorer considérablement leur diagnostic.

Grâce aux nouveaux DirectX Dump Files, les fabricants de pilotes et les développeurs disposeront de davantage d’informations pour identifier l’origine des erreurs TDR et des gels d’affichage qui touchent encore les cartes AMD, NVIDIA et Intel.

Cette évolution pourrait permettre des correctifs plus rapides et une meilleure stabilité graphique dans les futures versions de Windows 11.

Tous les derniers articles Windows 11
Recevez automatiquement les dernières actualités Windows, les mises à jour Microsoft, les correctifs de sécurité et les problèmes connus dans votre lecteur RSS favori.

👉Suivez tous les artices Windows 11 avec le flux RSS

L’article Windows 11 26H2 veut mieux diagnostiquer les écrans noirs et les crashs GPU est apparu en premier sur malekal.com.

Windows 11 26H2 se précise : Microsoft confirme une sortie à l’automne 2026

Microsoft a commencé à confirmer officiellement plusieurs détails concernant Windows 11 26H2, la prochaine grande mise à jour annuelle de son système d’exploitation attendue pour l’automne 2026.

Même si l’entreprise n’a pas encore annoncé publiquement toutes les nouveautés, plusieurs indices découverts dans les dernières versions Insider Preview montrent que le développement de Windows 11 26H2 est déjà bien avancé. Microsoft a également confirmé que la mise à jour reposera sur la même plateforme de base que Windows 11 24H2 et 25H2.

Cette approche devrait permettre un déploiement plus rapide et limiter les problèmes de compatibilité lors de la mise à niveau.

Une sortie prévue pour l’automne 2026

Selon les informations découvertes dans les dernières versions Insider, Microsoft prépare actuellement Windows 11 26H2 pour une disponibilité générale à l’automne 2026.

Cette échéance correspond au rythme adopté par Microsoft depuis plusieurs années avec une mise à jour majeure par an :

  • Windows 11 23H2 en 2023
  • Windows 11 24H2 en 2024
  • Windows 11 25H2 en 2025
  • Windows 11 26H2 attendu en 2026

Microsoft n’a pas encore communiqué de date précise, mais un lancement entre septembre et novembre paraît le scénario le plus probable.

Les PC compatibles avec Windows 11 25H2 le seront aussi avec 26H2

L’une des informations les plus importantes concerne la compatibilité matérielle.

Microsoft confirme que les appareils capables d’exécuter Windows 11 25H2 pourront également recevoir Windows 11 26H2 sans nouvelle exigence matérielle.

Les prérequis restent donc inchangés :

  • Processeur compatible Windows 11
  • TPM 2.0
  • Secure Boot
  • 4 Go de mémoire minimum
  • 64 Go d’espace disque

Les utilisateurs n’auront donc pas à remplacer leur matériel pour passer à cette nouvelle version.

Une mise à jour rapide comme Windows 11 25H2

Windows 11 26H2 devrait utiliser la même stratégie que Windows 11 25H2.

Plutôt que de déployer une nouvelle plateforme complète, Microsoft active progressivement les nouvelles fonctionnalités déjà présentes dans les builds de Windows 11 grâce à un petit package d’activation.

Cette méthode présente plusieurs avantages :

  • Installation plus rapide
  • Téléchargement plus léger
  • Risque réduit d’incompatibilités
  • Déploiement simplifié pour les entreprises

Les utilisateurs de Windows 11 25H2 pourraient ainsi bénéficier d’une mise à niveau comparable à une mise à jour cumulative classique.

Comprendre la mise à jour rapide vers Windows 11 26h1

Pourquoi Windows 11 26H1 n’est pas destiné au grand public

En découvrant les premières informations sur Windows 11 26H2, certains utilisateurs pourraient être surpris de constater l’absence d’une version 26H1 destinée au grand public.

Microsoft a pourtant bien développé une version baptisée Windows 11 26H1, mais celle-ci est réservée à un usage très spécifique. Contrairement aux versions 24H2, 25H2 et 26H2 qui partagent la même base technique, Windows 11 26H1 repose sur un noyau Windows différent.

Cette version sert principalement de plateforme de développement pour certaines fonctionnalités et technologies internes de Microsoft. Elle est notamment utilisée dans certains canaux Insider et pour tester des évolutions qui ne sont pas encore destinées à une diffusion générale.

Microsoft confirme d’ailleurs qu’un appareil exécutant Windows 11 26H1 ne pourra pas être mis à niveau directement vers Windows 11 26H2. Les utilisateurs concernés devront suivre un chemin de migration différent vers une future version de Windows.

Pour les particuliers et les entreprises utilisant les versions classiques de Windows 11, cela n’a toutefois aucun impact. Les PC sous Windows 11 24H2 ou 25H2 recevront normalement Windows 11 26H2 lors de sa disponibilité à l’automne 2026.

En pratique, Windows 11 26H1 doit être considéré comme une branche technique distincte, tandis que Windows 11 26H2 constitue la véritable mise à jour annuelle destinée au grand public.

  • Windows 11 26H1 existe bien.
  • Il utilise un noyau Windows différent.
  • Il n’est pas destiné au grand public.
  • Les PC sous Windows 11 24H2 et 25H2 passeront directement à Windows 11 26H2.
  • Aucune nouvelle exigence matérielle n’est prévue pour 26H2.

👉A lire :

Historique des versions de Windows 11

Microsoft poursuit sa stratégie basée sur l’IA

Même si Microsoft n’a pas encore dévoilé la liste complète des nouveautés de Windows 11 26H2, tout indique que l’intelligence artificielle continuera d’occuper une place centrale.

Depuis l’arrivée des PC Copilot+, Microsoft multiplie les fonctionnalités basées sur l’IA :

  • Recall
  • Click to Do
  • Recherche Windows améliorée
  • Actions intelligentes dans l’Explorateur de fichiers
  • Optimisations pour les NPU

Windows 11 26H2 devrait poursuivre cette orientation avec de nouvelles fonctionnalités destinées aux PC équipés d’un processeur neuronal (NPU).

👉A consulter :

Un développement déjà visible dans les versions Insider

Plusieurs références à Windows 11 26H2 ont été découvertes dans les versions Insider récemment publiées par Microsoft.

Ces éléments montrent notamment que Microsoft travaille déjà sur :

  • Les mécanismes de mise à niveau
  • Les règles de compatibilité
  • Les stratégies de déploiement
  • Le cycle de support de la future version

Cela confirme que la prochaine version annuelle de Windows 11 est désormais entrée dans sa phase active de développement.

Que se passera-t-il pour Windows 11 24H2 et 25H2 ?

Comme pour les versions précédentes, Microsoft continuera à prendre en charge Windows 11 24H2 et 25H2 pendant plusieurs années après la sortie de Windows 11 26H2.

Les utilisateurs ne seront donc pas obligés de migrer immédiatement vers la nouvelle version.

Toutefois, Microsoft devrait progressivement concentrer les nouvelles fonctionnalités sur 26H2, tandis que les versions précédentes continueront principalement à recevoir des correctifs de sécurité et de stabilité.

Conclusion

Les premiers détails concernant Windows 11 26H2 confirment la stratégie adoptée par Microsoft depuis plusieurs années : une mise à jour annuelle, des exigences matérielles inchangées et un déploiement simplifié grâce à un package d’activation.

Même si les nouveautés restent encore largement inconnues, Microsoft confirme déjà que les PC compatibles avec Windows 11 25H2 pourront passer à Windows 11 26H2 sans modification matérielle. Une bonne nouvelle pour les utilisateurs qui craignaient de nouvelles restrictions de compatibilité.

Suivre les actualités Windows par RSS
Recevez automatiquement les dernières actualités Windows, les mises à jour Microsoft, les correctifs de sécurité et les problèmes connus dans votre lecteur RSS favori.

👉S'abonner gratuitement au flux RSS des actualités Windows

L’article Windows 11 26H2 se précise : Microsoft confirme une sortie à l’automne 2026 est apparu en premier sur malekal.com.

❌