Le 23 juillet 2025, Microsoft a publié la mise à jour facultative KB5062663 (build 22631.5699 pour 23H2) via le canal Preview. Principalement axée sur la stabilité, elle corrige plusieurs dysfonctionnements liés à la barre des tâches, au système de fichiers ReFS et met en garde contre l’expiration imminente du certificat Secure Boot utilisé par de nombreux PC.
Selon Windows Latest, l’un des premiers correctifs porte sur les icônes disparues dans la barre des tâches, notamment celles liées aux fonctionnalités d’accessibilité : ces raccourcis invisibles après certaines réinstallations ou mises à jour sont désormais restaurés à leur emplacement habituels. Cette correction améliore l’ergonomie quotidienne et limite les manipulations manuelles.
Un volet important concerne le système de fichiers ReFS. KB5062663 résout un bug provoquant une consommation excessive de mémoire lors de sauvegardes de gros volumes, parfois jusqu’au blocage complet du système, améliorant ainsi la fiabilité des opérations de sauvegarde. La recherche de fichiers PDF dans des dossiers partagés est également corrigée, y compris les erreurs erronées « No More Files » ou des blocages lors de l’impression virtuelle en PDF.
Parmi les correctifs ciblés, la mise à jour rétablit la découverte correcte des imprimantes IPP, en affichant désormais le nom complet de chaque appareil. Pour les utilisateurs professionnels, le support des interactions réseau est renforcé en résorbant les lenteurs rencontrées sur les périphériques cellulaires après une sortie d’hibernation.
Au-delà de ces optimisations, Microsoft a profité de cette release pour rappeler un point crucial : les certificats Secure Boot présents sur la majorité des appareils Windows expireront à partir de juin 2026. Bien que cette mise à jour ne remplace pas directement ces certificats, elle insiste sur la nécessité de maintenir le système à jour et de vérifier la gestion de Secure Boot, afin d’éviter des interruptions de démarrage ou des failles potentielles au niveau du firmware.
Selon la documentation Microsoft, ces certificats, datant pour la plupart de 2011, doivent être remplacés par des versions 2023. Cette transition est censée se faire automatiquement via Windows Update, à condition que le système active la collecte de données diagnostiques et que secure boot reste activé. Toutefois, l’absence de messages clairs dans l’interface utilisateur rend la démarche moins transparente, surtout pour les utilisateurs non professionnels.
Cette mise à jour ne rajoute pas de nouvelles fonctionnalités : elle corrige des bugs connus, améliore la fiabilité et prévient un enjeu stratégique pour la sécurité à long terme. KB5062663 reste en téléchargement manuel via Windows Update (section « Mises à jour facultatives ») ou via le Catalogue Microsoft Update, en version 64-bit ou ARM64.
En résumé
La build 22631.5699 se concentre sur la résilience système : la restauration de la barre des tâches, la réparation du ReFS et une meilleure gestion des périphériques réseau et d’impression. Elle rappelle surtout l’imminence de l’expiration des certificats Secure Boot en juin 2026, un sujet qu’il ne faut pas négliger pour garantir un démarrage sécurisé et un système à jour. Les utilisateurs concernés devront surveiller l’arrivée des certificats 2023 et s’assurer que Secure Boot reste actif.
L’écran noir au démarrage est l’un des problèmes les plus frustrants sous Windows 11 ou Windows 10. Votre PC semble s’allumer, mais rien ne s’affiche ? Vous êtes bloqué sur un écran noir sans message, ou avec une mention comme “No Input” ou “Cable Not Connected” ? Ou encore, Windows démarre, mais au lieu d’afficher le bureau, vous vous retrouvez face à un écran noir, parfois avec seulement le curseur visible ?
Ce type de dysfonctionnement peut avoir plusieurs causes : un souci matériel (câble mal branché, carte graphique défectueuse, RAM défaillante), un problème logiciel (pilote graphique corrompu, bug dans le système), voire un conflit avec une mise à jour de Windows.
Ce guide complet vous aide à diagnostiquer et corriger tous les cas possibles d’écran noir sur Windows 11 ou 10. Il est structuré en deux grandes parties :
L’écran noir dès le démarrage du PC : aucun logo, aucun son de démarrage, écran totalement noir ou message “No Input” / “Cable Not Connected”. Cela indique généralement un problème matériel ou d’affichage avant le chargement de Windows.
L’écran noir au démarrage de Windows : le PC s’allume, vous voyez peut-être le logo Windows ou le BIOS, mais au moment de charger le bureau, plus rien. Cela relève le plus souvent d’un problème logiciel ou de pilote graphique.
Suivez les étapes dans l’ordre pour identifier la cause exacte et appliquer la solution la plus adaptée à votre situation.
Écran noir avant le démarrage de Windows (problèmes matériels)
Les sources probables d’un écran noir au démarrage du PC :
L’écran ne fonctionne plus et ne détecte plus la carte vidéo
Le câble PC / Écran est abîmé
La carte graphique est endommagée. Cela peut simplement venir de la sortie vidéo ou la carte graphique est totalement morte
Vous venez de changer de carte graphique pour une plus puissante et votre bloc d’alimentation est sous-dimensionnée
La carte mère ou le PC en général comporte un problème matériel suite à une surtension, choc, etc.
Nouveau matériel installé (carte graphique, RAM, etc.)
L’installation récente d’un composant peut provoquer un écran noir si celui-ci est mal connecté, incompatible, ou trop gourmand en énergie.
Carte graphique : assurez-vous qu’elle est correctement enfichée dans le port PCIe et que les connecteurs d’alimentation sont bien branchés. Les cartes graphiques modernes (RTX, Radeon RX) requièrent souvent une alimentation de 550 W à 750 W au minimum. Un bloc insuffisant ou vieillissant peut empêcher le système de démarrer.
RAM : une barrette mal insérée ou défectueuse peut bloquer le démarrage. Essayez de retirer les barrettes, de les tester une à une ou de revenir à l’ancienne configuration si le problème est apparu juste après l’ajout.
Autres composants : un SSD mal branché, un boîtier USB défectueux, ou un périphérique conflictuel peuvent aussi provoquer un blocage avant le POST (Power On Self Test).
Voici les points importants à prendre en compte :
Vérifier la compatibilité du matériel : lorsque vous installez un nouveau composant (carte graphique, RAM, SSD, etc.), il est essentiel de s’assurer qu’il est pleinement compatible avec votre configuration actuelle. Un matériel incompatible peut entraîner un écran noir dès l’allumage du PC ou provoquer des plantages pendant le POST.
S’assurer que l’alimentation est suffisante : une alimentation insuffisante est une cause fréquente d’écran noir au démarrage, notamment après l’installation d’une nouvelle carte graphique ou d’un processeur plus performant. Si votre alimentation ne fournit pas assez de puissance, le PC peut rester bloqué sans affichage, redémarrer en boucle ou ne pas passer le POST.
Bien réinsérer les composants (RAM, GPU, câbles d’alimentation PCIe) : une mauvaise connexion physique est l’une des causes les plus simples, mais aussi les plus fréquentes d’écran noir. Lors d’un montage ou d’une mise à jour matériels, il suffit d’un composant mal enfoncé ou d’un câble mal branché pour empêcher le démarrage du PC ou bloquer l’affichage.
En cas de doute, revenez à la configuration matérielle d’origine et testez étape par étape.
Vérifier l’alimentation (secteur, batterie, hard reset)
Vous avez probablement déjà vérifié, mais encore une fois, vérifiez l’alimentation de votre écran et ordinateur. Sur l’écran, un voyant ou LED bleu doit s’allumer pour indiquer que ce dernier est bien sous tension.
Si tous les voyants semblent corrects, mais que rien ne s’affiche, il se peut que l’ordinateur soit en veille et que ce dernier ne se réveille pas. Dans le cas, tentez un hard/Power reset comme expliqué dans le lien suivant :
Enfin, si vous avez plusieurs écrans, n’hésitez pas à tester votre ordinateur dessus.
Vérifier les câbles et sorties vidéo
Une autre vérification simple est de s’assurer que les câbles entre l’ordinateur et l’écran soient bien branchés. Vous pouvez avoir deux cartes vidéos, une carte vidéo intégrée à la carte mère et une carte graphique dédiée. Windows est censé désactiver la carte vidéo intégrée à la carte mère, mais parfois cela n’est pas le cas. N’hésitez pas à tester votre écran sur les deux cartes vidéos ou avec un autre câble notamment entre a sortie VGA, DVI et HDMI.
Vérifiez aussi la sortie du moniteur, certains ont des sorties VGA, HDMI, DVI. Si vous avez la possibilité de toutes les tester, n’hésitez pas. Des boutons sous l’écran permettent de passer d’une sortie à l’autre qui s’affichent alors sur l’écran. Vérifiez bien que vous êtes sur la bonne sortie écran.
Pour les PC portables, la nappe écran s’endommage souvent surtout après un choc ou une chute. Cependant, dans ces cas-là, il faudra la remplacer.
Tester les composants internes (GPU, RAM…)
La dernière chose à vérifier est le matériel de l’ordinateur.
Dans un premier temps, débranchez tous les périphériques (clavier, souris, imprimantes, scanner, etc). En effet, parfois un problème sur un autre périphérique peut provoquer un écran noir.
N’hésitez pas à ouvrir l’unité centrale pour vérifier l’alimentation de la carte mère
Testez le démarrage avec les composants hardware minimum. Le but ici est de supprimer autant de matériel que possible tout en conservant la capacité de votre PC à s’allumer. À savoir :
Processeur
Carte graphique
Une barrette de mémoire
Pour les utilisateurs à l’aise avec le matériel, vérifiez que le ventilateur de la carte vidéo tourne et que les barrettes de mémoire sont bien connectées à la carte mère. Tentez aussi de démarrer l’ordinateur en débranchant le disque dur.
La carte graphique est souvent le composant matériel source d’écran noir à l’allumage du PC. En effet, la carte vidéo est en charge de l’affichage, si celle-ci est endommagée alors, vous n’aurez aucune image à l’écran. Le problème peut se situer sur la sortie, il arrive, par exemple, que la sortie VGA ne fonctionne plus, mais le HDMI oui. Si vous avez la possibilité de tester avec une seconde carte graphique, faites le test.
Tester ou remplacer le bloc d’alimentation
Testez votre alimentation avec un multimètre ou un Power Supply Tester. Ce n’est pas parce que les ventilateurs et les lumières de votre ordinateur fonctionnent que le bloc d’alimentation fonctionne correctement. Le bloc d’alimentation a tendance à causer plus de problèmes que tout autre matériel et est souvent la cause du fonctionnement sélectif ou intermittent des composants d’un ordinateur.
Remplacez votre bloc d’alimentation immédiatement s’il échoue à l’un des tests que vous effectuez.
Vérifier la carte mère ou le BIOS
Des problèmes sur la carte mère peuvent provoquer des démarrages impossibles, des périphériques non détectés, ou des plantages aléatoires. Voici les opérations de vérification qui peuvent être réalisées :
Vérifiez les condensateurs : Des condensateurs gonflés ou endommagés peuvent indiquer que la carte mère est défectueuse.
Retirez et réinsérez les composants (RAM, carte graphique, etc.) pour vous assurer qu’ils sont bien connectés.
Vous pouvez aussi utiliser un testeur de carte mère. C’est un appareil utilisé pour diagnostiquer les problèmes matériels d’une carte mère d’ordinateur. Il permet de vérifier si la carte mère fonctionne correctement ou s’il y a des défaillances, comme des composants défectueux, des circuits endommagés ou des problèmes de connexion.
Si votre ordinateur ne montre pas les signes de vie ci-dessus, il y a probablement un problème avec votre ordinateur, pas votre moniteur. Les problèmes d’ordinateur portable sont difficiles à diagnostiquer. Vous devrez donc probablement envoyer votre ordinateur en réparation.
Les problèmes de bureau peuvent être diagnostiqués à l’aide d’un vérificateur de code POST (Power-On Self-Test) que vous pouvez acheter. Toutefois, son utilisation requiert quelques connaissances.
Écran noir au démarrage de Windows (causes logicielles)
Sélectionner la bonne sortie vidéo
Un écran noir total, l’écran indique ne plus recevoir de flux et un message No Input ou Cable Not Connected, plusieurs choses sont à tenter. Si plusieurs cartes graphiques sont présentes, tentez de passer sur la carte vidéo intégrée à la carte mère, comme expliqué dans le paragraphe précédent.
Une mauvaise résolution non supportée par l’écran peut provoquer un écran noir, dans ce cas, deux solutions sont possibles :
brancher l’ordinateur à un écran plus récent qui supporte la résolution écran
Une autre source peut être une mauvaise configuration de la sortie écran de Windows, après l’utilisation de deux écrans ou d’un rétroprojecteur. Sur les portables, il existe des touches raccourcies pour changer la sortie écran. En général, il s’agit de la combinaison de touches FN +
F7.
Forcer le chargement du bureau avec le gestionnaire de tâches
Sur l’écran noir, vous devez vérifier si le gestionnaire de tâches est accessible. Ce dernier peut vous permettre de démarrer de nouvelles applications, donnant ainsi partiellement la main sur l’ordinateur.
Appuyez sur les touches CTRL+ALT+Suppr, si un menu s’ouvre choisissez gestionnaire de tâches.
Depuis l’onglet processus, si vous voyez un processus runonce ou runonce32, tuez le avec le bouton fin de tâches.
Cela peut permettre au bureau de Windows de se charger.
Sinon vous pouvez tenter de lancer de nouvelles commandes. Depuis le menu Fichier se trouve l’option Exécuter une nouvelle tâche qui vous permet de lancer des commandes.
Tentez de lancer successivement les commandes suivantes pour vérifier si le bureau s’ouvre : userinit.exe, winlogon.exe ou explorer.exe
Parfois, c’est plus complexe, car un logiciel malveillant a modifié des clés du registre Windows. Une mauvaise configuration peut alors empêcher le démarrage de Windows, les clés à surveiller :
la clef Userinit
la clef Shell qui doit contenu le shell Windows à savoir explorer.exe
Vérifiez les clés suivantes à l’aide de l’éditeur du registre de Windows. explorer.exe doit être présents dans les deux clés Shell suivantes :
Saisissez regedit dans la fenêtre exécuter et cliquez sur OK
Déroulez à gauche en cliquant sur les + : HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Winlogon
A droite, si une clé « Shell » est présente, supprimez la
Enfin recommencez avec l’arborescence suivante HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, à nouveau si une clé Shell est présente supprimez la.
Redémarrez l’ordinateur, vous pouvez utiliser la commande shutdown /r (y a un espace) pour redémarrer, au besoin.
Voici un exemple de problème d’ouverture de session Windows en vidéo. Vous pouvez tenter de lancer l’explorer.exe à la main.
Effectuer un Power Reset (réinitialisation alimentation)
Pour résoudre les écrans noirs, vous pouvez aussi tenter une réinitialisation électrique ou Power Reset. Cela consiste en une coupure électrique pendant 10 minutes. Cela retire toute alimentation de la carte mère et peut remettre l’ordinateur en marche si ce dernier a un comportement anormal.
Une réinitialisation de l’alimentation ou un redémarrage matériel ou encore en anglais Power Reset ou Hard Reset efface toutes les informations de la mémoire de l’ordinateur sans effacer les données personnelles. Cela peut résoudre des corruptions de sources d’alimentation qui engendre des comportements aléatoires de votre PC. Voici la procédure générique à réaliser.
Pour les PC portables :
Éteignez votre ordinateur
Débranchez le cordon d’alimentation, s’il s’agit d’un portable, retirez la batterie (voir notice si nécessaire).
En ayant le cordon d’alimentation débranché ou la batterie retirée, appuyez sur la touche d’alimentation pendant quelques secondes, comme si vous vouliez allumer ce dernier. Cela va vider toute l’électricité contenue dans l’ordinateur.
Re-branchez le tout ou remettez la batterie du portable.
Pour un PC de bureau :
Mettez l’alimentation sur « OFF » (Bouton On/off de l’alimentation) et retirez le cordon d’alimentation
Maintenez le bouton d’alimentation qui sert à allumer l’ordinateur, et qui se trouve en façade du boîtier. Enfoncez pendant 20 secondes environ afin de vider les condensateurs
Remettez le câble d’alimentation puis mettez l’alimentation sur « ON »
Appuyez sur le bouton d’alimentation pour allumer l’ordinateur normalement
Plus de détails avec tous les conseils et autres méthodes sur cette page :
Depuis les options de récupération de Windows, cliquez sur Dépannage.
puis Options avancées afin d’ouvrir ces dernières.
Dans les options avancées de récupération, cliquez sur le bouton Paramètres à droite.
Et enfin redémarrer l’ordinateur afin de redémarrer sur les paramètres de démarrage.
À partir de là, un menu avec des choix va s’ouvrir au démarrage de l’ordinateur.
Sélectionnez 5 pour redémarrer en mode sans échec avec la prise en charge du réseau.
Si le problème d’écran noir ne se pose pas en mode sans échec, vous pouvez alors tenter de le résoudre. Voici ce que vous pouvez tester afin de résoudre les problèmes d’écran noir :
Relancez le PC en mode normal et vérifiez si les écrans noirs persistent.
Désinstaller les pilotes de la carte graphique
Si Windows démarre correctement depuis le mode sans échec, vous pouvez tenter de désinstaller les pilotes de la carte graphique. Pour cela, faites un clic droit sur le menu Démarrer puis gestionnaire de périphériques.
Dans le gestionnaire de périphériques se trouve en liste tous les périphériques de l’ordinateur installés dans Windows. Déroulez carte graphique puis sur votre carte graphique, faites un clic droit puis désinstaller l’appareil. Acceptez la désinstallation puis redémarrez Windows en mode normal.
Si Windows démarre correctement et que les problèmes d’écran noir sont résolus. Vous pouvez effectuer une installation propre des pilotes de la carte graphique, pour cela, reportez-vous à l’article : Comment réinstaller proprement les pilotes de la carte graphique.
Désactiver le démarrage rapide
Une autre solution consiste à désactiver le démarrage rapide de Windows . Ce dernier peut poser des problèmes, surtout en retour de mise en veille. Pour ce faire, reportez-vous au premier paragraphe de la page suivante :
Dans le cas d’un problème de synchronisation de votre compte Microsoft avec les serveurs Microsoft, vous pouvez tenter de créer un nouvel utilisateur local. Le but étant de s’identifier dessus en mode normal afin de vérifier si l’écran noir y est aussi présent. Pour créer un nouvel compte local administrateur, reportez-vous à notre article :
Pour créer un utilisateur test, saisissez la commande suivante : net user test /add
Afin de passer l’utilisateur test en administrateur en ajoutant ce dernier dans le groupe administrateur, vous devez passer la commande suivante : net localgroup administrateurs test /add
Déroulez la carte graphique et double-cliquez dessus l’onglet pilote
Cliquez sur Version précédente afin de revenir à la version précédente des pilotes de votre carte graphique.
Testez si cela aide à résoudre les problèmes d’écran noir sur Windows.
Utiliser LazeSoft Recovery Suite
LazeSoft Recovery Suite est un ensemble d’outil de récupération, correction et réparation de Windows. Avec ce dernier on peut restaurer le registre Windows.
Si Windows ne fonctionne plus correctement malgré les diagnostics, le nettoyage, ou la réparation via des outils système, la réinitialisation ou la réinstallation peut s’avérer nécessaire. Ces opérations permettent de repartir sur une base saine, en supprimant les problèmes causés par des fichiers corrompus, des pilotes défectueux ou des modifications système hasardeuses.
La réinitialisation de Windows permet de restaurer le système à son état d’origine tout en gardant (ou non) ses fichiers personnels. C’est souvent la solution à privilégier en premier, car elle est rapide, automatisée, et accessible depuis les paramètres ou les options de démarrage avancées.
Toutes ces options sont aussi accessibles depuis les options de récupération système. Réinitialiser ce PC est accessible avant les options avancées.
La restauration du système, elle, est disponible depuis les options avancées de récupération système de Windows.
La réinstallation propre de Windows, quant à elle, consiste à effacer complètement le disque système et à réinstaller Windows à partir d’un support d’installation (clé USB, ISO). Elle est plus radicale mais utile en cas de corruption grave ou de doute sur la stabilité du système après réinitialisation.
Le 23 juillet 2025, Microsoft a déployé la version facultative KB5062660 (build 26100.4770) pour Windows 11 24H2, accompagnant le correctif KB5062553 sorti début juillet. Cette mise à jour combine à la fois des améliorations fonctionnelles et des nouveautés centrées autour de l’intelligence artificielle.
Un regain de stabilité et de fiabilité
Parmi les correctifs apportés, la plus visible concerne la fiabilité des redémarrages système. Après avoir longtemps utilisé l’ancienne Blue Screen of Death (BSOD), la version 24H2 adopte désormais le Black Screen of Death, une évolution plus discrète et centrée sur la lisibilité, qui affiche clairement le code d’arrêt et le pilote en échec. En parallèle, la fonction « Récupération machine rapide« , issue de l’initiative Windows Resiliency Initiative, permet désormais de restaurer automatiquement une machine en panne via l’environnement de récupération WinRE.
Microsoft indique qu’un bug dans la mise à jour Windows 11 de mai 2025 a entraîné des ralentissements et des problèmes de stabilité du système. Bien que ce problème ait été observé « rarement » sur certains PC, il a tout de même causé des ravages là où il s’est produit.
Voici la liste complète de toutes les nouvelles fonctionnalités, améliorations et corrections apportées à Windows 11 KB5062660 :
La barre d’ancrage, qui vous permet d’ancrer facilement des applications, affiche désormais un message intégré afin que vous compreniez ce qui se passe.
Dans les paramètres de recherche Windows, vous pouvez désormais tout trouver. Auparavant, les options étaient proposées via les pages « Autorisations de recherche » et « Recherche dans Windows ».
Microsoft améliore la navigation à l’aide du contrôleur pour la disposition du gamepad dans le clavier tactile Windows, car il prépare le système d’exploitation pour une expérience sur appareil portable.
Un bug a été corrigé qui empêchait l’application Paramètres de répondre lorsque vous fermiez le couvercle de l’ordinateur portable.
Un bug a été corrigé qui empêchait le bouton Plus d’options (…) de fonctionner correctement dans l’Explorateur de fichiers.
Un autre bug a été corrigé qui pouvait entraîner des problèmes de performances dans l’Explorateur de fichiers lors de la synchronisation de fichiers à partir de SharePoint.
Réglages, IA et Europe : une dimension intelligente
KB5062660 active de nouvelles fonctionnalités pour les PC Copilot+ (dotés de NPU puissants). L’agentic search enrichit les réglages système avec des suggestions contextuelles plus fines, tandis que Recall AI, jusque-là réservé aux bêta-testeurs, s’installe pour les utilisateurs en Europe. Cette fonction permet de retrouver rapidement des éléments précédemment consultés – documents, images ou sites web – grâce à une mémoire contextuelle assistée.
Plus d’options et d’interactions
Le menu Click To Do gagne en polyvalence sur les machines supportant l’IA. Accessible via clic droit ou la touche Copilot, il propose désormais des actions comme « Ask Microsoft 365 Copilot », permettant d’envoyer directement du texte ou des images à l’assistant sans passer par le presse-papiers. En parallèle, l’Explorateur de fichiers accélère l’extraction d’archives volumineuses, notamment en .7z ou .rar, ce qui améliore l’expérience globale.
Comment installer ces nouveautés ?
KB5062660 est une mise à jour optionnelle. Naturellement, elle n’est pas téléchargée automatiquement ; il faut activer le paramètre « Get latest updates… » dans Windows Update ou télécharger manuellement le package via le catalogue Microsoft Update (.msu). Il est recommandé de l’installer manuellement si vous voulez tester ces innovations avant le Patch Tuesday d’août, où ces fonctionnalités deviendront plus largement disponibles.
En synthèse
Cette combinaison de mises à jour fait de Windows 11 24H2 un système à la fois plus robuste et plus intelligent. Le passage à un nouveau BSOD moins alarmant, l’automatisation des réparations système et l’intégration croissante des fonctionnalités IA préfigurent une nouvelle génération d’interactions. Si vous êtes utilisateur régulier et curieux des capacités du PC Copilot+, il peut être intéressant d’installer KB5062660 dès maintenant. Pour les autres, une attente prudente jusqu’à la version officielle d’août est tout à fait raisonnable.
Votre ordinateur est lent, les ventilateurs tournent à plein régime, et tout semble figé ? Si votre processeur (CPU) est utilisé à 100 % en permanence, cela peut entraîner de graves ralentissements du système, voire des blocages complets.
un logiciel tiers qui consomme trop de ressources,
ou une configuration défaillante (pilotes obsolètes, services inutiles, corruption système…).
Dans ce guide, vous apprendrez :
à reconnaître les symptômes d’un CPU saturé,
à identifier les processus responsables,
et à appliquer des solutions efficaces pour retrouver un système fluide, sans formater.
Toutes les méthodes proposées sont compatibles avec Windows 11 et Windows 10, et vont du simple nettoyage jusqu’à la réinitialisation complète du système en cas de blocage persistant.
CPU à 100 % : comment reconnaître les symptômes et comprendre les causes
Lorsque le processeur (CPU) de votre ordinateur fonctionne en permanence à 100 %, cela impacte directement les performances globales du système. Le CPU est le cœur du PC : s’il est débordé, chaque action devient lente, même les plus simples comme ouvrir un dossier, taper du texte ou charger une page web.
Voici les signes les plus fréquents d’un processeur saturé :
Le PC devient lent, voire inutilisable, sans cause visible.
Les ventilateurs tournent en continu, signe que le CPU chauffe.
Le pointeur de souris devient saccadé ou se fige temporairement.
Le Gestionnaire des tâches (Ctrl + Maj + Échap) affiche une utilisation CPU à 100 %, même sans programme ouvert.
Le système met du temps à réagir aux clics ou aux raccourcis clavier.
Des micro-freezes, des ralentissements ou des décalages apparaissent en jeu ou lors de la lecture vidéo.
Un CPU à 100 % peut être causé par :
un processus système mal géré (ex. : svchost.exe, TiWorker.exe, MsMpEng.exe, etc.),
un logiciel tiers mal optimisé ou tournant en arrière-plan,
un pilote défectueux,
ou un logiciel malveillant.
Bon à savoir : sur les ordinateurs portables ou anciens PC, un processeur à 100 % peut aussi provoquer des surchauffes, une baisse d’autonomie et une usure prématurée du matériel.
Le premier réflexe est donc de repérer les processus qui utilisent le plus de CPU, puis d’en identifier la cause : service système mal optimisé, pilote défaillant, logiciel en boucle, malware, etc. C’est ce que nous allons voir dans les sections suivantes.
Processus système fréquents responsables d’un CPU élevé
Voici les processus Windows les plus fréquemment responsables d’une charge CPU anormale, avec leur rôle, symptômes, et solutions associées :
Processus
Nom système
Rôle principal
Symptômes
Solutions recommandées
svchost.exe
Service Host
Lance plusieurs services système (Windows Update, Audio, Réseau…)
CPU élevé sans raison claire, souvent lié à un sous-service
Identifier le service via le gestionnaire des tâches, isoler et désactiver si nécessaire
TiWorker.exe
Windows Modules Installer Worker
Gère l’installation des mises à jour système
CPU et disque saturés après redémarrage
Laisser travailler, exécuter sfc /scannow + DISM, réinitialiser Windows Update
MsMpEng.exe
Antimalware Service Executable (Windows Defender)
Analyse en temps réel des fichiers et processus
Pics CPU lors de l’analyse, ralentissements pendant usage
Désactiver l’analyse planifiée, exclure certains dossiers, ou passer à un autre antivirus
wmiprvse.exe
WMI Provider Host
Fournit des infos système à d’autres programmes
CPU élevé permanent, sans processus visible en cause
Identifier le client via l’Observateur d’événements (WMI Activity), désactiver le service concerné
CompatTelRunner.exe
Microsoft Compatibility Telemetry
Collecte des données système pour Microsoft
CPU élevé après mise à jour, activité en arrière-plan
Désactiver la tâche dans le planificateur ou la télémétrie via stratégie de groupe
RuntimeBroker.exe
Runtime Broker
Gère les autorisations des apps UWP
Pics CPU à l’ouverture du menu démarrer ou d’apps UWP
Désactiver les apps en arrière-plan, limiter les apps UWP inutiles
StartMenuExperienceHost.exe
—
Affiche et gère le menu Démarrer
CPU élevé ou gel de l’interface
Redémarrer l’Explorateur, corriger le profil utilisateur si corrompu
SearchIndexer.exe / SearchHost.exe
Windows Search
Indexe les fichiers pour la recherche rapide
CPU ou disque élevé sur gros volumes de données
Réduire ou désactiver l’indexation via les paramètres de recherche
Les applications de démarrage sont des programmes qui commencent automatiquement à s’exécuter en arrière-plan lorsque vous vous connectez à votre PC. Ces applications, bien que vous ne puissiez pas les utiliser activement, sont une part importante de l’utilisation du disque et ralentissez votre PC. Alors, gardez un contrôle sur les programmes que vous autorisez à démarrer lorsque vous activez votre ordinateur et désactivez immédiatement les inutiles. Pour cela, suivez ce guide :
Vérifiez que votre PC et la carte graphique ne surchauffe pas en vérifiant les températures de votre PC. En cas de surchauffe, les performances sont moindres et vous pouvez rencontrer des bugs ou plantages.
Voici comment vérifier les températures de la carte graphique :
Lancez ce dernier et vérifier dans le résumé : les températures Processeur et graphiques.
Elles ne doivent pas dépasser 65 degrés lorsque vous utilisez votre PC sinon des lenteurs se font sentir.
Si les températures sont trop élevées :
Nettoyer les ventilateurs pour retirer les poussières
Si après cela, les températures sont encore trop importantes, il faut remettre de la pâte thermique. Je vous conseille alors de voir avec un professionnel.
Pour réparer les fichiers systèmes de Windows 10 ou Windows 11, vous devez utiliser les utilitaires SFC (vérificateur de fichiers systèmes) et DISM. Ces deux outils s’utilisent en invite de commandes.
Les animations de fenêtres, fondus, ombrages et autres effets visuels intégrés à Windows peuvent solliciter légèrement le processeur, la mémoire et la puce graphique. Sur des machines récentes, cela reste imperceptible. Mais sur un PC modeste ou en cas de CPU déjà saturé, les désactiver peut améliorer la réactivité du système.
Sur votre clavier, utilisez le raccourci clavier + R
Tapez sysdm.cpl puis Entrée.
Allez dans l’onglet Paramètres système avancés.
Dans la section Performances, cliquez sur Paramètres
Puis, dans l’onglet Effets visuels, sélectionne :
soit « Ajuster afin d’obtenir les meilleures performances » (tout désactiver),
soit « Personnalisé » pour désactiver uniquement les effets suivants :
Animer les fenêtres lors de leur réduction et agrandissement
Animations dans la barre des tâches
Estomper les éléments des menus
Afficher les ombres sous les fenêtres
Cliquez sur Appliquer, puis sur OK.
Réinitialiser ou réinstaller Windows si le CPU reste saturé
Si après avoir identifié les processus, mis à jour les pilotes, réduit les programmes au démarrage, désactivé les services inutiles et réparé les fichiers système… votre CPU reste bloqué à 100 %, il est possible que votre installation de Windows soit trop endommagée, ou qu’un conflit logiciel persistant empêche le bon fonctionnement du système.
Dans ce cas, deux options s’offrent à vous : la réinitialisation ou la réinstallation complète de Windows.
Quand opter pour cette solution ?
Trop de logiciels ou services modifiés dans le temps.
CPU à 100 % même en mode sans échec,
Aucun processus identifié clairement comme responsable,
Windows Update corrompu de façon irrécupérable,
Réinitialiser Windows
Windows propose une fonction intégrée pour réinitialiser le système, en conservant ou non vos fichiers personnels.
Étapes :
Ouvre Paramètres > Système > Récupération.
Clique sur Réinitialiser ce PC.
Choisis :
Conserver mes fichiers (réinitialisation légère),
ou Supprimer tout (réinitialisation complète).
Windows sera réinstallé sans applications ni pilotes tiers, ce qui permet de repartir sur une base propre sans perdre forcément vos documents.
Réinstaller complètement Windows
Si la réinitialisation échoue ou si vous préférez repartir totalement de zéro, vous pouvez :
créer une clé USB bootable avec l’outil Media Creation Tool de Microsoft,
formater le disque et faire une installation propre de Windows 10 ou 11.
Microsoft vient de déployer la build 26100.4767 (référence KB5062663) dans le canal Release Preview, apportant plusieurs correctifs ciblés qui améliorent la stabilité et la fiabilité de Windows 11 version 24H2.
L’un des principaux soucis réglés concerne la prise en charge des cartes graphiques externes connectées via Thunderbolt. Jusqu’à présent, ces cartes n’étaient parfois pas détectées, notamment lors du branchement ou après la sortie de veille. Le nouveau correctif assure une reconnaissance plus régulière et limite le recours au gestionnaire de périphériques.
Un autre point d’amélioration concerne les utilisateurs de langues non latines : les conflits rencontrés avec l’IME Microsoft Changjie pour le chinois traditionnel, ainsi que les méthodes phonétiques pour les langues hindi et marathi, après l’installation de KB5062553, sont désormais résolus.
Les administrateurs IT et les utilisateurs d’entreprise constateront aussi une correction bienvenue dans l’éditeur de stratégies de groupe (GPEdit). Auparavant, des messages d’erreur comme « No element was expected but found » ou « Encountered an unknown error » s’affichaient alors qu’on lançait l’éditeur. Cette build élimine définitivement ces anomalies.
La build 26100.4767 vient également clore un bug persistant dans le journal d’événements associé à Windows Firewall with Advanced Security. L’erreur « Event 2042 : Echec de la lecture de la configuration — Plus de données sont disponibles », qui laissait entendre un problème de configuration, n’apparaît plus depuis cette mise à jour. Cela met fin à une brouille de communication entre Microsoft et les utilisateurs, après de précédentes corrections jugées incomplètes. À lire : KB5062553 : Problème installation et firewall de la mise à jour de Windows 11 (MAJ)
En parallèle, plusieurs correctifs antérieurs intégrés dans la build 26100.4762 sont mis à jour : LSASS ne bloque plus lors du changement de mot de passe machine, l’Explorateur ne se limite plus à afficher un seul dossier en section « Accueil », le système de fichiers ReFS cesse d’épuiser la mémoire lors de gros backups, et divers problèmes de stabilité signalés après les mises à jour de mai 2025 sont réglés.
Pourquoi cette build est importante
Cette release garantit que des scénarios largement rapportés et très concrets — tels que la connexion de GPU externes, l’usage des IME non occidentaux et les erreurs gênantes dans la gestion des stratégies ou des logs — sont désormais pris en charge. Les tests en forum confirment que ces aires sensibles sont stabilisées, avec un testeur affirmant : « The Group Policy problem is really fixed in 26100.4767 ».
En outre, Microsoft prévoit d’intégrer cette mise à jour dans le Patch Tuesday d’août 2025, même si elle est déjà disponible à la prévisualisation.
Pour les utilisateurs
Ceux qui rencontrent des difficultés sur les points évoqués peuvent installer cette build via le programme Windows Insider dans le canal Release Preview. Pour le grand public, un déploiement plus large devrait survenir dans les prochaines semaines, à l’occasion de la mise à jour mensuelle.
En somme, la build 26100.4767 marque un pas important vers la stabilisation de Windows 11 24H2 : les corrections apportées concernent des éléments solides de l’expérience utilisateur, de la compatibilité matérielle à la gestion des politiques, en passant par la propreté des journaux système. Une étape qui devrait rassurer à la fois les professionnels et les utilisateurs avancés.
Le 13 juillet 2025, Microsoft a déployé KB5062553, la mise à jour Patch Tuesday pour Windows 11 version 24H2, censée renforcer la sécurité du système et corriger plusieurs bugs. Pourtant, de nombreux utilisateurs signalent que l’installation échoue, souvent après une progression marquée.
Les codes d’erreur les plus fréquents remontent à 0x8007371b, 0x800f0991, 0x80073712 ou 0x80071a2d. Ces codes interviennent généralement lorsque l’installation est presque terminée, bloquant le processus autour de 95 %, puis provoquant un rollback, comme l’a observé Windows Latest lors des tests. Les messages d’erreur, certes rébarbatifs, n’apportent aucune explication claire aux utilisateurs.
D’autres témoignages font état d’une paralysie de l’interface graphique pendant le processus, avec le curseur encore actif, parfois jusqu’au BSOD « internal power error ». Le redémarrage forcé est la seule solution dans ces situations.
Pour les utilisateurs confrontés à ces échecs répétés, Windows Latest recommande de recourir à l’installateur hors ligne (.msu) disponible sur le Microsoft Update Catalog. Sur les PC Intel ou AMD, installer préalablement la SSU (KB5043080) permettrait de résoudre 70 % des problèmes. Pour les configurations ARM, Microsoft propose une SSU spécifique. En dernier recours, l’outil Media Creation Tool permet une réinstallation in-place, corrigeant presque systématiquement ces blocages.
Au-delà de ces soucis d’installation, KB5062553 devait corriger une anomalie liée au Windows Firewall désormais marquée comme « résolue ». Pourtant, de nombreux utilisateurs, y compris sur les forums comme Reddit, confirment la persistance de l’événement 2042 (« Config Read Failed ») dans le journal des événements, avec le message « More data is available ». Ce faux positif, attribué à une fonctionnalité encore en développement, ne compromet pas la sécurité réelle du pare-feu, mais contribue à l’impression d’un système livré prématurément.
Par contraste, le document officiel de Microsoft sur la mise à jour confirme qu’une correction a bien été apportée pour l’Event 2042 concerné par le firewall, sous la build 26100.4652. Mais dans la réalité, la promesse d’une résolution totale reste partiellement un vœu pieux.
Malgré les difficultés, Microsoft continue de qualifier KB5062553 de mise à jour critique, indiquant qu’elle s’installe automatiquement ou reste en attente dans Windows Update. Sur les forums de support, les solutions proposées incluent une réinitialisation des composants de Windows Update (SoftwareDistribution, catroot2) ainsi que le redémarrage des services liés.
En résumé, KB5062553 fait plus parler d’elle pour ses échecs d’installation et ses messages erronés dans le journal des événements que pour les corrections qu’elle est censée apporter. Si vous êtes concerné, mieux vaut privilégier l’installation manuelle via les installeurs officiels plutôt que l’option automatique. Compte tenu de l’impact limité sur la sécurité du système, une attente prudente d’un correctif officiel peut aussi être envisagée.
MAJ – 16/07 : Microsoft a pris en compte le problème
Malgré les assurances officielles, de nombreux utilisateurs continuent d’observer l’apparition répétée de l’événement 2042 dans le journal « Windows Firewall with Advanced Security », signalant :
Echec de la lecture de la configuration Configuration : 18 Erreur : Plus de données sont disponibles
Microsoft reconnaît aujourd’hui qu’elle a annoncé à tort avoir résolu ce bug, qui est en réalité lié à une fonctionnalité en développement ; bien que ces messages soient inoffensifs sur le plan fonctionnel, ils génèrent de la confusion chez les utilisateurs
De plus, sur Reddit, des témoignages font état de pointeurs de souris intermittents, de scintillements du curseur, de crépitements audio aléatoires, voire d’élévations anormales des températures CPU/GPU. Certains rapportent également des défaillances de périphériques USB et de stations d’accueil .
Face à ce contexte, Microsoft conseille aux utilisateurs les plus prudents de différer l’installation automatique de KB5062553, en attendant une version corrigée. Une alternative consiste à lancer l’installation manuellement via le catalogue Microsoft Update. Les utilisateurs chevronnés signalent qu’un « in‑place upgrade » (réinstallation sans perte de données) peut contourner certains blocages, même s’il s’agit d’une opération plus lourde.
Microsoft a désormais reconnu que la résolution prétendue du journal firewall n’était pas complète. La firme doit requalifier l’état de cette correction sur son site de support et devrait attendre la prochaine mise à jour Patch Tuesday pour publier une version réellement fonctionnelle.
Microsoft a introduit dans Windows 11 version 24H2 une amélioration majeure qui pourrait bien convaincre les derniers hésitants à faire le saut vers cette nouvelle version. Au cœur de cette évolution : l’abandon de l’ancien moteur JScript.dll au profit d’un composant modernisé, baptisé JScript9Legacy.dll.
Pourquoi ce changement est essentiel
Microsoft explique que l’utilisateur ne remarquera aucune différence visible dans l’expérience desktop, mais bénéficiera automatiquement d’un environnement plus sécurisé
Ce changement technique, bien que discret pour l’utilisateur final, a des implications majeures. D’un point de vue sécuritaire, JScript9Legacy a été conçu pour être plus robuste face aux menaces modernes du web. Il limite les possibilités d’exploitation via des failles de type XSS ou des attaques d’exécution de code à distance, un domaine où l’ancien moteur avait montré ses limites à plusieurs reprises ces dernières années. Microsoft avait d’ailleurs dû corriger une faille critique en août 2024 (CVE‑2024‑38178) impliquant JScript.dll.
Sécurité renforcée : JScript9Legacy est conçu pour mieux suivre les standards web actuels et intègre des règles d’exécution plus strictes, réduisant considérablement le risque d’attaques type XSS (cross-site scripting) ou d’exécution de code à distance
Performance améliorée : ce nouveau moteur traite les objets JavaScript plus efficacement, contribuant à un navigateur plus rapide et plus stable au quotidien .
Compatibilité maintenue : bien que modernisé, le moteur reste compatible avec les scripts et applications utilisant l’ancien JScript, assurant une transition sans casse .
Mais l’intérêt de ce changement ne se limite pas à la sécurité. Le nouveau moteur offre également de meilleures performances, notamment dans le traitement des objets JavaScript, ce qui contribue à une expérience de navigation plus fluide. De plus, Microsoft assure que la compatibilité avec les anciens scripts est préservée, ce qui garantit une transition en douceur, sans effets secondaires visibles pour l’utilisateur.
Ce remplacement de moteur est intégré directement dans la build 26100 de Windows 11 24H2. Microsoft précise que le moteur ne sera pas désactivable, soulignant son importance stratégique pour le futur de la plateforme. Il s’agit d’un pas de plus vers la modernisation de l’environnement Windows et une manière claire d’encourager les utilisateurs à délaisser les anciennes versions du système.
Autres bénéfices associés à 24H2
La version 24H2 de Windows 11 ne se limite pas à ce changement technique. Elle introduit également des optimisations importantes côté mises à jour système. Microsoft annonce que les mises à jour mensuelles s’installent désormais 45 % plus vite, avec une réduction de 25 % de l’utilisation du processeur pendant l’installation. Les redémarrages sont également plus rapides, et les paquets de mise à jour ont été allégés d’environ 200 Mo grâce à une gestion plus fine des composants internes.
Ces évolutions arrivent dans un contexte où certains utilisateurs ont exprimé des réserves sur la stabilité de la version 24H2, notamment dans le domaine du jeu vidéo. Cependant, la majorité des problèmes ont été corrigés via des correctifs récents, et Microsoft indique que la version 25H2 à venir reposera sur la même base technique. Cela renforce l’idée que 24H2 représente une étape incontournable dans l’évolution de Windows 11.
En somme, entre sécurité accrue, meilleures performances et une base technologique modernisée, Microsoft envoie un signal fort : l’avenir de Windows passe par 24H2. Pour ceux qui hésitent encore, cette mise à jour apporte des bénéfices concrets et invisibles, tout en préparant le terrain pour les versions à venir.
En bref
Windows 11 24H2 marque un tournant technique majeur : modernisation du moteur JavaScript, mises à jour plus rapides, sécurité renforcée. Si vous êtes encore sur 23H2 ou une version antérieure, c’est le bon moment pour franchir le pas et bénéficier d’un système plus performant et protégé.
Windows Defender, l’antivirus intégré à Windows 10 et 11, offre aujourd’hui une protection efficace et discrète pour la majorité des utilisateurs. Mais par défaut, ses réglages ne sont pas toujours optimisés : analyses trop fréquentes, consommation CPU excessive, notifications envahissantes…
Que vous souhaitiez gagner en performances, éviter les ralentissements pendant le jeu, ou simplement personnaliser la protection selon vos besoins, il est possible d’ajuster plusieurs paramètres clés de Windows Defender.
Dans ce guide complet, nous vous montrons comment optimiser les réglages de Windows Defender étape par étape : limiter l’usage du processeur, ajouter des exclusions, désactiver les alertes superflues, surveiller l’impact sur le système, et bien plus encore. Tout cela, en conservant une protection efficace sans sacrifier les performances de votre PC.
Vérifier si Windows Defender est actif et bien configuré
Avant d’optimiser les réglages de Windows Defender, il est essentiel de vérifier qu’il est bien activé et fonctionne correctement. En effet, certains paramètres ne sont disponibles que si le moteur de protection en temps réel est actif.
Ouvrez le Centre de sécurité Windows : Appuyez sur + I > Confidentialité et sécurité > Sécurité Windows, puis cliquez sur Ouvrir Sécurité Windows.
Allez dans la section Protection contre les virus et menaces.
Vérifiez que le message “aucune action nécessaire” est affiché, et que la protection en temps réel est activée.
Si un autre antivirus est installé, il se peut que Windows Defender soit désactivé automatiquement. Windows ne permet pas la coexistence de deux moteurs de protection en temps réel actifs.
Réduire la consommation CPU de Windows Defender
Windows Defender peut parfois consommer une quantité importante de ressources, notamment lors des analyses automatiques en arrière-plan. Cela peut impacter les performances, en particulier sur les PC plus anciens ou peu puissants. Heureusement, il est possible de limiter l’utilisation du processeur (CPU) par Defender grâce à une clé de registre spécifique ou via le Planificateur de tâches.
Appuyez sur le raccourci clavier + X ou cliquez avec le bouton droit de la souris sur le menu Démarrer puis sélectionnez : « Terminal Windows (admin)« . Plus d’informations : Comment ouvrir Windows Terminal
Get-MpPreference | select ScanAvgCPULoadFactor
La commande ci-dessus affiche le pourcentage actuel d’utilisation du processeur par Microsoft Defender
Pour passer à une nouvelle valeur, exécutez le format de commande ci-dessous en spécifiant la valeur :
Remplacez par un nombre réel. La valeur par défaut est 50. Toutefois, vous pouvez utiliser une valeur comprise entre 0 et 100. Par exemple, pour allouer 30% du processeur au maximum durant une analyse Windows Defender :
Par défaut, Windows Defender lance automatiquement des analyses planifiées (généralement lors des périodes d’inactivité). Il est possible de les modifier ou de les désactiver temporairement si elles ralentissent le système.
Voici comment faire :
Sur votre clavier, utilisez le raccourci clavier + R
Ajouter des exclusions à Windows Defender pour améliorer les performances
Windows Defender analyse en permanence les fichiers, dossiers et processus en arrière-plan. Si vous utilisez des logiciels gourmands ou manipulez des fichiers volumineux (jeux, machines virtuelles, développement…), ces analyses peuvent ralentir votre système.
Heureusement, il est possible d’ajouter des exclusions pour empêcher Defender de scanner certains dossiers ou fichiers, ce qui réduit la charge sur le CPU et accélère leur exécution.
Voici les types de fichiers ou répertoires à exclure pour gagner en performances sans compromettre la sécurité :
Répertoires de jeux (Steam, Battle.net, etc.)
Machines virtuelles (VMware, VirtualBox, Hyper-V)
Environnements de développement (Node.js, Python, compilateurs)
Dossiers contenant des fichiers volumineux ou fréquemment modifiés
Outils d’administration système ou scripts personnalisés
Évitez d’exclure tout le disque ou des emplacements système critiques, cela créerait une faille de sécurité importante.
Pour cela :
Ouvrez le Centre de sécurité Windows : Paramètres > Confidentialité et sécurité > Sécurité Windows
Cliquez sur Protection contre les virus et menaces
Descendez jusqu’à Paramètres de protection contre les virus et menaces, puis cliquez sur Gérer les paramètres
En bas, ouvrez Ajouter ou supprimer des exclusions
Cliquez sur Ajouter une exclusion, puis choisissez :
Dossier
Fichier
Type de fichier
Processus
Par exemple : Exclure le dossier C:\Jeux\Steam ou le processus vmware-vmx.exe
Désactiver les notifications inutiles de Windows Defender
Windows Defender peut générer de nombreuses notifications : alertes de sécurité, rappels de scan, rapports de maintenance… Certaines sont utiles, mais d’autres peuvent vite devenir envahissantes, surtout si vous utilisez un antivirus tiers ou gérez manuellement votre protection.
Heureusement, vous pouvez désactiver les notifications non essentielles sans compromettre la sécurité de votre système.
Faites un clic droit sur le menu Démarrer puis Paramètres. Pour aller plus vite, vous pouvez aussi utiliser le raccourci clavier + I. Sinon d’autres méthodes dans le tutoriel suivant : Comment ouvrir les paramètres de Windows 11
Accédez à : Confidentialité et sécurité > Sécurité Windows > Ouvrir Sécurité Windows
Allez dans Protection contre les virus et menaces
Descendez jusqu’à Paramètres de notification
Cliquez sur Modifier les paramètres de notification
Vous pouvez alors désactiver :
Les notifications liées à la protection en temps réel
la protection cloud, qui s’appuie sur les serveurs de Microsoft pour détecter plus rapidement les menaces émergentes.
Bien configurées, ces options offrent une protection renforcée, mais peuvent aussi consommer des ressources ou poser des problèmes de compatibilité dans certains cas spécifiques.
Ouvrir Sécurité Windows : Paramètres > Confidentialité et sécurité > Sécurité Windows > Protection contre les virus et menaces
Cliquez sur Gérer les paramètres sous Paramètres de protection contre les virus et menaces.
Activez ou désactivez :
Protection en temps réel
Protection fournie par le cloud
Envoi automatique d’échantillons
La désactivation de la protection en temps réel est temporaire. Elle sera automatiquement réactivée après un certain temps pour garantir un niveau de sécurité minimal.
Surveiller l’impact de Windows Defender sur les performances système
Même bien configuré, Windows Defender peut parfois avoir un impact notable sur les performances du système : consommation CPU excessive, ralentissements, usage disque élevé… Il est donc utile de surveiller son activité pour identifier d’éventuels problèmes ou ajuster certains réglages.
Utiliser le Gestionnaire des tâches pour surveiller l’utilisation des ressources
Observez les colonnes Processeur, Mémoire et Disque.
[su_warningSi MsMpEng.exe utilise de manière prolongée plus de 30–40 % de CPU en arrière-plan, cela peut indiquer une analyse en cours ou un conflit logiciel.[/su_warning]
Vérifier si une analyse est en cours :
Windows Defender peut exécuter automatiquement des analyses planifiées. Pour savoir si une analyse est active :
Ouvrez Sécurité Windows
Allez dans Protection contre les virus et menaces
Regardez la ligne Analyse en cours
Si vous observez un pic de consommation CPU au même moment, vous pouvez envisager de modifier l’horaire ou la fréquence des analyses (voir section planificateur de tâches).
Utiliser l’Observateur d’événements pour détecter les anomalies
L’Observateur d’événements permet de repérer des erreurs ou comportements anormaux liés à Windows Defender.
Sur votre clavier, appuyez sur les touches + [sug_rclavier]R[/su_rclavier]
Saisissez eventvwr.msc et validez.
Accédez à : Journaux des applications et services > Microsoft > Windows > Windows Defender > Operational
Recherchez les événements :
ID 1000–3004 : démarrage/fin d’analyse
ID 1116–1118 : détection de menaces
ID 5001–5007 : erreurs ou interruptions
Que faire si Defender ralentit le PC ?
Problème constaté
Solution recommandée
Utilisation CPU élevée
Ajuster la clé AvgCPULoadFactor
Pics de performance
Modifier ou désactiver la tâche planifiée
Fausses alertes fréquentes
Ajouter des exclusions pertinentes
Ralentissements pendant le jeu
Activer le mode jeu de Windows, exclure le dossier du jeu
Utiliser DefenderUI pour accéder à des réglages avancés
L’interface native de Windows Defender limite l’accès à certains paramètres avancés. Pour aller plus loin dans la personnalisation (désactivation de modules précis, réglages fins de comportement, gestion de l’interface cloud…), il est possible d’utiliser des outils tiers comme DefenderUI.
Ce logiciel gratuit offre une interface plus complète et conviviale pour gérer Defender.
Vous pouvez également sauvegarder ou restaurer vos paramètres, ce qui est pratique pour les administrateurs ou les utilisateurs avancés.
Précautions à prendre
DefenderUI modifie des paramètres sensibles : évitez d’utiliser le profil « Max Security » sans savoir ce qu’il active.
Ne désactivez jamais toutes les protections en production sans bonne raison.
Vérifiez régulièrement les mises à jour de DefenderUI pour rester compatible avec les évolutions de Windows Defender.
Quand utiliser DefenderUI ?
Cas d’usage
Pourquoi utiliser DefenderUI
Optimisation poussée
Réglages invisibles dans Windows
Environnement professionnel
Configuration fine pour serveurs ou dev
Réduction des alertes/faux positifs
Exclusions ciblées, réglages comportementaux
Automatisation de profils
Sauvegarde et restauration rapide de paramètres
Conclusion : Windows Defender est-il suffisant ? Nos conseils finaux
Windows Defender, intégré nativement à Windows 10 et 11, a largement évolué ces dernières années. Longtemps considéré comme une solution de secours, il offre désormais un niveau de protection solide, certifié par de nombreux laboratoires de tests indépendants (AV-Test, AV-Comparatives).
Microsoft vient de franchir une étape très attendue : dans la mise à jour Windows 11 25H2 (preview actuellement), vous pourrez bientôt retirer facilement les applications intégrées via une option native, sans utiliser de PowerShell ou d’outils tiers.
Jusqu’ici, pour se débarrasser par exemple de Paint, du Terminal, de Photos ou du Caméra, il fallait recourir à PowerShell, des scripts ou des utilitaires comme AppBuster. Avec 25H2, les administrateurs (via Windows 11 Pro, Dev ou Beta) bénéficient désormais d’une stratégie de groupe dédiée. Le site propose d’ailleurs un guide : 13 meilleurs logiciels anti-bloatwares pour Windows 11/10 Nommée « Remove Default Microsoft Store packages from the system » (pas encore traduite), disponible dans Configuration de l’ordinateur > Modèles d’administration > Composants Windows > Déploiements de package Appx, elle permettra de choisir des applications à désinstaller proprement, simplement depuis GPEdit.
Cette nouveauté ajoute une couche de confort bienvenue. Elle génère une entrée dans le registre (HKLM\SOFTWARE\Policies\Microsoft\Windows\Appx\RemoveDefaultMicrosoftStorePackages) pour chaque application sélectionnée, ce qui garantit que les suppressions sont appliquées lors de la création ou connexion d’un nouvel utilisateur. Si un raccourci persiste dans le menu Démarrer, l’application en arrière-plan ne sera plus exécutée — elle est véritablement désinstallée, même si l’interface demande encore un peu de finition.
Cette évolution vise surtout à simplifier la vie des responsables informatiques : fini les scripts complexes, place à une solution centralisée, fiable et auditable, notamment via Intune ou GPO. Pour les utilisateurs “Home”, cette option n’est pas disponible directement, mais des contournements comme Policy Plus peuvent offrir une alternative.
Pourquoi c’est une avancée ?
La gestion des applications système devient plus conviviale et moins propice aux erreurs.
L’approche “par politique de groupe” assure une maintenabilité plus propre et transparente, comparée aux méthodes scriptées délicates.
Tout ceci s’inscrit dans la stratégie de Windows pour offrir une version plus légère, sans la surcharge d’applications souvent jugées inutiles.
Cette option est en phase de test dans le canal Insider pour les builds 26200.xxx (Dev) et 26120.xxx (Beta). La sortie publique est attendue à l’automne.
En résumé
Windows 11 25H2 introduit enfin une méthode officielle et utilisable via GPO pour supprimer les applications intégrées. Une évolution bienvenue, qui met fin aux bricolages et simplifie la personnalisation de l’OS, en particulier dans les environnements IT.
Le 8 juillet 2025, Microsoft a publié la mise à jour cumulative KB5062553 pour Windows 11 version 24H2 (build 26100.4652). Elle s’installe automatiquement via Windows Update, mais Microsoft propose également un installateur hors‑ligne (.msu) pour une installation manuelle ou en environnement multi‑PC.
Des icônes plus compactes sur la barre des tâches
L’un des changements les plus visibles concerne la barre des tâches : il est désormais possible d’afficher des icônes plus petites automatiquement, pour gagner de la place en cas de surcharge. Une option “Afficher les icônes plus petites” apparaît dans Paramètres > Personnalisation > Barre des tâches, avec des réglages selon la densité à l’écran. Bien que la barre conserve sa hauteur originale, Windows réduit la taille des icônes pour accueillir davantage d’applications ouvertes .
Confidentialité améliorée via le Narrateur
La mise à jour intègre une nouvelle fonctionnalité baptisée Screen Curtain pour Narrateur, accessible par Verrou + Ctrl + C. Elle permet de noircir l’écran tout en conservant la lecture vocale, protégeant ainsi les informations sensibles en public.
Copilot+ : interaction directe avec Microsoft 365
Les utilisateurs de PC avec plus de 40 TOPs (Copilot+ PCs) bénéficieront d’un menu contextuel enrichi dans Click To Do (clic droit ou touche Copilot), autorisant l’envoi direct de texte ou d’images au Microsoft 365 Copilot, sans copier-coller.
Explorateur de fichiers accéléré
La mise à jour améliore les performances de l’Explorateur de fichiers, avec des gains allant jusqu’à +10–15 % lors de la gestion de gros fichiers compressés en .7z ou .rar, particulièrement lorsque l’archive contient un grand nombre de petites entrées.
Migration PC-to-PC et autres correctifs
Un outil de migration PC vers PC fait son apparition dans les applications de sauvegarde, permettant de copier des données localement via réseau, sans passer par le cloud. Il est encore en cours de déploiement.
Le patch corrige également divers problèmes, notamment des bugs liés à Alt+Tab pendant les jeux, aux faux avertissements du pare-feu, aux performances de Windows Search, aux animations GPU, à l’impression, à explorer.exe, et au nettoyage des fonctionnalités ou langues optionnelles. Certains de ces problèmes étaient en partie apportés par le KB5060829.
Installation manuelle et exigences
L’update pèse environ 3 Go sur PC x64 ou ARM, une taille justifiée par l’inclusion d’IA embarquée dans l’installateur, même si celle-ci n’est pas utilisée sur tous les systèmes. Pour les installations hors ligne, rendez-vous sur le Microsoft Update Catalog, puis téléchargez l’installateur correspondant à votre architecture.
Avant l’installation, pensez à créer un point de restauration pour préserver un état stable en cas de problème.
En résumé
La mise à jour KB5062553 apporte plusieurs améliorations concrètes et utiles. La barre des tâches devient plus compacte en cas de débordement, l’accessibilité est renforcée avec Screen Curtain, la compatibilité avec Copilot+ est étendue, et l’explorateur gagne en réactivité. Microsoft corrige aussi des bugs gênants, signe d’un engagement clair à améliorer l’expérience utilisateur. Cette update s’inscrit dans la logique d’évolution progressive de Windows 11 vers plus de personnalisation, de performance et d’accessibilité.
Le registre Windows est un composant central du système, dans lequel sont stockés les paramètres de configuration de Windows, des pilotes et de la plupart des logiciels installés. Si vous êtes à l’aise avec cet outil, certaines clés du registre peuvent vous permettre de personnaliser en profondeur votre système, de désactiver des fonctionnalités comme Windows Defender, de bloquer la télémétrie, ou encore de gérer les programmes au démarrage sans passer par des outils tiers.
Dans cet article, nous vous présentons une sélection de clés de registre importantes et couramment utilisées pour la configuration, le dépannage ou l’optimisation de Windows. Que vous soyez technicien, administrateur ou simple utilisateur avancé, ces clés vous permettront de mieux comprendre et maîtriser les coulisses du système d’exploitation.
Avant toute modification du registre, pensez à sauvegarder les clés concernées ou à créer un point de restauration système, afin d’éviter tout dysfonctionnement.
Désactiver Windows Defender via le registre : les clés à connaître
Windows Defender est l’antivirus intégré à Windows 10 et 11. Bien qu’il offre une protection efficace et discrète, certains utilisateurs avancés ou administrateurs système souhaitent parfois le désactiver, temporairement ou définitivement. Si l’option est grisée dans les paramètres ou bloquée par la stratégie de groupe, il est possible de désactiver Defender directement via le registre Windows.
Clé principale à modifier
Pour désactiver complètement Windows Defender, il faut créer (ou modifier) la valeur suivante :
Cela désactive le service principal de Windows Defender à condition que Microsoft Defender Antivirus ne soit pas géré par une solution de sécurité tierce ou par une politique de sécurité système (GPO).
Désactiver la protection en temps réel
Si vous ne souhaitez pas désactiver Defender totalement, mais uniquement sa protection en temps réel, vous pouvez aussi agir sur cette clé :
Cela permet de désactiver différentes composantes actives de la surveillance Defender sans couper complètement le moteur antivirus.
Précautions
Après avoir modifié ces clés, redémarrez le système pour que les changements prennent effet.
Certaines versions de Windows peuvent réactiver automatiquement Defender, surtout après une mise à jour majeure. Il peut être nécessaire de répéter l’opération.
Sur Windows 11, Tamper Protection (protection contre les modifications non autorisées) doit être désactivée au préalable depuis les paramètres de sécurité Windows, sinon les modifications du registre seront ignorées.
Programmes au démarrage : les clés de registre à surveiller (Run, RunOnce, etc.)
Le registre Windows contient plusieurs clés dédiées à l’exécution automatique de programmes au démarrage du système ou lors de la connexion d’un utilisateur. Ces clés sont fréquemment utilisées par les applications légitimes (ex. : antivirus, pilotes, assistants logiciels), mais aussi par les malwares et adwares, qui les exploitent pour s’exécuter en arrière-plan sans être détectés.
Clés les plus courantes à connaître
Les clés suivantes sont utilisées pour lancer des programmes automatiquement. Certaines s’appliquent à tous les utilisateurs du système (HKLM), d’autres uniquement à l’utilisateur actuellement connecté (HKCU) :
Ces clés contiennent les programmes à exécuter à chaque démarrage. Chaque entrée correspond à un exécutable ou un script qui s’exécutera après le chargement d’Explorer.exe (le bureau Windows).
Les clés RunOnce permettent d’exécuter un programme une seule fois au prochain démarrage. Elles sont souvent utilisées lors d’installations logicielles pour effectuer des tâches post-redémarrage (ex. : suppression de fichiers temporaires ou finalisation d’une configuration).
Ces clés étaient principalement utilisées sous Windows 9x/Me. Elles ont aujourd’hui peu d’effet sur Windows 10/11, mais peuvent encore être explorées par des malwares à des fins de compatibilité ou de contournement des outils de sécurité modernes.
Scripts d’ouverture de session
Outre les clés Run, Windows permet également de lancer des scripts lors de la connexion utilisateur, via des clés de stratégie de groupe :
Ces scripts sont généralement définis par des administrateurs de domaine ou via des GPO locales, notamment dans les environnements professionnels. Ils permettent d’exécuter des commandes, de mapper des lecteurs réseaux, ou d’appliquer des configurations personnalisées.
Désactiver la télémétrie et la collecte de données via le registre
Depuis Windows 10, Microsoft collecte automatiquement diverses données système via la télémétrie, dans le but officiel d’améliorer la stabilité, la sécurité et les performances du système. Toutefois, cette collecte soulève des préoccupations en matière de confidentialité, notamment dans les environnements sensibles ou pour les utilisateurs soucieux de maîtriser les échanges avec Microsoft.
Même si certains paramètres peuvent être désactivés via l’interface graphique ou les stratégies de groupe (GPO), il est aussi possible de désactiver partiellement la télémétrie via le registre.
Limiter la télémétrie avec la clé « AllowTelemetry »
0 = Sécurité (seulement pour Windows Enterprise, Education ou LTSC)
1 = De base
2 = Amélioré (supprimé depuis Windows 10 2004)
3 = Complet
Sur les éditions Famille et Professionnel, la valeur 0 n’est pas appliquée, même si elle est définie. Le niveau minimum reste 1.
Plusieurs services Windows sont responsables de la collecte et de l’envoi de données. Tu peux les désactiver ou les neutraliser via le registre (ou via l’utilitaire services.msc si tu préfères une interface graphique).
Désactiver les diagnostics connectés : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen → 0(optionnel, pour l’intégration avec SmartScreen)
Désactiver le service DiagTrack (Tracking Service) : Même si cela ne passe pas uniquement par le registre, tu peux arrêter et désactiver ce service via commande :
Clés pour bloquer l’exécution automatique des périphériques USB/CD/DVD
L’exécution automatique (AutoRun / AutoPlay) permet à Windows d’ouvrir automatiquement un programme, un menu ou une notification dès qu’un périphérique de stockage est connecté (clé USB, CD/DVD, disque dur externe, etc.). Si cette fonctionnalité est pratique, elle représente aussi une faille de sécurité potentielle, souvent exploitée par des malwares pour s’installer silencieusement à partir d’un support amovible.
Heureusement, il est possible de désactiver totalement l’exécution automatique des périphériques via le registre Windows.
Clé :HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer (ou HKEY_LOCAL_MACHINE pour l’ensemble des utilisateurs)
Valeur DWORD :NoDriveTypeAutoRun
Valeur recommandée :0xFF (hexadécimal) → désactive AutoRun sur tous les types de lecteurs
Valeurs possibles :
Hexadécimal
Décimal
Effet
0x01
1
Désactive AutoRun sur les lecteurs non définis
0x04
4
Désactive AutoRun sur les lecteurs amovibles
0x08
8
Désactive AutoRun sur les lecteurs fixes (disques durs internes)
0x10
16
CD/DVD
0x20
32
Réseaux
0x80
128
Lecteurs inconnus
0xFF
255
Désactive AutoRun sur tous les types de lecteurs
Conseil : Utilisez 0xFF pour un blocage total, idéal en contexte professionnel ou pour sécuriser un poste sensible.
Pour appliquer la même politique à tous les utilisateurs, utilisez HKEY_LOCAL_MACHINE.
Gérer Windows Update depuis le registre (clés importantes)
Le comportement de Windows Update peut être modifié ou personnalisé via le registre, notamment pour différer les mises à jour, désactiver les redémarrages automatiques, ou forcer des paramètres spécifiques sur des éditions qui ne donnent pas accès à toutes les options dans l’interface graphique. Cela est particulièrement utile en environnement professionnel ou pour les utilisateurs souhaitant un contrôle plus fin sur les mises à jour de leur système.
Comme ces paramètres sont répartis sur plusieurs emplacements du registre (WUSettings, AU, Policies…), nous avons rédigé un article complet dédié aux différentes clés disponibles et à leur rôle :
Clés liées à la stratégie de mot de passe / verrouillage
La stratégie de mot de passe et de verrouillage automatique de l’écran est essentielle pour garantir la sécurité d’un poste Windows, notamment en entreprise ou sur un ordinateur partagé. Si ces paramètres sont généralement configurables via les stratégies de sécurité locales (secpol.msc) ou les paramètres système, il est aussi possible de les modifier directement dans le registre Windows, en particulier sur les éditions Familiale qui n’ont pas accès à certaines interfaces avancées.
Cette clé permet de verrouiller automatiquement la session après un certain temps d’inactivité. Cela fonctionne même si l’utilisateur n’a pas défini explicitement d’écran de veille avec mot de passe.
Forcer l’exigence du mot de passe après l’écran de veille
Clé :HKEY_CURRENT_USER\Control Panel\Desktop
Valeur chaîne à modifier :ScreenSaverIsSecure
1 = demander le mot de passe après la reprise
0 = ne pas le demander
Autre valeur utile :ScreenSaveTimeOut → définit le délai avant activation de l’écran de veille (en secondes)
Ces paramètres fonctionnent ensemble : tu peux configurer l’écran de veille pour qu’il apparaisse après 5 ou 10 minutes, puis exiger un mot de passe à la reprise.
Clés Shell et Winlogon : ce qui se lance à la connexion Windows
Au démarrage de Windows, plusieurs processus sont automatiquement chargés avant que l’utilisateur accède pleinement à sa session. Parmi les clés du registre les plus critiques à ce niveau, les clés associées à Winlogon et Shell contrôlent ce qui se lance juste après la connexion (ou même avant, pour les scripts système). Comprendre ces clés est essentiel pour diagnostiquer des problèmes de démarrage, détecter des infections, ou personnaliser des comportements système.
Les clés Shell et Userinit sont très surveillées par les antivirus, car elles sont souvent détournées par des logiciels malveillants pour se lancer avant tout autre processus. Modifier ces clés à la main sans précaution peut empêcher le chargement correct du bureau Windows ou conduire à un écran noir après la connexion. Celle-ci est très utilisée par les Trojan Winlock.
Clé principale :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Cette clé contient plusieurs valeurs importantes utilisées lors du logon (connexion de session). Les plus connues sont :
Shell
Définit le programme chargé après connexion.
Par défaut : explorer.exe
Si cette valeur est modifiée (ex. : cmd.exe, malware.exe, etc.), cela remplace complètement l’Explorateur Windows. Certains malwares exploitent cette clé pour bloquer l’interface graphique et afficher leur propre charge utile.
Userinit
Valeur par défaut : C:\Windows\System32\userinit.exe,
Ce programme initialise le profil utilisateur et exécute certains scripts de logon.
Si un malware est ajouté ici, il peut s’exécuter juste avant l’ouverture du bureau, en toute discrétion.
Connexion automatique : activer l’ouverture de session sans mot de passe
La clé Winlogon permet également de configurer une connexion automatique, sans demander de mot de passe à l’ouverture de session. C’est une option parfois utilisée sur des machines personnelles, des bornes publiques, des environnements de test, ou des systèmes embarqués.
Pour cela, il faut renseigner plusieurs valeurs dans cette même clé :
AutoAdminLogon → 1 (active la connexion auto)
DefaultUserName → nom du compte utilisateur à ouvrir
DefaultPassword → mot de passe associé (stocké en clair dans le registre)
DefaultDomainName → nom de la machine locale ou domaine AD
LegalNoticeCaption / LegalNoticeText → permet d’afficher un message légal ou une alerte à l’ouverture de session (utilisé en entreprise)
GinaDLL → ancienne DLL pour modifier la gestion du logon (Windows XP/2000)
Clés relatives aux menus contextuels de Windows (clic droit)
Le menu contextuel, accessible via un clic droit sur un fichier, un dossier ou le bureau, est une fonctionnalité essentielle de l’interface Windows. Avec le temps, ce menu peut s’encombrer d’entrées inutiles ajoutées par des logiciels tiers (antivirus, lecteurs multimédias, outils de compression…), ou à l’inverse, certaines options peuvent disparaître à la suite d’un bug ou d’une mauvaise désinstallation. Heureusement, il est possible de personnaliser ou nettoyer ces menus via le registre Windows.
Où se trouvent les clés du menu contextuel dans le registre
Les entrées du clic droit sont réparties à plusieurs emplacements du registre, selon le type d’objet cliqué (fichier, dossier, raccourci…) et le contexte utilisateur ou système.
Entrées générales (tous types de fichiers)
HKEY_CLASSES_ROOT\*\shell
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
Ces emplacements contrôlent les options qui s’appliquent à tous les fichiers, quel que soit leur type (ex. : « Analyser avec antivirus », « Envoyer vers », « Ajouter à l’archive », etc.).
Programmes installés : les clés de registre à connaître pour désinstaller ou identifier les logiciels
Windows stocke la liste des programmes installés dans le registre, notamment pour l’affichage dans le Panneau de configuration > Programmes et fonctionnalités ou l’application Paramètres > Applications. Ces clés permettent aux utilisateurs ou aux outils de désinstallation de localiser le chemin de désinstallation, d’obtenir le nom exact du programme, sa version, son éditeur, sa date d’installation, etc.
Il est aussi possible de repérer des restes de logiciels mal désinstallés, ou de créer un inventaire manuel sur une machine, directement à partir de ces clés.
Clés du registre à consulter
Pour tous les utilisateurs (programmes 64 bits ou système): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
Pour les programmes 32 bits sur un système 64 bits : HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
Programmes installés par l’utilisateur courant uniquement : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall
Chaque sous-clé représente un programme (avec un nom de type GUID ou nom lisible). À l’intérieur, on trouve différentes valeurs utiles comme :
Chaque sous-clé représente un programme (avec un nom de type GUID ou nom lisible). À l’intérieur, on trouve différentes valeurs utiles comme :
Nom de valeur
Description
DisplayName
Nom affiché dans la liste des programmes
DisplayVersion
Version du logiciel
InstallDate
Date d’installation
Publisher
Éditeur
UninstallString
Chemin exact vers la commande de désinstallation
QuietUninstallString
Chemin vers une désinstallation silencieuse (si disponible)
InstallLocation
Dossier d’installation du programme
Exemple : désinstaller manuellement un programme
Repérez dans le registre la clé du programme à supprimer.
Copiez la valeur UninstallString
Exécutez manuellement (via Exécuter ou en ligne de commande)
Facultativement : supprimez la clé si l’entrée reste visible malgré la désinstallation
Clés de registre des services Windows : fonctionnement et modification
Les services Windows sont des composants système essentiels, souvent lancés en arrière-plan au démarrage du système. Ils peuvent assurer des tâches critiques comme les mises à jour, l’impression, la sécurité ou la gestion réseau. Ces services sont gérés par le processus services.exe, mais beaucoup d’entre eux sont hébergés dans des processus partagés nommés svchost.exe (Service Host), afin de mutualiser les ressources et limiter l’empreinte mémoire.
Le registre Windows permet de visualiser, configurer et parfois réparer les services installés. Il est même possible d’ajouter ou de supprimer des services manuellement, bien que cela soit réservé aux utilisateurs expérimentés.
À l’intérieur de chaque service, on trouve de nombreuses valeurs, les plus importantes étant :
Configuration de Windows : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
La configuration matérielle : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
Les profils de configuration matérielle : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles
La liste des services Windows : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Chaque sous-clé de cette branche représente un service système ou utilisateur. Le nom de la sous-clé correspond au nom court du service (ex. : wuauserv pour Windows Update, WinDefend pour Windows Defender).
À l’intérieur de chaque service, on trouve de nombreuses valeurs, les plus importantes étant :
Nom de valeur
Description
DisplayName
Nom lisible du service
ImagePath
Chemin de l’exécutable ou commande à lancer
Start
Mode de démarrage (voir tableau ci-dessous)
Type
Type de service (interactif, kernel, partage svchost…)
Description
Description du rôle du service
DependOnService
Dépendances (services requis pour démarrer)
Valeurs possibles de Start
Valeur
Mode de démarrage
2
Automatique
3
Manuel
4
Désactivé
0
Démarrage au boot (rare, réservé aux services critiques)
1
Système (avant l’ouverture de session)
Modifier cette valeur permet, par exemple, de désactiver manuellement un service problématique ou au contraire de forcer son démarrage automatique.
Clés Shell Folders : chemins système et redirections de dossiers
Windows utilise des chemins spéciaux appelés « Shell Folders » pour localiser les dossiers système propres à chaque utilisateur ou au système global : Bureau, Documents, Téléchargements, Démarrage, ProgramData, etc. Ces chemins sont utilisés par de nombreuses applications pour enregistrer des fichiers ou charger des ressources. Ils sont définis dans le registre, ce qui permet, entre autres, de personnaliser l’emplacement de certains dossiers, ou de réparer un profil corrompu dont les chemins système ont été modifiés.
Ces clés sont également consultées au démarrage de Windows et par l’Explorateur de fichiers pour afficher les icônes ou les chemins dans les raccourcis (ex. : %USERPROFILE%\Desktop, %APPDATA%, etc.).
Localisation des clés Shell Folders
Il existe deux branches principales dans le registre :
Différence entre Shell Folders et User Shell Folders
Shell Folders contient des chemins déjà résolus (ex. : C:\Users\Nom\Desktop)
User Shell Folders contient des variables d’environnement (ex. : %USERPROFILE%\Desktop) — c’est cette clé que Windows utilise en priorité.
Les valeurs présentes dans User Shell Folders peuvent donc être modifiées dynamiquement selon l’utilisateur connecté, ce qui est utile pour la redirection de profils ou la gestion centralisée (ex. en entreprise).
Depuis Windows XP, Microsoft a intégré un système de compatibilité des applications (AppCompat) pour permettre à d’anciens programmes conçus pour des versions précédentes de Windows de fonctionner correctement. Lorsqu’un programme est identifié comme potentiellement incompatible, ou lorsqu’un utilisateur applique manuellement un mode de compatibilité (ex. : « Windows 7 », « Exécuter en tant qu’administrateur »), Windows enregistre ces préférences dans le registre via des flags AppCompat.
Ces entrées sont stockées dans des clés spécifiques du registre, et peuvent être modifiées pour forcer certains comportements, corriger un dysfonctionnement, ou supprimer des paramètres de compatibilité persistants.
Clés principales à connaître
Compatibilité utilisateur (User-specific) : HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers ─ Contient les programmes pour lesquels l’utilisateur actuel a défini un mode de compatibilité ou des options spéciales.
Compatibilité globale (pour tous les utilisateurs) : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers ─ Permet d’appliquer une compatibilité forcée à l’ensemble du système pour une application précise.
Fonctionnement des valeurs
Chaque entrée est une valeur de type chaîne (REG_SZ), où :
Nom de la valeur = chemin complet vers l’exécutable
Données = flags de compatibilité appliqués
Exemples :
Chemin de l’exécutable
Données
C:\Program Files\AncienJeu\jeu.exe
WIN7 RUNASADMIN
D:\Utilitaires\app.exe
WINXP256COLOR DISABLETHEMES
Quelques flags courants :
Flag
Effet
WINXPSP3, WIN7, WIN8
Simule un ancien environnement Windows
RUNASADMIN
Lance le programme avec des droits administrateur
DISABLETHEMES
Désactive les thèmes visuels
256COLOR
Force un affichage 256 couleurs
DPIUNAWARE
Ignore les paramètres de mise à l’échelle DPI
DISABLEDXMAXIMIZEDWINDOWEDMODE
Corrige certains jeux plein écran
Ainsi, si un programme se lance toujours en mode administrateur ou avec un comportement étrange, pense à supprimer sa clé dans AppCompatFlags\Layers. Cela réinitialisera les options de compatibilité.
Réinstaller Windows pour redonner un coup de fouet à son PC est une vieille pratique que de nombreux utilisateurs continuent d’appliquer presque machinalement. Mais est-ce toujours utile avec Windows 11 et les machines modernes ? Deux tests récents menés par PCWorld et Neowin viennent remettre les choses au clair, chiffres à l’appui.
Des différences très faibles dans les faits
Dans son dossier publié en juin 2024, PCWorld a mis à l’épreuve deux installations de Windows 11 sur la même configuration haut de gamme, équipée d’un Ryzen 9 9950X3D et de 64 Go de RAM. L’une des installations était toute fraîche, « propre », et l’autre était en service depuis un an, avec des mises à jour, des logiciels, des jeux installés, et une utilisation quotidienne typique.
Les résultats montrent que les performances générales entre les deux systèmes sont pratiquement identiques. Que ce soit dans des tests de rendu, d’usage bureautique ou de productivité (Adobe Premiere, export vidéo, multitâche), la version « sale » n’est jamais significativement à la traîne. Dans certains cas, elle fait même mieux, probablement grâce à des caches ou des profils de travail mieux rodés. Par exemple, l’export vidéo via Adobe Premiere s’est avéré 8 % plus rapide sur l’installation ancienne, ce qui est contre-intuitif.
En matière de jeu, les différences sont également très ténues. Cyberpunk 2077, par exemple, affiche un léger avantage pour la version propre lors d’un benchmark en mode qualité, mais c’est l’installation ancienne qui prend le dessus en mode ultra, avec les mêmes pilotes et les mêmes paramètres graphiques
Le verdict est similaire pour des titres comme F1 2024, avec des écarts infimes de l’ordre de 2 ou 3 %, difficilement perceptibles en pratique.
Rainbow Six ou Fornite donne des résultats avec un gain de performance est très minime.
Neowin confirme : pas de vraie supériorité pour l’installation propre
Un autre test mené par Neowin va dans le même sens. Après avoir comparé une version fraîchement installée de Windows 11 avec une autre utilisée régulièrement depuis un an, les performances globales restent dans la même marge d’erreur. Que ce soit dans les tâches lourdes comme le rendu 3D (Cinebench, Blender) ou dans le jeu, aucune des deux installations ne prend réellement le dessus. Là encore, certains jeux semblent un peu plus fluides sur l’installation propre, mais le gain est parfois inverse dans d’autres cas.
Il ressort aussi de ces analyses que la variabilité propre à Windows — les services qui tournent en arrière-plan, les tâches planifiées, les mises à jour actives — peut influencer les résultats d’un test ponctuel, ce qui rend les écarts observés souvent anecdotiques.
Alors, faut-il encore réinstaller Windows régulièrement ?
Ces deux études permettent de tirer une conclusion assez nette : pour les utilisateurs qui entretiennent leur système, évitent d’accumuler les logiciels inutiles, mettent à jour régulièrement Windows et les pilotes, une réinstallation n’apporte aucun gain tangible. L’idée selon laquelle « Windows s’encrasse avec le temps » reste valable, mais surtout dans les cas où l’on installe tout et n’importe quoi sans jamais nettoyer derrière.
En revanche, une réinstallation peut rester utile dans des cas bien précis : si le système est instable, infecté par un malware, ou s’il s’agit d’une vieille installation (plusieurs années) avec de nombreux problèmes non résolus. Dans ces situations, repartir sur une base saine est pertinent.
Mais, dans une logique de maintenance préventive, la meilleure solution reste souvent de faire un nettoyage en profondeur, désactiver les programmes inutiles au démarrage, supprimer les résidus de logiciels désinstallés, et optimiser la gestion des ressources.
Conclusion
Réinstaller Windows pour gagner en performance n’est plus un réflexe aussi utile qu’autrefois. À l’ère de Windows 11, d’un matériel puissant et de SSD rapides, les gains réels sont minimes, voire inexistants. Un système bien entretenu peut fonctionner tout aussi efficacement qu’une installation neuve.
Microsoft vient de modifier les notes de version de la mise à jour KB5001716, ajoutée au catalogue des mises à jour Windows. Jusqu’à récemment, cette mise à jour était reconnue pour forcer silencieusement les PC sous Windows 10 ou 11, en les incitant à basculer vers une version plus récente lorsqu’ils approchaient de la fin de leur cycle de support.
La mention correspondante — indiquant que la mise à jour pouvait lancer automatiquement une feature update. Notamment celle-ci indiquait :
Lorsque cette mise à jour est installée, Windows peut tenter de télécharger et d’installer des mises à jour de fonctionnalités sur votre appareil s’il approche ou a atteint la fin de la prise en charge de la version de Windows actuellement installée. Après l’installation de cette mise à jour, Windows peut afficher périodiquement une notification vous informant de problèmes susceptibles d’empêcher Windows Update de maintenir votre appareil à jour et de le protéger contre les menaces actuelles. Par exemple, vous pouvez voir une notification vous informant que votre appareil exécute actuellement une version de Windows qui a atteint la fin de son cycle de vie de support, ou que votre appareil ne répond pas aux exigences matérielles minimales pour la version actuellement installée de Windows.
Mais depuis, cette fonctionnalité a été supprimée depuis le 2 juillet 2025. Microsoft précise désormais que KB5001716 se contente de rappeler un système en fin de vie, sans initier de mise à jour forcée . Toutefois, les notifications à l’écran sur l’état de sécurité ou la fin de support restent actives. La note de Microsoft indique maintenant :
Après l’installation de cette mise à jour, Windows peut afficher périodiquement une notification vous informant de problèmes susceptibles d’empêcher Windows Update de maintenir votre appareil à jour et de le protéger contre les menaces actuelles. Par exemple, vous pouvez voir une notification vous informant que votre appareil exécute actuellement une version de Windows qui a atteint la fin de son cycle de vie de support, ou que votre appareil ne répond pas aux exigences matérielles minimales pour la version de Windows actuellement installée.
Cette décision intervient dans un contexte où la fin du support de Windows 10, prévue pour octobre 2025, suscite des pressions croissantes de la part de groupes comme le PIRG, soulignant le risque de voir des centaines de millions de PC se transformer en « déchets électroniques ». Microsoft tente ainsi d’assouplir sa politique contre les installations automatiques, tout en conservant des rappels visibles pour inciter les utilisateurs à passer à Windows 11 ou une version prise en charge.
Concrètement, après cette mise à jour, les PC recevront uniquement des alertes textuelles ou de bannière, et éventuellement des prompts plein écran, mais sans lancer d’installation en arrière-plan. Cela signifie que seuls des utilisateurs actifs pourront déclencher la mise à jour vers une nouvelle version majeure, au moment de leur choix .
Ce changement marque un tournant dans la politique de mise à jour de Microsoft. Les développeurs et administrateurs IT gagnent ainsi en maîtrise sur le moment de mise à jour, tout en assurant la sécurité par des rappels plus discrets, mais toujours bien présents.
Microsoft continue de faire évoluer Windows 11 avec un changement symbolique, mais important : la fin de l’écran bleu de la mort, aussi connu sous le nom de BSOD (Blue Screen of Death). Désormais, lors d’un plantage critique du système, les utilisateurs verront apparaître un écran noir, rebaptisé officieusement BSoD (Black Screen of Death). Ce changement est introduit dans la mise à jour 24H2, attendue pour l’été 2025.
Pourquoi ce changement visuel ?
L’objectif de Microsoft est de moderniser cet écran d’erreur tristement célèbre, présent depuis les débuts de Windows NT. Le nouvel écran noir adopte un style plus sobre, plus rapide à afficher, et surtout plus en phase avec l’identité visuelle actuelle de Windows 11. L’émoticône et le QR code ont été retirés, remplacés par une interface minimale, centrée sur l’essentiel : le code d’erreur et, le cas échéant, le pilote incriminé.
La nouvelle interface noire, épurée, ressemble davantage à l’écran de mise à jour de Windows, avec un affichage simplifié (stop code + driver fautif).
Microsoft souhaite améliorer la lisibilité et la rapidité d’identification du problème, en supprimant l’émoticône triste, le QR code et le texte trop long.
Résultat : le diagnostic est montré en quelques secondes avant un redémarrage automatique, ce qui évite d’encombrer visuellement l’utilisateur.
Performance et résilience accrues
La collecte du dump mémoire est désormais ultrarapide, ce qui permet à Windows de redémarrer environ en 2 secondes après le crash.
Ce redesign fait partie de l’appelée Quick Machine Recovery, qui accélère la récupération après un crash, notamment dans les environnements entreprise.
Ergonomie vs Confusion ?
L’affichage noir épuré peut être trompeur, certaines équipes IT ou utilisateurs occasionnels pourraient confondre la BSoD avec un simple écran de mise à jour.
L’absence de l’émoticône célèbre et la sobriété accrue pourraient rendre l’écran moins identifiable notamment pour les utilisateurs occasionnels ou plus âgés.
Un changement pas forcément apprécié
Mais, ce changement n’est pas qu’esthétique. Il s’inscrit dans une stratégie plus large de fiabilité appelée Windows Resiliency Initiative, amorcée après les incidents critiques de 2024, notamment le crash massif causé par une mise à jour CrowdStrike. Désormais, le système est capable de redémarrer plus vite après un plantage, grâce à une collecte optimisée du crash dump et à la nouvelle fonctionnalité Quick Machine Recovery, prévue pour être activée sur certains appareils professionnels.
Cette transition vers un BSOD noir pourrait toutefois créer de la confusion. L’écran noir partage en effet, une apparence visuelle proche des phases de mise à jour de Windows, ce qui risque de déstabiliser certains utilisateurs peu expérimentés ou les équipes de support habituées aux anciens codes visuels.
Malgré cela, Microsoft semble déterminé à rompre avec l’image anxiogène de l’écran bleu. Ce nouveau visage de l’erreur système reflète une volonté de tourner la page, sans toutefois renoncer à fournir les informations essentielles pour diagnostiquer un problème.
Parmi les nombreuses menaces qui circulent sur Internet, le Trojan Downloader se distingue par sa discrétion et sa dangerosité indirecte. À lui seul, ce malware n’endommage pas immédiatement votre système ni vos fichiers. Pourtant, il joue un rôle crucial dans les attaques informatiques modernes : il est chargé de télécharger et d’installer d’autres malwares plus destructeurs, comme des ransomwares, chevaux de Troie bancaires, spyware ou logiciels d’accès à distance.
Souvent diffusé par pièces jointes piégées, logiciels piratés ou publicités malveillantes, le Trojan Downloader s’exécute silencieusement en arrière-plan, établit une connexion avec un serveur distant, et livre les charges malveillantes choisies par les cybercriminels. Il constitue ainsi le premier maillon d’une chaîne d’infection, et l’un des plus critiques.
Dans cet article, vous allez découvrir :
Ce qu’est un Trojan Downloader et comment il fonctionne,
Les exemples les plus connus ayant marqué l’actualité,
Pourquoi il est si redouté par les spécialistes en cybersécurité,
Et surtout, comment s’en protéger efficacement.
Qu’est-ce qu’un Trojan Downloader ?
Un Trojan Downloader (ou cheval de Troie téléchargeur) est un type de malware spécialisé dans le téléchargement et l’installation d’autres logiciels malveillants sur l’ordinateur infecté. Contrairement à un cheval de Troie classique qui peut être conçu pour voler des données ou contrôler la machine directement, le downloader agit comme un “agent de livraison” silencieux. Son rôle principal est de préparer le terrain pour des menaces plus graves, comme des ransomwares, des spywares, des chevaux de Troie bancaires ou des logiciels d’accès à distance (RAT).
Souvent de petite taille, il passe inaperçu à l’installation et reste actif en arrière-plan. Une fois lancé, il établit une connexion avec un serveur distant (C2) pour récupérer les charges utiles, qui seront ensuite exécutées automatiquement sur le système, sans intervention de l’utilisateur.
Il fait partie des malwares les plus utilisés dans les campagnes de phishing ou dans les chaînes d’infection complexes. Le Trojan Downloader est souvent le premier maillon d’une attaque plus large, et c’est pourquoi il est particulièrement redouté : il ne fait “rien de visible” à première vue, mais ouvre la porte à tout le reste.
Fonctionnement technique d’un Trojan Downloader
Le Trojan Downloader agit de manière furtive et méthodique. Son objectif principal est de télécharger puis exécuter d’autres malwares sur la machine infectée, le plus souvent à l’insu de l’utilisateur. Voici les principales étapes de son fonctionnement :
Infection initiale
Le Trojan Downloader est généralement distribué via des vecteurs classiques :
Une fois que l’utilisateur ouvre le fichier, le trojan s’exécute discrètement en arrière-plan.
Connexion au serveur distant
Après s’être lancé, le Trojan Downloader établit une connexion sortante avec un serveur de commande (C2) contrôlé par l’attaquant. Cette communication peut se faire :
en HTTP/HTTPS (requêtes classiques vers des URLs codées ou dynamiques),
en protocole personnalisé (plus difficile à détecter),
parfois via réseaux P2P pour éviter les coupures de serveur.
Le trojan peut récupérer une liste de malwares à télécharger depuis son serveur C2, avec les URLs, signatures ou instructions associées. Dans certains cas, l’adresse du fichier à télécharger est déjà contenue dans le code du trojan : elle peut être codée en dur ou générée dynamiquement à l’exécution, par exemple via une fonction de construction d’URL.
Téléchargement de la charge utile (payload)
Le Trojan Downloader télécharge ensuite un ou plusieurs fichiers malveillants depuis le serveur distant :
ransomware,
spyware,
keylogger,
cheval de Troie bancaire,
outil d’accès à distance (RAT),
ou une nouvelle version de lui-même (mise à jour).
Ces fichiers sont souvent chiffrés ou compressés pour éviter la détection par les antivirus.
Exécution et installation
Une fois les fichiers récupérés, le downloader les exécute immédiatement ou les installe via :
des scripts temporaires (PowerShell, VBS…),
l’injection dans un processus système,
ou en copiant les fichiers dans des dossiers système avec un point de chargement (autorun) pour la persistance (Run/RunOnce, services, tâches planifiées…).
Le downloader peut ensuite s’effacer lui-même pour masquer son rôle dans la chaîne d’infection.
Exemples concrets de Trojan Downloaders connus
Plusieurs Trojan Downloaders célèbres ont été massivement utilisés dans des attaques à grande échelle, souvent comme première étape avant le déploiement d’un ransomware ou d’un malware bancaire.
Upatre(2013–2016)
L’un des premiers Trojan Downloaders largement utilisés dans des campagnes de malspam. Il était souvent distribué via des pièces jointes .ZIP contenant des exécutables déguisés, et servait principalement à télécharger le cheval de Troie bancaire Zeus ou le ransomware CryptoLocker.
Gamarue / Andromeda(2011–2017)
Utilisé dans des kits d’exploitation ou campagnes de spam, Gamarue était un downloader modulaire qui pouvait installer divers malwares selon le profil de la victime. Il a été démantelé en 2017 lors d’une opération conjointe entre Microsoft et le FBI.
Kovter(2014–2020)
Évoluant du simple adware au trojan downloader furtif, Kovter utilisait des techniques de persistance dans le registre Windows uniquement (sans fichier sur disque), rendant sa détection complexe. Il servait à télécharger des ransomwares ou des logiciels publicitaires à grande échelle.
Smoke Loader(depuis 2011 – actif en 2025)
Toujours en activité, Smoke Loader est utilisé dans des campagnes massives de malspam, souvent couplé à d’autres malwares. Il se distingue par sa légèreté et sa capacité à enchaîner les téléchargements de charges utiles (ransomware, RAT, miner…).
Emotet(2014–2021, réapparu brièvement en 2022)
Initialement un trojan bancaire, Emotet est rapidement devenu l’un des downloaders les plus puissants et distribués au monde. Il infectait les victimes via des documents Word piégés, et téléchargeait des malwares comme TrickBot, Qbot, ou des ransomwares comme Ryuk. Son infrastructure a été démantelée début 2021 par Europol, mais des variantes ont refait surface.
En parallèle des exécutables .exe ou des fichiers macro, les trojans écrits en JavaScript (.js) ou en VBScript (.vbs) sont encore aujourd’hui très utilisés dans les campagnes de phishing. Leur force réside dans leur simplicité d’exécution et leur capacité à contourner certains filtres de messagerie, surtout quand ils sont compressés dans des archives .ZIP.
Comment ils fonctionnent :
L’utilisateur reçoit un e-mail avec un objet générique du type « Facture », « Document important », ou « Relance de paiement ».
La pièce jointe est souvent une archive .zip contenant un fichier document.js ou fichier.vbs.
Dès l’ouverture, le script télécharge en arrière-plan un exécutable depuis un serveur distant (fréquemment via wget, bitsadmin, ou powershell Invoke-WebRequest).
Il lance ensuite automatiquement l’exécutable téléchargé, qui peut être un ransomware, un RAT ou un autre downloader.
Ces scripts ne nécessitent aucune élévation de privilèges et s’exécutent simplement si l’utilisateur double-clique, ce qui les rend extrêmement efficaces, notamment dans des environnements peu protégés.
de nombreux antivirus ne détectent pas toujours ces scripts s’ils sont légèrement obfusqués ou modifiés. D’où l’importance de désactiver l’exécution des scripts inconnus, d’activer l’affichage des extensions dans l’Explorateur Windows, et d’éviter l’ouverture de pièces jointes douteuses.
Pourquoi un Trojan Downloader est-il dangereux ?
Le Trojan Downloader est souvent sous-estimé, car, à lui seul, il ne vole pas directement vos données, ne chiffre pas vos fichiers et ne prend pas le contrôle de votre webcam. Pourtant, il représente une menace majeure dans la chaîne d’infection, comme il ouvre la porte à des malwares bien plus destructeurs.
Voici pourquoi il est particulièrement dangereux.
Il agit en toute discrétion :
Un Trojan Downloader est généralement léger, silencieux, et sans effets visibles immédiats. Il peut s’exécuter en arrière-plan sans ralentir le système ni provoquer d’alerte. De nombreux utilisateurs ne se rendent compte de sa présence qu’après l’installation du vrai malware (ransomware, cheval de Troie bancaire, etc.).
Il installe des menaces bien plus graves :
Son rôle est de télécharger et exécuter d’autres malwares, ce qui signifie qu’une seule infection peut entraîner en cascade :
le vol de données confidentielles (mots de passe, fichiers),
l’installation d’un ransomware qui chiffre tout le système,
l’espionnage via un RAT (Remote Access Trojan),
ou l’intégration à un botnet utilisé pour des attaques DDoS ou du spam massif.
Il peut réinjecter des malwares après nettoyage :
Certains downloaders restent résidents ou se réinstallent via une tâche planifiée ou un point de démarrage. Résultat : même après avoir supprimé les malwares visibles, le downloader peut réinstaller la menace au redémarrage suivant.
Il est difficile à détecter :
Il utilise souvent des techniques de dissimulation : noms de fichiers trompeurs, répertoires système, extensions masquées…
Il peut employer un chiffrement ou une obfuscation de son code ou de ses communications avec le serveur.
Les antivirus ne le détectent pas toujours s’il est scripté (JavaScript, VBS) ou personnalisé pour une campagne ciblée.
Il peut adapter son comportement à la cible :
Certains Trojan Downloaders avancés sont capables de collecter des informations sur la machine infectée (langue, localisation, type de système, présence d’un antivirus…) avant de choisir quelle charge malveillante installer. Cette approche dynamique rend leur action plus efficace et ciblée.
Comment se protéger d’un Trojan Downloader
Comme le Trojan Downloader agit en amont de l’infection principale, le bloquer à temps permet souvent d’éviter tout le reste de la chaîne d’attaque : ransomware, espionnage, vol de données… Voici les meilleures pratiques à adopter pour s’en protéger efficacement.
Vigilance face aux e-mails et pièces jointes :
Ne jamais ouvrir de pièce jointe inattendue, même si l’expéditeur semble connu.
Se méfier des fichiers .zip, .js, .vbs, .lnk, .docm, .xlsm : ce sont des formats classiques pour les malwares.
Désactiver l’exécution automatique des macros dans Microsoft Office.
Toujours afficher les extensions de fichiers dans l’Explorateur Windows pour repérer les noms trompeurs (Facture.pdf.exe, etc.).
Filtrer les connexions sortantes suspectes :
Activer et configurer un pare-feu efficace (Windows Firewall ou solution tierce).
Surveiller les connexions sortantes anormales vers des domaines inconnus (à l’aide de logiciels comme GlassWire, TCPView ou Wireshark).
En entreprise : utiliser un proxy ou un filtre DNS (ex. NextDNS, Quad9, OpenDNS avec filtrage) pour bloquer les domaines C2 connus.
En juillet 2024, une mise à jour défectueuse du logiciel CrowdStrike a déclenché des crashes BSOD sur 8,5 millions de machines Windows, affectant notamment des aéroports, des banques et des hôpitaux. Ce blocage massif a entraîné une refonte des politiques de stabilité et de sécurité de Windows.
Le Windows Resiliency Initiative (WRI)
Microsoft a ainsi lancé en 2024 son initiative Windows Resiliency Initiative (WRI), avec pour objectif :
restreindre l’accès direct au noyau,
renforcer les contrôles de sécurité pour les drivers et les apps sensibles.
Désormais, la société annonce un virage majeur : les antivirus et solutions EDR (Endpoint Detection and Response) ne pourront plus s’exécuter en mode noyau, mais devront fonctionner en mode utilisateur.
Comment cela va-t-il se passer ?
Pour amorcer cette transition, Microsoft a déjà lancé une préversion privée de sa nouvelle architecture de sécurité, actuellement testée par plusieurs éditeurs majeurs d’antivirus comme CrowdStrike, Bitdefender, ESET, Trend Micro ou encore SentinelOne. Ces partenaires participent à un programme baptisé Microsoft Virus Initiative 3.0, qui vise à co-développer une nouvelle série d’APIs dédiées à l’exécution des antivirus en mode utilisateur. Microsoft leur fournit une documentation technique, des outils de test et un accompagnement pour adapter leurs moteurs de détection à cette nouvelle structure, sans accès direct au noyau du système. L’objectif est de permettre à ces solutions de continuer à offrir un haut niveau de protection, tout en éliminant les risques liés à l’exécution de code tiers dans les couches les plus sensibles de Windows. Une fois les retours consolidés et les ajustements effectués, cette architecture sera intégrée progressivement aux futures versions de Windows, notamment via Windows 11 24H2.
Quelles conséquences ?
Avantages :
Stabilité renforcée : réduire le risque de plantages en noyau, comme celui constaté avec CrowdStrike.
Reprise rapide : grâce à la future fonctionnalité Quick Machine Recovery, un système non démarrable pourra se répararer automatiquement depuis Windows RE, bientôt incluse dans la version 24H2 de Windows 11.
Diagnostic plus clair : l’équipe Windows a retravaillé le BSOD — nouveau « Black Screen », épuré, lisible, avec les codes et les drivers listés directement.
Inconvénients et défis :
Performance : exécuter des antivirus en mode utilisateur pourrait affecter les performances ou la vitesse d’analyse.
Contre‑attaques : certains anti‑cheat jeux, encore très ancrés dans le noyau, devront migrer et repenser leur architecture.
Sécurité à repenser : les AV en mode utilisateur seront plus isolés, mais aussi plus vulnérables à des interférences par d’autres apps — un équilibre à atteindre.
Vers une refonte complète des systèmes anti-triche
En parallèle du retrait des antivirus du noyau, Microsoft ambitionne de revoir en profondeur les systèmes anti-triche intégrés aux jeux sous Windows. Actuellement, de nombreuses solutions anti-triche (comme Vanguard de Riot ou BattlEye) s’exécutent au niveau noyau, ce qui leur permet de surveiller l’intégrité du système pour détecter les manipulations les plus avancées. Mais cette approche pose un double problème : risque élevé pour la stabilité, et failles de sécurité potentielles si ces outils sont mal conçus. Microsoft souhaite donc fournir une nouvelle plateforme sécurisée en mode utilisateur qui offrirait aux développeurs d’anti-triche les mêmes capacités de détection, sans accès direct au noyau. Ce changement obligera les éditeurs à adapter leur technologie, mais pourrait à terme limiter les plantages liés aux drivers mal codés et réduire les abus d’accès système au nom de la sécurité.
Ce qui arrive bientôt
Préversion de la plateforme Endpoint Security aux partenaires, attendue dans les tout prochains mois .
Windows 11 version 24H2, prévue cet été, intégrera le « Black Screen of Death » et la fonctionnalité Quick Machine Recovery par défaut.
Les logiciels anti‑cheat devront eux aussi s’adapter ou migrer vers des architectures en mode utilisateur à la future API sécurisée .
Verdict
Microsoft fait un choix stratégique : priorité à la stabilité et à la fiabilité. En plaçant les antivirus en espace utilisateur, les risques de crashs à grande échelle devraient être drastiquement atténués. Cependant, cela nécessite des révisions techniques importantes pour les éditeurs d’AV et d’anti-cheat, ainsi qu’un équilibre subtil entre performance et sécurité.
Vous tentez d’utiliser l’outil DISM (Deployment Imaging Service and Management Tool) pour réparer Windows, mais vous êtes bloqué par l’erreur 5 – « Accès refusé » ? Ce message frustrant est courant, mais heureusement, il existe plusieurs méthodes simples et efficaces pour le résoudre. Dans cet article, nous allons vous expliquer en détail les causes possibles de cette erreur et vous guider pas à pas vers les solutions adaptées. Découvrez comment exécuter DISM correctement et retrouver un système Windows pleinement fonctionnel.
Quelles sont les sources de l’erreur 5 sur DISM
Voici les raisons qui peuvent expliquer pourquoi DISM ne fonctionne pas correctement :
Commande non exécutée en tant qu’administrateur : C’est la cause la plus fréquente. DISM nécessite des privilèges élevés pour fonctionner. Notez que dans certains cas, cela peut venir d’un bug de l’UAC
Problèmes de permissions sur les fichiers système ou les dossiers utilisés : Si DISM tente d’accéder à un répertoire ou à un fichier protégé, il échouera sans les droits nécessaires.
Logiciel antivirus ou de sécurité : Certains antivirus peuvent bloquer les opérations système sensibles, comme celles de DISM.
Corruption du profil utilisateur : Un profil utilisateur endommagé peut empêcher l’exécution correcte de DISM.
Service ou dépendance non démarré(e) : Certains services Windows doivent être actifs pour que DISM fonctionne, comme le service « Windows Modules Installer ».
Système de fichiers endommagé : Des erreurs dans le système de fichiers peuvent bloquer l’accès à des composants nécessaires.
Comment corriger l’erreur 5 sur DISM
Exécuter l’invite de commandes en tant qu’administrateur :
Dans la recherche Windows, saisissez « Invite de commandes«
Puis à droite, cliquez sur « Exécuter en tant qu’administrateur«
Le contrôle des comptes utilisateurs (UAC) doit se déclencher et vous devez répondre Oui. Si ce dernier n’apparaît pas, il y a un problème.
Plus de détails, comment ouvrir une invite de commandes en administrateur :
Vérifier les autorisations du dossier de destination
Une autre cause fréquente de l’erreur DISM 5 est un problème de permissions sur le dossier ou le fichier utilisé pendant l’opération. DISM peut tenter d’accéder à une ressource système protégée ou à un dossier dont les autorisations sont insuffisantes.
Quand ce problème se pose :
Vous utilisez l’option /ApplyImage, /CaptureImage ou /Mount-Image.
Vous spécifiez un chemin de destination personnalisé.
Le fichier .wim ou .esd se trouve sur un disque externe ou dans un dossier restreint.
Étapes de vérification et de correction :
Assurez-vous que vous avez les droits administrateur sur le dossier : Onglet Sécurité > Modifier > ajoutez votre compte utilisateur avec Contrôle total.
Évitez les dossiers système protégés : N’utilisez pas de chemins comme C:\Windows ou C:\Program Files. Préférez un dossier simple comme C:\DISM.
Exécutez CMD en tant qu’administrateur (même si vous avez accès au dossier).
Pour être sûr, créez un nouveau dossier à la racine de C:\, par exemple C:\DISM, et utilisez ce chemin dans vos commandes DISM.
Désactiver temporairement l’antivirus
Certains logiciels antivirus peuvent interférer avec les opérations de DISM. Dans ce cas, désactivez temporairement votre antivirus et réessayez la commande. Autre solution, tentez la commande depuis le mode sans échec : Comment démarrer Windows en mode sans échec. Si cela fonctionne en mode sans échec, une application est la source de problèmes d’autorisations pour DISM.
Tentez la commande DISM depuis le compte administrateur intégré
Le compte administrateur intégré n’est pas soumis à l’UAC. Si ce dernier pose un problème, vous pouvez contourner l’erreur 5 de DISM de cette manière.
Ouvrez une invite de commandes puis lancez votre commande DISM pour tester si cela permet de contourner l’erreur 5
Utiliser DISM depuis les options de récupération avancées (WinRE)
Si l’erreur DISM 5 persiste malgré l’exécution en tant qu’administrateur, il est conseillé d’exécuter DISM depuis l’environnement de récupération Windows (WinRE), où le système est moins chargé et les fichiers système ne sont pas verrouillés. Étapes à suivre :
Redémarrer en mode de récupération :
Cliquez sur le menu Démarrer, maintenez Shift (Maj) enfoncé et sélectionnez Redémarrer.
Ou allez dans Paramètres > Mise à jour et sécurité > Récupération > Redémarrer maintenant sous « Démarrage avancé« .
Accéder à l’invite de commandes : Dans les options de récupération, cliquez sur Dépannage > Options avancées > Invite de commandes.
Identifier la lettre de lecteur Windows :Tapez diskpart, puis list volume pour identifier la lettre de la partition contenant Windows (souvent D: au lieu de C:).
Tapez exit pour quitter diskpart.
Lancer DISM depuis WinRE avec l’option /Image. Par exemple :
Tout d’abord, vous pouvez tenter de réparer les composants de Windows à l’aide de l’excellent utilitaire Windows Repair. Si certains services ne démarrent pas ou sont corrompus, cela peut les réparer. De même si des permissions et autorisations de fichiers sont erronées. Aidez-vous de ce guide complet : Windows Repair – outil de réparation de Windows.
Lorsque Windows est totalement endommagé et que les problèmes sont trop nombreux, vous pouvez tenter de réparer Windows 10, 11 sans perte de données et en conservant les programmes installés. Cela permet de rétablir un système fonctionnel à partir des fichiers ISO et images de Windows. La procédure est décrite pas à pas dans cet article :
Il s’agit d’une opération de réinitialisation et de remise à zéro qui supprime les applications et remet le système à son état d’origine. C’est la solution radicale pour retrouver un système fonctionnel. Pour cela :
Allez dans Paramètres > Mise à jour et sécurité > Récupération
Sous la section Réinitialiser ce PC, clique sur Commencer et choisis si tu veux conserver ou supprimer tes fichiers personnels
Les fichiers journaux de DISM peuvent fournir des détails supplémentaires sur l’erreur.
Vérifiez le fichier C:\Windows\Logs\DISM\dism.log pour des informations spécifiques.
Voici un exemple d’entrée de log :
2025-05-24 20:50:33, Info DISM DISM Package Manager: PID=13920 TID=12144 Error in operation: (null) (CBS HRESULT=0x80070005) - CCbsConUIHandler::Error 2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed finalizing changes. - CDISMPackageManager::Internal_Finalize(hr:0x80070005) 2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed processing package changes - CDISMPackageManager::StartComponentCleanupEx(hr:0x80070005) 2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed to start component cleanup. - CPackageManagerCLIHandler::ProcessCmdLine_CleanupImage(hr:0x80070005) 2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed while processing command cleanup-image. - CPackageManagerCLIHandler::ExecuteCmdLine(hr:0x80070005) 2025-05-24 20:50:33, Info DISM DISM Package Manager: PID=13920 TID=5276 Further logs for online package and feature related operations can be found at %WINDIR%\logs\CBS\cbs.log - CPackageManagerCLIHandler::ExecuteCmdLine 2025-05-24 20:50:33, Error DISM DISM.EXE: DISM Package Manager processed the command line but failed. HRESULT=80070005
Ici, 0x80070005 = Access Denied (Accès refusé). Cela indique que DISM n’a pas les droits nécessaires pour finaliser les opérations de nettoyage d’image.
Alors que la fin du support de Windows 10 approche (prévue pour le 14 octobre 2025), Microsoft multiplie les communications pour encourager la migration vers Windows 11. Dans deux publications récentes — une sur son blog officiel et une autre relayée par la presse — l’entreprise met en avant les avantages en matière de performance, de sécurité et d’intelligence artificielle de son système actuel. Et le message est clair : Windows 11 est « plus rapide, plus sûr, et plus intelligent » que Windows 10.
Windows 11 : jusqu’à 3x plus rapide sur les PC récents selon Microsoft
Dans un billet publié le 26 juin, Microsoft affirme que les PC optimisés pour Windows 11 (notamment les Copilot+ PC) sont jusqu’à 2 à 3 fois plus rapides que les machines équipées de Windows 10. Cette différence ne concerne pas uniquement la vitesse brute, mais englobe :
L’optimisation est particulièrement visible sur les Copilot+ PCs, une nouvelle génération de machines lancée en 2024, conçues autour des architectures ARM64 et intégrant nativement des modèles IA comme Recall ou Live Captions multilingues.
Microsoft précise que ces gains de performance ne sont pas obtenus uniquement par le matériel, mais aussi par des améliorations logicielles profondes dans Windows 11, notamment dans :
la gestion de la mémoire,
l’utilisation des cœurs de performance/efficacité,
le planificateur de tâches système (scheduler),
et les pilotes optimisés pour les architectures modernes.
Windows Latest a produit le tableau suivant :
Claim
Example from Test Data
Les PC sous Windows 11 ont jusqu’à 2,7 heures d’autonomie de plus que les PC sous Windows 10
Windows 10 – 15.77 hrs Windows 11 – 20.13 hrs Différence: +4.36 hrs
Les PC sous Windows 11 sont jusqu’à 2,3 fois plus rapides que les PC sous Windows 10 (Geekbench 6 Multi-core)
Windows 10: Testé sur i7-8750H, i5-6200U, etc. Windows 11: Testé sur i7-1355U, Ultra 5 125H
Windows 11 offre une navigation web jusqu’à 3,2 fois plus rapide que Windows 10 (Speedometer)
Testé avec Edge versions 130/131 Appareils :: Win10 (i3-6100U, i5-10210U) vs Win11 (Ultra 5 125U, i5-1335U)
Windows 11 offre une productivité Office jusqu’à deux fois plus rapide (test Procyon Office)
Windows 10 utilisant i5-8250U, i7-1065G7 Windows 11 utilisant i5-1335U, Ultra 5 125H Les ordinateurs modernes équipés de Win11 obtiennent deux fois plus de points dans le test de référence d’Office
Windows 11 : une sécurité de nouvelle génération
Au-delà des performances, Microsoft insiste sur les protections de sécurité intégrées dans Windows 11, que Windows 10 ne peut pas égaler, même avec un antivirus à jour.
Credential Guard : isole les identifiants et secrets du système,
Secure Boot + TPM 2.0 : validés dès le démarrage de l’appareil.
Microsoft rappelle que toutes ces fonctionnalités reposent sur des fondations matérielles modernes que Windows 10 ne peut exploiter pleinement. En clair : même bien configuré, Windows 10 reste structurellement moins protégé qu’un PC sous Windows 11 avec les fonctionnalités de sécurité activées.
Windows 11 et l’intelligence artificielle embarquée
Les Copilot+ PCs, au cœur de la stratégie Windows 11, intègrent des puces NPU qui permettent d’exécuter localement des fonctions d’intelligence artificielle :
Résumés de documents,
Traductions en temps réel,
Génération de texte ou d’images,
Assistant Copilot contextuel dans les applications.
Ces usages ne sont pas compatibles avec Windows 10, et nécessitent à la fois le matériel spécifique et le noyau de Windows 11, optimisé pour ces traitements hybrides (local + cloud).
La fin de Windows 10 approche : Microsoft pousse à la transition
Avec la date de fin de support de Windows 10 fixée au 14 octobre 2025, Microsoft rappelle que les utilisateurs doivent commencer à planifier la migration. Pour les particuliers, des mises à jour de sécurité seront disponibles jusqu’en 2028 via un abonnement Microsoft 365 (ESU). Pour les entreprises, les mises à jour ESU seront payantes dès 2025.
Mais, Microsoft préfère insister sur une logique de modernisation, plutôt qu’un simple prolongement du support :
“Migrer vers Windows 11, c’est passer sur une plateforme qui protège mieux vos données, travaille plus vite, et tire parti des innovations IA de demain.”
Parmi les menaces les plus avancées et les plus difficiles à détecter, le bootkit occupe une place à part. Ce type de malware s’attaque à une phase critique du système : le démarrage de l’ordinateur, avant même que Windows ne soit chargé. En infectant le MBR (Master Boot Record) ou le firmware UEFI, un bootkit peut prendre le contrôle du PC dès l’allumage, cacher d’autres malwares et désactiver les protections de sécurité, tout en restant pratiquement invisible pour les antivirus classiques.
Dans cet article, nous allons vous expliquer :
ce qu’est un bootkit et comment il fonctionne,
pourquoi il est si difficile à détecter et à supprimer,
quels sont les exemples les plus connus (TDL4, BlackLotus, Petya…),
et comment vous protéger efficacement, notamment grâce au Secure Boot et à l’UEFI.
J’ai donc synthétisé pour vous tout ce qu’il faut savoir dans ce guide complet qui vous donnera une vue complète sur cette menace extrêmement furtive, mais bien réelle.
Qu’est-ce qu’un bootkit ?
Un bootkit (contraction de bootloader et rootkit) est un type de malware qui s’infiltre dans la phase de démarrage du système, bien avant que Windows ou tout autre OS ne soit complètement chargé. Il cible généralement :
ou le bootloader UEFI (EFI/ESP) sur les machines modernes.
Une fois installé, le bootkit peut dissimuler d’autres malwares, prendre le contrôle total du système, et intercepter des fonctions système critiques, tout en restant pratiquement invisible.
Comment fonctionne un bootkit et pourquoi sont-ils si difficiles à détecter ?
Un bootkit agit dès le démarrage de l’ordinateur, avant même que l’antivirus ou le noyau de Windows ne soient actifs. Il s’insère dans la chaîne de démarrage et charge un code malveillant en mémoire, qui peut ensuite :
injecter des composants malveillants dans le noyau (kernel),
contourner les contrôles d’intégrité,
cacher des fichiers, processus ou connexions réseau.
Ce fonctionnement bas-niveau permet au bootkit de prendre la main avant que les protections du système ne soient en mesure de le détecter. Il est donc très difficile à repérer et encore plus compliqué à supprimer sans un accès direct au firmware ou un environnement de secours.
Ainsi, les bootkits ne s’exécutent pas dans le cadre normal du système d’exploitation. Cela signifie que :
les outils antivirus classiques ne peuvent pas les analyser, puisqu’ils sont actifs avant leur propre lancement,
certains bootkits utilisent des signatures numériques valides, leur permettant de contourner Secure Boot,
ils peuvent survivre à un formatage ou à une réinstallation de l’OS, si le secteur de démarrage ou le firmware n’est pas réinitialisé.
Que peut faire un bootkit ?
Les capacités d’un bootkit varient selon les cas, mais elles incluent généralement :
l’espionnage (keylogger, interception de trafic, vol d’identifiants),
le contrôle total du système, y compris l’élévation de privilèges,
la persistance extrême, même après un formatage classique,
la manipulation de fonctions système, rendant la machine instable ou totalement compromise.
Certains de ces bootkits visaient le vol d’informations (TDL4, Rovnix), d’autres étaient conçus pour un impact destructif (Petya, NotPetya), tandis que les plus récents (BlackLotus, CosmicStrand) visent à cacher leur présence tout en servant de base à d’autres malwares (ransomware, spyware, etc.).
Exemples de bootkits connus
En MBR
Le MBR (Master Boot Record) était historiquement plus vulnérable aux attaques de bootkits pour plusieurs raisons techniques et structurelles :
Absence de vérification d’intégrité : Le BIOS (ancien firmware des PC) chargeait le MBR sans vérifier sa légitimité. Il n’existait ni signature cryptographique, ni système de validation par le constructeur
Facilité d’écriture pour un malware : Un malware pouvait utiliser des commandes système simples (\\.\PhysicalDrive0) pour écrire directement dans le MBR, sans besoin de privilèges élevés, ni alerte sécurité
Pas de Secure Boot à l’époque du MBR
De ce fait, de nombreux boookits ont vu le jour à partir de 2010.
TDL4 (Alureon) est un des bootkits les plus répandus dans les années 2010. Il infectait le MBR pour charger un rootkit au démarrage, permettant de cacher des fichiers, détourner le trafic réseau et désactiver les protections système. TDL4 représentait une menace durable sur Windows XP et Windows 7.
Rovnix est une autre menace de ce type modulaire découvert vers 2012. Il injectait du code dans le MBR et utilisait des techniques de persistance avancées. Il ciblait principalement les données bancaires, en interceptant les sessions de navigation.
Un cas très particulier : Petya est avant tout un ransomware, mais sa particularité est qu’il modifiait le MBR pour bloquer l’accès au système dès le démarrage. Plutôt que de chiffrer les fichiers individuellement, il remplaçait le bootloader Windows par un faux écran de vérification de disque, puis chiffrer la table MFT (Master File Table) du disque. Même si ce n’est pas un bootkit classique (car il ne se cache pas et ne cherche pas à persister), Petya utilise les techniques des bootkits pour prendre le contrôle avant Windows, et en cela, il représente un cas hybride.
En UEFI
L’UEFI ajoute des mécanismes de sécurité qui visent à rendre l’installation de bootkit plus difficile. Toutefois, des bootkits UEFI existent.
LoJax a été découvert en 2018 par les chercheurs d’ESET. Il s’agit du premier malware UEFI observé à l’état sauvage, utilisé dans une campagne ciblée d’espionnage attribuée au groupe de cyberespionnage APT28 (Fancy Bear), lié à la Russie. LoJax ne s’attaquait pas au système Windows directement, mais au firmware UEFI, en modifiant le contenu de la partition système EFI (ESP).
Le bootkit CosmicStrand, découvert dans le firmware de cartes mères modifiées, ce bootkit UEFI injecte un malware en mémoire lors du boot. Il prouve que les pirates peuvent compromettre un PC dès le firmware, même si le disque est remplacé ou Windows réinstallé.
Puis BlackLotus , l’un des bootkits UEFI les plus redoutés. Il exploite une faille (CVE-2022-21894) pour désactiver Secure Boot, bypasser BitLocker, et installer une charge persistante dès le démarrage. Il fonctionne même sur des machines modernes entièrement à jour. Il s’agit d’un malware vendu à l’origine sur les forums underground, signalant un tournant dans la sophistication des bootkits UEFI.
Comment s’en protéger ?
La meilleure défense contre les bootkits repose sur une combinaison de bonnes pratiques, de paramétrage firmware et de technologies modernes.
Activer Secure Boot
Les bootkits tirent leur force du fait qu’ils s’exécutent avant le système d’exploitation, en s’insérant dans le processus de démarrage (MBR ou UEFI). Pour contrer cette menace, Microsoft a introduit, à partir de Windows 8, deux mécanismes complémentaires : Secure Boot et ELAM (Early Launch Anti-Malware). Ensemble, ils forment une chaîne de confiance conçue pour empêcher tout code non autorisé de s’exécuter au démarrage.
Secure Boot est une fonctionnalité de l’UEFI qui vérifie, au moment du démarrage, que chaque composant chargé (bootloader, noyau, drivers critiques) est signé numériquement par un éditeur approuvé (Microsoft ou OEM). Si un fichier EFI a été modifié ou s’il ne possède pas de signature valide, le firmware bloque son exécution (Security Violated). Cela vise notamment à corriger le problème d’absence de vérification d’intégrité présent dans MBR.
Voilà pourquoi il est totalement contre-indiqué de désactiver le Secure boot
ELAM (Early Launch Anti-Malware) est un pilote antivirus spécial lancé avant les pilotes tiers lors du démarrage de Windows. Son rôle est de scanner les pilotes qui se chargent très tôt (y compris ceux injectés par un bootkit) et de bloquer ceux qui sont malveillants ou suspects. Même si un bootkit contourne Secure Boot ou s’insère plus loin dans la chaîne de démarrage, ELAM peut intercepter son action au moment où il tente d’injecter un composant malveillant dans le noyau de Windows.
Installez les mises à jour de sécurité de Windows. Microsoft peut publier des mises à jour du firmware EFI via Windows Update
Installez les mises à jour proposées dans les outils des fabricants de PC OEM
Utiliser un antivirus avec protection UEFI
Certains antivirus avancés (comme ESET, Kaspersky, Bitdefender ou Windows Defender sur machines compatibles) scannent le firmware UEFI pour détecter d’éventuelles modifications.
Éviter les ISO ou installeurs non vérifiés
Les bootkits peuvent être installés via des supports compromis : clés USB modifiées, ISO piégés, ou systèmes pré-infectés. Le risque notamment est lorsque l’on installe une version modifiée de Windows. Vous n’êtes pas certains que l’auteur y a inséré un malware et notamment un bootkit.
Toujours utiliser des sources officielles.
Utiliser des outils spécialisés de détection
Des outils comme UEFItool, CHIPSEC, ou des antivirus à démarrage sécurisé (bootables) peuvent analyser l’intégrité du firmware.
Comment supprimer un bootkit ?
La suppression d’un bootkit est complexe et dépend du type de système infecté :
Pour les anciens systèmes MBR : réinitialiser le MBR, puis formater complètement le disque.
Pour les systèmes UEFI : réinitialiser le BIOS/UEFI aux paramètres d’usine, flasher le firmware si nécessaire, puis réinstaller l’OS avec Secure Boot actif.
Dans certains cas, utilisez des outils de secours bootables, comme :
Microsoft Defender Offline,
ESET SysRescue Live,
ou un LiveCD Linux spécialisé dans l’analyse firmware.
Un rootkit est un malware furtif qui s’exécute dans le système d’exploitation, souvent au niveau noyau (kernel mode), et qui sert à masquer d’autres fichiers, processus ou connexions. Il se charge après Windows. Au tour des années 2007, il fallait utiliser des outils comme GMER ou TDSKiller de Kaspersky pour détecter ce type de malware. De son côté, un bootkit, lui, est une extension du rootkit, mais encore plus bas niveau : il s’infiltre dans le processus de démarrage, avant Windows, ce qui lui donne un contrôle total sur la machine dès l’allumage.
Critère
Rootkit
Bootkit
Emplacement
Noyau de Windows, pilotes, services, registre
MBR, secteur de démarrage, firmware UEFI
Moment d’exécution
Après le démarrage du système (post-boot)
Avant ou pendant le démarrage du système (pre-boot)
Objectif principal
Cacher d’autres malwares, manipuler le système
Contrôler la phase de boot, injecter du code très tôt
Mode d’action
Injection dans des processus ou des pilotes
Remplacement ou modification du bootloader
Furtivité
Très élevée, mais dépend de la version de l’OS
Extrême : le malware agit avant que le système ne se charge
Connexion
En cas de doute, revenez à la configuration matérielle d’origine et testez étape par étape.
Avant toute modification du registre, pensez à sauvegarder les clés concernées ou à créer un point de restauration système, afin d’éviter tout dysfonctionnement.
et le QR code ont été retirés, remplacés par une interface minimale, centrée sur l’essentiel : le code d’erreur et, le cas échéant, le pilote incriminé.
Différence: +4.36 hrs
