Le 8 juillet 2025, Microsoft a publié la mise à jour cumulative KB5062553 pour Windows 11 version 24H2 (build 26100.4652). Elle s’installe automatiquement via Windows Update, mais Microsoft propose également un installateur hors‑ligne (.msu) pour une installation manuelle ou en environnement multi‑PC.
Des icônes plus compactes sur la barre des tâches
L’un des changements les plus visibles concerne la barre des tâches : il est désormais possible d’afficher des icônes plus petites automatiquement, pour gagner de la place en cas de surcharge. Une option “Afficher les icônes plus petites” apparaît dans Paramètres > Personnalisation > Barre des tâches, avec des réglages selon la densité à l’écran. Bien que la barre conserve sa hauteur originale, Windows réduit la taille des icônes pour accueillir davantage d’applications ouvertes .
Confidentialité améliorée via le Narrateur
La mise à jour intègre une nouvelle fonctionnalité baptisée Screen Curtain pour Narrateur, accessible par Verrou + Ctrl + C. Elle permet de noircir l’écran tout en conservant la lecture vocale, protégeant ainsi les informations sensibles en public.
Copilot+ : interaction directe avec Microsoft 365
Les utilisateurs de PC avec plus de 40 TOPs (Copilot+ PCs) bénéficieront d’un menu contextuel enrichi dans Click To Do (clic droit ou touche Copilot), autorisant l’envoi direct de texte ou d’images au Microsoft 365 Copilot, sans copier-coller.
Explorateur de fichiers accéléré
La mise à jour améliore les performances de l’Explorateur de fichiers, avec des gains allant jusqu’à +10–15 % lors de la gestion de gros fichiers compressés en .7z ou .rar, particulièrement lorsque l’archive contient un grand nombre de petites entrées.
Migration PC-to-PC et autres correctifs
Un outil de migration PC vers PC fait son apparition dans les applications de sauvegarde, permettant de copier des données localement via réseau, sans passer par le cloud. Il est encore en cours de déploiement.
Le patch corrige également divers problèmes, notamment des bugs liés à Alt+Tab pendant les jeux, aux faux avertissements du pare-feu, aux performances de Windows Search, aux animations GPU, à l’impression, à explorer.exe, et au nettoyage des fonctionnalités ou langues optionnelles. Certains de ces problèmes étaient en partie apportés par le KB5060829.
Installation manuelle et exigences
L’update pèse environ 3 Go sur PC x64 ou ARM, une taille justifiée par l’inclusion d’IA embarquée dans l’installateur, même si celle-ci n’est pas utilisée sur tous les systèmes. Pour les installations hors ligne, rendez-vous sur le Microsoft Update Catalog, puis téléchargez l’installateur correspondant à votre architecture.
Avant l’installation, pensez à créer un point de restauration pour préserver un état stable en cas de problème.
En résumé
La mise à jour KB5062553 apporte plusieurs améliorations concrètes et utiles. La barre des tâches devient plus compacte en cas de débordement, l’accessibilité est renforcée avec Screen Curtain, la compatibilité avec Copilot+ est étendue, et l’explorateur gagne en réactivité. Microsoft corrige aussi des bugs gênants, signe d’un engagement clair à améliorer l’expérience utilisateur. Cette update s’inscrit dans la logique d’évolution progressive de Windows 11 vers plus de personnalisation, de performance et d’accessibilité.
Le registre Windows est un composant central du système, dans lequel sont stockés les paramètres de configuration de Windows, des pilotes et de la plupart des logiciels installés. Si vous êtes à l’aise avec cet outil, certaines clés du registre peuvent vous permettre de personnaliser en profondeur votre système, de désactiver des fonctionnalités comme Windows Defender, de bloquer la télémétrie, ou encore de gérer les programmes au démarrage sans passer par des outils tiers.
Dans cet article, nous vous présentons une sélection de clés de registre importantes et couramment utilisées pour la configuration, le dépannage ou l’optimisation de Windows. Que vous soyez technicien, administrateur ou simple utilisateur avancé, ces clés vous permettront de mieux comprendre et maîtriser les coulisses du système d’exploitation.
Avant toute modification du registre, pensez à sauvegarder les clés concernées ou à créer un point de restauration système, afin d’éviter tout dysfonctionnement.
Désactiver Windows Defender via le registre : les clés à connaître
Windows Defender est l’antivirus intégré à Windows 10 et 11. Bien qu’il offre une protection efficace et discrète, certains utilisateurs avancés ou administrateurs système souhaitent parfois le désactiver, temporairement ou définitivement. Si l’option est grisée dans les paramètres ou bloquée par la stratégie de groupe, il est possible de désactiver Defender directement via le registre Windows.
Clé principale à modifier
Pour désactiver complètement Windows Defender, il faut créer (ou modifier) la valeur suivante :
Cela désactive le service principal de Windows Defender à condition que Microsoft Defender Antivirus ne soit pas géré par une solution de sécurité tierce ou par une politique de sécurité système (GPO).
Désactiver la protection en temps réel
Si vous ne souhaitez pas désactiver Defender totalement, mais uniquement sa protection en temps réel, vous pouvez aussi agir sur cette clé :
Cela permet de désactiver différentes composantes actives de la surveillance Defender sans couper complètement le moteur antivirus.
Précautions
Après avoir modifié ces clés, redémarrez le système pour que les changements prennent effet.
Certaines versions de Windows peuvent réactiver automatiquement Defender, surtout après une mise à jour majeure. Il peut être nécessaire de répéter l’opération.
Sur Windows 11, Tamper Protection (protection contre les modifications non autorisées) doit être désactivée au préalable depuis les paramètres de sécurité Windows, sinon les modifications du registre seront ignorées.
Programmes au démarrage : les clés de registre à surveiller (Run, RunOnce, etc.)
Le registre Windows contient plusieurs clés dédiées à l’exécution automatique de programmes au démarrage du système ou lors de la connexion d’un utilisateur. Ces clés sont fréquemment utilisées par les applications légitimes (ex. : antivirus, pilotes, assistants logiciels), mais aussi par les malwares et adwares, qui les exploitent pour s’exécuter en arrière-plan sans être détectés.
Clés les plus courantes à connaître
Les clés suivantes sont utilisées pour lancer des programmes automatiquement. Certaines s’appliquent à tous les utilisateurs du système (HKLM), d’autres uniquement à l’utilisateur actuellement connecté (HKCU) :
Ces clés contiennent les programmes à exécuter à chaque démarrage. Chaque entrée correspond à un exécutable ou un script qui s’exécutera après le chargement d’Explorer.exe (le bureau Windows).
Les clés RunOnce permettent d’exécuter un programme une seule fois au prochain démarrage. Elles sont souvent utilisées lors d’installations logicielles pour effectuer des tâches post-redémarrage (ex. : suppression de fichiers temporaires ou finalisation d’une configuration).
Ces clés étaient principalement utilisées sous Windows 9x/Me. Elles ont aujourd’hui peu d’effet sur Windows 10/11, mais peuvent encore être explorées par des malwares à des fins de compatibilité ou de contournement des outils de sécurité modernes.
Scripts d’ouverture de session
Outre les clés Run, Windows permet également de lancer des scripts lors de la connexion utilisateur, via des clés de stratégie de groupe :
Ces scripts sont généralement définis par des administrateurs de domaine ou via des GPO locales, notamment dans les environnements professionnels. Ils permettent d’exécuter des commandes, de mapper des lecteurs réseaux, ou d’appliquer des configurations personnalisées.
Désactiver la télémétrie et la collecte de données via le registre
Depuis Windows 10, Microsoft collecte automatiquement diverses données système via la télémétrie, dans le but officiel d’améliorer la stabilité, la sécurité et les performances du système. Toutefois, cette collecte soulève des préoccupations en matière de confidentialité, notamment dans les environnements sensibles ou pour les utilisateurs soucieux de maîtriser les échanges avec Microsoft.
Même si certains paramètres peuvent être désactivés via l’interface graphique ou les stratégies de groupe (GPO), il est aussi possible de désactiver partiellement la télémétrie via le registre.
Limiter la télémétrie avec la clé « AllowTelemetry »
0 = Sécurité (seulement pour Windows Enterprise, Education ou LTSC)
1 = De base
2 = Amélioré (supprimé depuis Windows 10 2004)
3 = Complet
Sur les éditions Famille et Professionnel, la valeur 0 n’est pas appliquée, même si elle est définie. Le niveau minimum reste 1.
Plusieurs services Windows sont responsables de la collecte et de l’envoi de données. Tu peux les désactiver ou les neutraliser via le registre (ou via l’utilitaire services.msc si tu préfères une interface graphique).
Désactiver les diagnostics connectés : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen → 0(optionnel, pour l’intégration avec SmartScreen)
Désactiver le service DiagTrack (Tracking Service) : Même si cela ne passe pas uniquement par le registre, tu peux arrêter et désactiver ce service via commande :
Clés pour bloquer l’exécution automatique des périphériques USB/CD/DVD
L’exécution automatique (AutoRun / AutoPlay) permet à Windows d’ouvrir automatiquement un programme, un menu ou une notification dès qu’un périphérique de stockage est connecté (clé USB, CD/DVD, disque dur externe, etc.). Si cette fonctionnalité est pratique, elle représente aussi une faille de sécurité potentielle, souvent exploitée par des malwares pour s’installer silencieusement à partir d’un support amovible.
Heureusement, il est possible de désactiver totalement l’exécution automatique des périphériques via le registre Windows.
Clé :HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer (ou HKEY_LOCAL_MACHINE pour l’ensemble des utilisateurs)
Valeur DWORD :NoDriveTypeAutoRun
Valeur recommandée :0xFF (hexadécimal) → désactive AutoRun sur tous les types de lecteurs
Valeurs possibles :
Hexadécimal
Décimal
Effet
0x01
1
Désactive AutoRun sur les lecteurs non définis
0x04
4
Désactive AutoRun sur les lecteurs amovibles
0x08
8
Désactive AutoRun sur les lecteurs fixes (disques durs internes)
0x10
16
CD/DVD
0x20
32
Réseaux
0x80
128
Lecteurs inconnus
0xFF
255
Désactive AutoRun sur tous les types de lecteurs
Conseil : Utilisez 0xFF pour un blocage total, idéal en contexte professionnel ou pour sécuriser un poste sensible.
Pour appliquer la même politique à tous les utilisateurs, utilisez HKEY_LOCAL_MACHINE.
Gérer Windows Update depuis le registre (clés importantes)
Le comportement de Windows Update peut être modifié ou personnalisé via le registre, notamment pour différer les mises à jour, désactiver les redémarrages automatiques, ou forcer des paramètres spécifiques sur des éditions qui ne donnent pas accès à toutes les options dans l’interface graphique. Cela est particulièrement utile en environnement professionnel ou pour les utilisateurs souhaitant un contrôle plus fin sur les mises à jour de leur système.
Comme ces paramètres sont répartis sur plusieurs emplacements du registre (WUSettings, AU, Policies…), nous avons rédigé un article complet dédié aux différentes clés disponibles et à leur rôle :
Clés liées à la stratégie de mot de passe / verrouillage
La stratégie de mot de passe et de verrouillage automatique de l’écran est essentielle pour garantir la sécurité d’un poste Windows, notamment en entreprise ou sur un ordinateur partagé. Si ces paramètres sont généralement configurables via les stratégies de sécurité locales (secpol.msc) ou les paramètres système, il est aussi possible de les modifier directement dans le registre Windows, en particulier sur les éditions Familiale qui n’ont pas accès à certaines interfaces avancées.
Cette clé permet de verrouiller automatiquement la session après un certain temps d’inactivité. Cela fonctionne même si l’utilisateur n’a pas défini explicitement d’écran de veille avec mot de passe.
Forcer l’exigence du mot de passe après l’écran de veille
Clé :HKEY_CURRENT_USER\Control Panel\Desktop
Valeur chaîne à modifier :ScreenSaverIsSecure
1 = demander le mot de passe après la reprise
0 = ne pas le demander
Autre valeur utile :ScreenSaveTimeOut → définit le délai avant activation de l’écran de veille (en secondes)
Ces paramètres fonctionnent ensemble : tu peux configurer l’écran de veille pour qu’il apparaisse après 5 ou 10 minutes, puis exiger un mot de passe à la reprise.
Clés Shell et Winlogon : ce qui se lance à la connexion Windows
Au démarrage de Windows, plusieurs processus sont automatiquement chargés avant que l’utilisateur accède pleinement à sa session. Parmi les clés du registre les plus critiques à ce niveau, les clés associées à Winlogon et Shell contrôlent ce qui se lance juste après la connexion (ou même avant, pour les scripts système). Comprendre ces clés est essentiel pour diagnostiquer des problèmes de démarrage, détecter des infections, ou personnaliser des comportements système.
Les clés Shell et Userinit sont très surveillées par les antivirus, car elles sont souvent détournées par des logiciels malveillants pour se lancer avant tout autre processus. Modifier ces clés à la main sans précaution peut empêcher le chargement correct du bureau Windows ou conduire à un écran noir après la connexion. Celle-ci est très utilisée par les Trojan Winlock.
Clé principale :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Cette clé contient plusieurs valeurs importantes utilisées lors du logon (connexion de session). Les plus connues sont :
Shell
Définit le programme chargé après connexion.
Par défaut : explorer.exe
Si cette valeur est modifiée (ex. : cmd.exe, malware.exe, etc.), cela remplace complètement l’Explorateur Windows. Certains malwares exploitent cette clé pour bloquer l’interface graphique et afficher leur propre charge utile.
Userinit
Valeur par défaut : C:\Windows\System32\userinit.exe,
Ce programme initialise le profil utilisateur et exécute certains scripts de logon.
Si un malware est ajouté ici, il peut s’exécuter juste avant l’ouverture du bureau, en toute discrétion.
Connexion automatique : activer l’ouverture de session sans mot de passe
La clé Winlogon permet également de configurer une connexion automatique, sans demander de mot de passe à l’ouverture de session. C’est une option parfois utilisée sur des machines personnelles, des bornes publiques, des environnements de test, ou des systèmes embarqués.
Pour cela, il faut renseigner plusieurs valeurs dans cette même clé :
AutoAdminLogon → 1 (active la connexion auto)
DefaultUserName → nom du compte utilisateur à ouvrir
DefaultPassword → mot de passe associé (stocké en clair dans le registre)
DefaultDomainName → nom de la machine locale ou domaine AD
LegalNoticeCaption / LegalNoticeText → permet d’afficher un message légal ou une alerte à l’ouverture de session (utilisé en entreprise)
GinaDLL → ancienne DLL pour modifier la gestion du logon (Windows XP/2000)
Clés relatives aux menus contextuels de Windows (clic droit)
Le menu contextuel, accessible via un clic droit sur un fichier, un dossier ou le bureau, est une fonctionnalité essentielle de l’interface Windows. Avec le temps, ce menu peut s’encombrer d’entrées inutiles ajoutées par des logiciels tiers (antivirus, lecteurs multimédias, outils de compression…), ou à l’inverse, certaines options peuvent disparaître à la suite d’un bug ou d’une mauvaise désinstallation. Heureusement, il est possible de personnaliser ou nettoyer ces menus via le registre Windows.
Où se trouvent les clés du menu contextuel dans le registre
Les entrées du clic droit sont réparties à plusieurs emplacements du registre, selon le type d’objet cliqué (fichier, dossier, raccourci…) et le contexte utilisateur ou système.
Entrées générales (tous types de fichiers)
HKEY_CLASSES_ROOT\*\shell
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
Ces emplacements contrôlent les options qui s’appliquent à tous les fichiers, quel que soit leur type (ex. : « Analyser avec antivirus », « Envoyer vers », « Ajouter à l’archive », etc.).
Programmes installés : les clés de registre à connaître pour désinstaller ou identifier les logiciels
Windows stocke la liste des programmes installés dans le registre, notamment pour l’affichage dans le Panneau de configuration > Programmes et fonctionnalités ou l’application Paramètres > Applications. Ces clés permettent aux utilisateurs ou aux outils de désinstallation de localiser le chemin de désinstallation, d’obtenir le nom exact du programme, sa version, son éditeur, sa date d’installation, etc.
Il est aussi possible de repérer des restes de logiciels mal désinstallés, ou de créer un inventaire manuel sur une machine, directement à partir de ces clés.
Clés du registre à consulter
Pour tous les utilisateurs (programmes 64 bits ou système): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
Pour les programmes 32 bits sur un système 64 bits : HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
Programmes installés par l’utilisateur courant uniquement : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall
Chaque sous-clé représente un programme (avec un nom de type GUID ou nom lisible). À l’intérieur, on trouve différentes valeurs utiles comme :
Chaque sous-clé représente un programme (avec un nom de type GUID ou nom lisible). À l’intérieur, on trouve différentes valeurs utiles comme :
Nom de valeur
Description
DisplayName
Nom affiché dans la liste des programmes
DisplayVersion
Version du logiciel
InstallDate
Date d’installation
Publisher
Éditeur
UninstallString
Chemin exact vers la commande de désinstallation
QuietUninstallString
Chemin vers une désinstallation silencieuse (si disponible)
InstallLocation
Dossier d’installation du programme
Exemple : désinstaller manuellement un programme
Repérez dans le registre la clé du programme à supprimer.
Copiez la valeur UninstallString
Exécutez manuellement (via Exécuter ou en ligne de commande)
Facultativement : supprimez la clé si l’entrée reste visible malgré la désinstallation
Clés de registre des services Windows : fonctionnement et modification
Les services Windows sont des composants système essentiels, souvent lancés en arrière-plan au démarrage du système. Ils peuvent assurer des tâches critiques comme les mises à jour, l’impression, la sécurité ou la gestion réseau. Ces services sont gérés par le processus services.exe, mais beaucoup d’entre eux sont hébergés dans des processus partagés nommés svchost.exe (Service Host), afin de mutualiser les ressources et limiter l’empreinte mémoire.
Le registre Windows permet de visualiser, configurer et parfois réparer les services installés. Il est même possible d’ajouter ou de supprimer des services manuellement, bien que cela soit réservé aux utilisateurs expérimentés.
À l’intérieur de chaque service, on trouve de nombreuses valeurs, les plus importantes étant :
Configuration de Windows : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
La configuration matérielle : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
Les profils de configuration matérielle : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles
La liste des services Windows : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Chaque sous-clé de cette branche représente un service système ou utilisateur. Le nom de la sous-clé correspond au nom court du service (ex. : wuauserv pour Windows Update, WinDefend pour Windows Defender).
À l’intérieur de chaque service, on trouve de nombreuses valeurs, les plus importantes étant :
Nom de valeur
Description
DisplayName
Nom lisible du service
ImagePath
Chemin de l’exécutable ou commande à lancer
Start
Mode de démarrage (voir tableau ci-dessous)
Type
Type de service (interactif, kernel, partage svchost…)
Description
Description du rôle du service
DependOnService
Dépendances (services requis pour démarrer)
Valeurs possibles de Start
Valeur
Mode de démarrage
2
Automatique
3
Manuel
4
Désactivé
0
Démarrage au boot (rare, réservé aux services critiques)
1
Système (avant l’ouverture de session)
Modifier cette valeur permet, par exemple, de désactiver manuellement un service problématique ou au contraire de forcer son démarrage automatique.
Clés Shell Folders : chemins système et redirections de dossiers
Windows utilise des chemins spéciaux appelés « Shell Folders » pour localiser les dossiers système propres à chaque utilisateur ou au système global : Bureau, Documents, Téléchargements, Démarrage, ProgramData, etc. Ces chemins sont utilisés par de nombreuses applications pour enregistrer des fichiers ou charger des ressources. Ils sont définis dans le registre, ce qui permet, entre autres, de personnaliser l’emplacement de certains dossiers, ou de réparer un profil corrompu dont les chemins système ont été modifiés.
Ces clés sont également consultées au démarrage de Windows et par l’Explorateur de fichiers pour afficher les icônes ou les chemins dans les raccourcis (ex. : %USERPROFILE%\Desktop, %APPDATA%, etc.).
Localisation des clés Shell Folders
Il existe deux branches principales dans le registre :
Différence entre Shell Folders et User Shell Folders
Shell Folders contient des chemins déjà résolus (ex. : C:\Users\Nom\Desktop)
User Shell Folders contient des variables d’environnement (ex. : %USERPROFILE%\Desktop) — c’est cette clé que Windows utilise en priorité.
Les valeurs présentes dans User Shell Folders peuvent donc être modifiées dynamiquement selon l’utilisateur connecté, ce qui est utile pour la redirection de profils ou la gestion centralisée (ex. en entreprise).
Depuis Windows XP, Microsoft a intégré un système de compatibilité des applications (AppCompat) pour permettre à d’anciens programmes conçus pour des versions précédentes de Windows de fonctionner correctement. Lorsqu’un programme est identifié comme potentiellement incompatible, ou lorsqu’un utilisateur applique manuellement un mode de compatibilité (ex. : « Windows 7 », « Exécuter en tant qu’administrateur »), Windows enregistre ces préférences dans le registre via des flags AppCompat.
Ces entrées sont stockées dans des clés spécifiques du registre, et peuvent être modifiées pour forcer certains comportements, corriger un dysfonctionnement, ou supprimer des paramètres de compatibilité persistants.
Clés principales à connaître
Compatibilité utilisateur (User-specific) : HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers ─ Contient les programmes pour lesquels l’utilisateur actuel a défini un mode de compatibilité ou des options spéciales.
Compatibilité globale (pour tous les utilisateurs) : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers ─ Permet d’appliquer une compatibilité forcée à l’ensemble du système pour une application précise.
Fonctionnement des valeurs
Chaque entrée est une valeur de type chaîne (REG_SZ), où :
Nom de la valeur = chemin complet vers l’exécutable
Données = flags de compatibilité appliqués
Exemples :
Chemin de l’exécutable
Données
C:\Program Files\AncienJeu\jeu.exe
WIN7 RUNASADMIN
D:\Utilitaires\app.exe
WINXP256COLOR DISABLETHEMES
Quelques flags courants :
Flag
Effet
WINXPSP3, WIN7, WIN8
Simule un ancien environnement Windows
RUNASADMIN
Lance le programme avec des droits administrateur
DISABLETHEMES
Désactive les thèmes visuels
256COLOR
Force un affichage 256 couleurs
DPIUNAWARE
Ignore les paramètres de mise à l’échelle DPI
DISABLEDXMAXIMIZEDWINDOWEDMODE
Corrige certains jeux plein écran
Ainsi, si un programme se lance toujours en mode administrateur ou avec un comportement étrange, pense à supprimer sa clé dans AppCompatFlags\Layers. Cela réinitialisera les options de compatibilité.
Réinstaller Windows pour redonner un coup de fouet à son PC est une vieille pratique que de nombreux utilisateurs continuent d’appliquer presque machinalement. Mais est-ce toujours utile avec Windows 11 et les machines modernes ? Deux tests récents menés par PCWorld et Neowin viennent remettre les choses au clair, chiffres à l’appui.
Des différences très faibles dans les faits
Dans son dossier publié en juin 2024, PCWorld a mis à l’épreuve deux installations de Windows 11 sur la même configuration haut de gamme, équipée d’un Ryzen 9 9950X3D et de 64 Go de RAM. L’une des installations était toute fraîche, « propre », et l’autre était en service depuis un an, avec des mises à jour, des logiciels, des jeux installés, et une utilisation quotidienne typique.
Les résultats montrent que les performances générales entre les deux systèmes sont pratiquement identiques. Que ce soit dans des tests de rendu, d’usage bureautique ou de productivité (Adobe Premiere, export vidéo, multitâche), la version « sale » n’est jamais significativement à la traîne. Dans certains cas, elle fait même mieux, probablement grâce à des caches ou des profils de travail mieux rodés. Par exemple, l’export vidéo via Adobe Premiere s’est avéré 8 % plus rapide sur l’installation ancienne, ce qui est contre-intuitif.
En matière de jeu, les différences sont également très ténues. Cyberpunk 2077, par exemple, affiche un léger avantage pour la version propre lors d’un benchmark en mode qualité, mais c’est l’installation ancienne qui prend le dessus en mode ultra, avec les mêmes pilotes et les mêmes paramètres graphiques
Le verdict est similaire pour des titres comme F1 2024, avec des écarts infimes de l’ordre de 2 ou 3 %, difficilement perceptibles en pratique.
Rainbow Six ou Fornite donne des résultats avec un gain de performance est très minime.
Neowin confirme : pas de vraie supériorité pour l’installation propre
Un autre test mené par Neowin va dans le même sens. Après avoir comparé une version fraîchement installée de Windows 11 avec une autre utilisée régulièrement depuis un an, les performances globales restent dans la même marge d’erreur. Que ce soit dans les tâches lourdes comme le rendu 3D (Cinebench, Blender) ou dans le jeu, aucune des deux installations ne prend réellement le dessus. Là encore, certains jeux semblent un peu plus fluides sur l’installation propre, mais le gain est parfois inverse dans d’autres cas.
Il ressort aussi de ces analyses que la variabilité propre à Windows — les services qui tournent en arrière-plan, les tâches planifiées, les mises à jour actives — peut influencer les résultats d’un test ponctuel, ce qui rend les écarts observés souvent anecdotiques.
Alors, faut-il encore réinstaller Windows régulièrement ?
Ces deux études permettent de tirer une conclusion assez nette : pour les utilisateurs qui entretiennent leur système, évitent d’accumuler les logiciels inutiles, mettent à jour régulièrement Windows et les pilotes, une réinstallation n’apporte aucun gain tangible. L’idée selon laquelle « Windows s’encrasse avec le temps » reste valable, mais surtout dans les cas où l’on installe tout et n’importe quoi sans jamais nettoyer derrière.
En revanche, une réinstallation peut rester utile dans des cas bien précis : si le système est instable, infecté par un malware, ou s’il s’agit d’une vieille installation (plusieurs années) avec de nombreux problèmes non résolus. Dans ces situations, repartir sur une base saine est pertinent.
Mais, dans une logique de maintenance préventive, la meilleure solution reste souvent de faire un nettoyage en profondeur, désactiver les programmes inutiles au démarrage, supprimer les résidus de logiciels désinstallés, et optimiser la gestion des ressources.
Conclusion
Réinstaller Windows pour gagner en performance n’est plus un réflexe aussi utile qu’autrefois. À l’ère de Windows 11, d’un matériel puissant et de SSD rapides, les gains réels sont minimes, voire inexistants. Un système bien entretenu peut fonctionner tout aussi efficacement qu’une installation neuve.
Microsoft vient de modifier les notes de version de la mise à jour KB5001716, ajoutée au catalogue des mises à jour Windows. Jusqu’à récemment, cette mise à jour était reconnue pour forcer silencieusement les PC sous Windows 10 ou 11, en les incitant à basculer vers une version plus récente lorsqu’ils approchaient de la fin de leur cycle de support.
La mention correspondante — indiquant que la mise à jour pouvait lancer automatiquement une feature update. Notamment celle-ci indiquait :
Lorsque cette mise à jour est installée, Windows peut tenter de télécharger et d’installer des mises à jour de fonctionnalités sur votre appareil s’il approche ou a atteint la fin de la prise en charge de la version de Windows actuellement installée. Après l’installation de cette mise à jour, Windows peut afficher périodiquement une notification vous informant de problèmes susceptibles d’empêcher Windows Update de maintenir votre appareil à jour et de le protéger contre les menaces actuelles. Par exemple, vous pouvez voir une notification vous informant que votre appareil exécute actuellement une version de Windows qui a atteint la fin de son cycle de vie de support, ou que votre appareil ne répond pas aux exigences matérielles minimales pour la version actuellement installée de Windows.
Mais depuis, cette fonctionnalité a été supprimée depuis le 2 juillet 2025. Microsoft précise désormais que KB5001716 se contente de rappeler un système en fin de vie, sans initier de mise à jour forcée . Toutefois, les notifications à l’écran sur l’état de sécurité ou la fin de support restent actives. La note de Microsoft indique maintenant :
Après l’installation de cette mise à jour, Windows peut afficher périodiquement une notification vous informant de problèmes susceptibles d’empêcher Windows Update de maintenir votre appareil à jour et de le protéger contre les menaces actuelles. Par exemple, vous pouvez voir une notification vous informant que votre appareil exécute actuellement une version de Windows qui a atteint la fin de son cycle de vie de support, ou que votre appareil ne répond pas aux exigences matérielles minimales pour la version de Windows actuellement installée.
Cette décision intervient dans un contexte où la fin du support de Windows 10, prévue pour octobre 2025, suscite des pressions croissantes de la part de groupes comme le PIRG, soulignant le risque de voir des centaines de millions de PC se transformer en « déchets électroniques ». Microsoft tente ainsi d’assouplir sa politique contre les installations automatiques, tout en conservant des rappels visibles pour inciter les utilisateurs à passer à Windows 11 ou une version prise en charge.
Concrètement, après cette mise à jour, les PC recevront uniquement des alertes textuelles ou de bannière, et éventuellement des prompts plein écran, mais sans lancer d’installation en arrière-plan. Cela signifie que seuls des utilisateurs actifs pourront déclencher la mise à jour vers une nouvelle version majeure, au moment de leur choix .
Ce changement marque un tournant dans la politique de mise à jour de Microsoft. Les développeurs et administrateurs IT gagnent ainsi en maîtrise sur le moment de mise à jour, tout en assurant la sécurité par des rappels plus discrets, mais toujours bien présents.
Microsoft continue de faire évoluer Windows 11 avec un changement symbolique, mais important : la fin de l’écran bleu de la mort, aussi connu sous le nom de BSOD (Blue Screen of Death). Désormais, lors d’un plantage critique du système, les utilisateurs verront apparaître un écran noir, rebaptisé officieusement BSoD (Black Screen of Death). Ce changement est introduit dans la mise à jour 24H2, attendue pour l’été 2025.
Pourquoi ce changement visuel ?
L’objectif de Microsoft est de moderniser cet écran d’erreur tristement célèbre, présent depuis les débuts de Windows NT. Le nouvel écran noir adopte un style plus sobre, plus rapide à afficher, et surtout plus en phase avec l’identité visuelle actuelle de Windows 11. L’émoticône et le QR code ont été retirés, remplacés par une interface minimale, centrée sur l’essentiel : le code d’erreur et, le cas échéant, le pilote incriminé.
La nouvelle interface noire, épurée, ressemble davantage à l’écran de mise à jour de Windows, avec un affichage simplifié (stop code + driver fautif).
Microsoft souhaite améliorer la lisibilité et la rapidité d’identification du problème, en supprimant l’émoticône triste, le QR code et le texte trop long.
Résultat : le diagnostic est montré en quelques secondes avant un redémarrage automatique, ce qui évite d’encombrer visuellement l’utilisateur.
Performance et résilience accrues
La collecte du dump mémoire est désormais ultrarapide, ce qui permet à Windows de redémarrer environ en 2 secondes après le crash.
Ce redesign fait partie de l’appelée Quick Machine Recovery, qui accélère la récupération après un crash, notamment dans les environnements entreprise.
Ergonomie vs Confusion ?
L’affichage noir épuré peut être trompeur, certaines équipes IT ou utilisateurs occasionnels pourraient confondre la BSoD avec un simple écran de mise à jour.
L’absence de l’émoticône célèbre et la sobriété accrue pourraient rendre l’écran moins identifiable notamment pour les utilisateurs occasionnels ou plus âgés.
Un changement pas forcément apprécié
Mais, ce changement n’est pas qu’esthétique. Il s’inscrit dans une stratégie plus large de fiabilité appelée Windows Resiliency Initiative, amorcée après les incidents critiques de 2024, notamment le crash massif causé par une mise à jour CrowdStrike. Désormais, le système est capable de redémarrer plus vite après un plantage, grâce à une collecte optimisée du crash dump et à la nouvelle fonctionnalité Quick Machine Recovery, prévue pour être activée sur certains appareils professionnels.
Cette transition vers un BSOD noir pourrait toutefois créer de la confusion. L’écran noir partage en effet, une apparence visuelle proche des phases de mise à jour de Windows, ce qui risque de déstabiliser certains utilisateurs peu expérimentés ou les équipes de support habituées aux anciens codes visuels.
Malgré cela, Microsoft semble déterminé à rompre avec l’image anxiogène de l’écran bleu. Ce nouveau visage de l’erreur système reflète une volonté de tourner la page, sans toutefois renoncer à fournir les informations essentielles pour diagnostiquer un problème.
Parmi les nombreuses menaces qui circulent sur Internet, le Trojan Downloader se distingue par sa discrétion et sa dangerosité indirecte. À lui seul, ce malware n’endommage pas immédiatement votre système ni vos fichiers. Pourtant, il joue un rôle crucial dans les attaques informatiques modernes : il est chargé de télécharger et d’installer d’autres malwares plus destructeurs, comme des ransomwares, chevaux de Troie bancaires, spyware ou logiciels d’accès à distance.
Souvent diffusé par pièces jointes piégées, logiciels piratés ou publicités malveillantes, le Trojan Downloader s’exécute silencieusement en arrière-plan, établit une connexion avec un serveur distant, et livre les charges malveillantes choisies par les cybercriminels. Il constitue ainsi le premier maillon d’une chaîne d’infection, et l’un des plus critiques.
Dans cet article, vous allez découvrir :
Ce qu’est un Trojan Downloader et comment il fonctionne,
Les exemples les plus connus ayant marqué l’actualité,
Pourquoi il est si redouté par les spécialistes en cybersécurité,
Et surtout, comment s’en protéger efficacement.
Qu’est-ce qu’un Trojan Downloader ?
Un Trojan Downloader (ou cheval de Troie téléchargeur) est un type de malware spécialisé dans le téléchargement et l’installation d’autres logiciels malveillants sur l’ordinateur infecté. Contrairement à un cheval de Troie classique qui peut être conçu pour voler des données ou contrôler la machine directement, le downloader agit comme un “agent de livraison” silencieux. Son rôle principal est de préparer le terrain pour des menaces plus graves, comme des ransomwares, des spywares, des chevaux de Troie bancaires ou des logiciels d’accès à distance (RAT).
Souvent de petite taille, il passe inaperçu à l’installation et reste actif en arrière-plan. Une fois lancé, il établit une connexion avec un serveur distant (C2) pour récupérer les charges utiles, qui seront ensuite exécutées automatiquement sur le système, sans intervention de l’utilisateur.
Il fait partie des malwares les plus utilisés dans les campagnes de phishing ou dans les chaînes d’infection complexes. Le Trojan Downloader est souvent le premier maillon d’une attaque plus large, et c’est pourquoi il est particulièrement redouté : il ne fait “rien de visible” à première vue, mais ouvre la porte à tout le reste.
Fonctionnement technique d’un Trojan Downloader
Le Trojan Downloader agit de manière furtive et méthodique. Son objectif principal est de télécharger puis exécuter d’autres malwares sur la machine infectée, le plus souvent à l’insu de l’utilisateur. Voici les principales étapes de son fonctionnement :
Infection initiale
Le Trojan Downloader est généralement distribué via des vecteurs classiques :
Une fois que l’utilisateur ouvre le fichier, le trojan s’exécute discrètement en arrière-plan.
Connexion au serveur distant
Après s’être lancé, le Trojan Downloader établit une connexion sortante avec un serveur de commande (C2) contrôlé par l’attaquant. Cette communication peut se faire :
en HTTP/HTTPS (requêtes classiques vers des URLs codées ou dynamiques),
en protocole personnalisé (plus difficile à détecter),
parfois via réseaux P2P pour éviter les coupures de serveur.
Le trojan peut récupérer une liste de malwares à télécharger depuis son serveur C2, avec les URLs, signatures ou instructions associées. Dans certains cas, l’adresse du fichier à télécharger est déjà contenue dans le code du trojan : elle peut être codée en dur ou générée dynamiquement à l’exécution, par exemple via une fonction de construction d’URL.
Téléchargement de la charge utile (payload)
Le Trojan Downloader télécharge ensuite un ou plusieurs fichiers malveillants depuis le serveur distant :
ransomware,
spyware,
keylogger,
cheval de Troie bancaire,
outil d’accès à distance (RAT),
ou une nouvelle version de lui-même (mise à jour).
Ces fichiers sont souvent chiffrés ou compressés pour éviter la détection par les antivirus.
Exécution et installation
Une fois les fichiers récupérés, le downloader les exécute immédiatement ou les installe via :
des scripts temporaires (PowerShell, VBS…),
l’injection dans un processus système,
ou en copiant les fichiers dans des dossiers système avec un point de chargement (autorun) pour la persistance (Run/RunOnce, services, tâches planifiées…).
Le downloader peut ensuite s’effacer lui-même pour masquer son rôle dans la chaîne d’infection.
Exemples concrets de Trojan Downloaders connus
Plusieurs Trojan Downloaders célèbres ont été massivement utilisés dans des attaques à grande échelle, souvent comme première étape avant le déploiement d’un ransomware ou d’un malware bancaire.
Upatre(2013–2016)
L’un des premiers Trojan Downloaders largement utilisés dans des campagnes de malspam. Il était souvent distribué via des pièces jointes .ZIP contenant des exécutables déguisés, et servait principalement à télécharger le cheval de Troie bancaire Zeus ou le ransomware CryptoLocker.
Gamarue / Andromeda(2011–2017)
Utilisé dans des kits d’exploitation ou campagnes de spam, Gamarue était un downloader modulaire qui pouvait installer divers malwares selon le profil de la victime. Il a été démantelé en 2017 lors d’une opération conjointe entre Microsoft et le FBI.
Kovter(2014–2020)
Évoluant du simple adware au trojan downloader furtif, Kovter utilisait des techniques de persistance dans le registre Windows uniquement (sans fichier sur disque), rendant sa détection complexe. Il servait à télécharger des ransomwares ou des logiciels publicitaires à grande échelle.
Smoke Loader(depuis 2011 – actif en 2025)
Toujours en activité, Smoke Loader est utilisé dans des campagnes massives de malspam, souvent couplé à d’autres malwares. Il se distingue par sa légèreté et sa capacité à enchaîner les téléchargements de charges utiles (ransomware, RAT, miner…).
Emotet(2014–2021, réapparu brièvement en 2022)
Initialement un trojan bancaire, Emotet est rapidement devenu l’un des downloaders les plus puissants et distribués au monde. Il infectait les victimes via des documents Word piégés, et téléchargeait des malwares comme TrickBot, Qbot, ou des ransomwares comme Ryuk. Son infrastructure a été démantelée début 2021 par Europol, mais des variantes ont refait surface.
En parallèle des exécutables .exe ou des fichiers macro, les trojans écrits en JavaScript (.js) ou en VBScript (.vbs) sont encore aujourd’hui très utilisés dans les campagnes de phishing. Leur force réside dans leur simplicité d’exécution et leur capacité à contourner certains filtres de messagerie, surtout quand ils sont compressés dans des archives .ZIP.
Comment ils fonctionnent :
L’utilisateur reçoit un e-mail avec un objet générique du type « Facture », « Document important », ou « Relance de paiement ».
La pièce jointe est souvent une archive .zip contenant un fichier document.js ou fichier.vbs.
Dès l’ouverture, le script télécharge en arrière-plan un exécutable depuis un serveur distant (fréquemment via wget, bitsadmin, ou powershell Invoke-WebRequest).
Il lance ensuite automatiquement l’exécutable téléchargé, qui peut être un ransomware, un RAT ou un autre downloader.
Ces scripts ne nécessitent aucune élévation de privilèges et s’exécutent simplement si l’utilisateur double-clique, ce qui les rend extrêmement efficaces, notamment dans des environnements peu protégés.
de nombreux antivirus ne détectent pas toujours ces scripts s’ils sont légèrement obfusqués ou modifiés. D’où l’importance de désactiver l’exécution des scripts inconnus, d’activer l’affichage des extensions dans l’Explorateur Windows, et d’éviter l’ouverture de pièces jointes douteuses.
Pourquoi un Trojan Downloader est-il dangereux ?
Le Trojan Downloader est souvent sous-estimé, car, à lui seul, il ne vole pas directement vos données, ne chiffre pas vos fichiers et ne prend pas le contrôle de votre webcam. Pourtant, il représente une menace majeure dans la chaîne d’infection, comme il ouvre la porte à des malwares bien plus destructeurs.
Voici pourquoi il est particulièrement dangereux.
Il agit en toute discrétion :
Un Trojan Downloader est généralement léger, silencieux, et sans effets visibles immédiats. Il peut s’exécuter en arrière-plan sans ralentir le système ni provoquer d’alerte. De nombreux utilisateurs ne se rendent compte de sa présence qu’après l’installation du vrai malware (ransomware, cheval de Troie bancaire, etc.).
Il installe des menaces bien plus graves :
Son rôle est de télécharger et exécuter d’autres malwares, ce qui signifie qu’une seule infection peut entraîner en cascade :
le vol de données confidentielles (mots de passe, fichiers),
l’installation d’un ransomware qui chiffre tout le système,
l’espionnage via un RAT (Remote Access Trojan),
ou l’intégration à un botnet utilisé pour des attaques DDoS ou du spam massif.
Il peut réinjecter des malwares après nettoyage :
Certains downloaders restent résidents ou se réinstallent via une tâche planifiée ou un point de démarrage. Résultat : même après avoir supprimé les malwares visibles, le downloader peut réinstaller la menace au redémarrage suivant.
Il est difficile à détecter :
Il utilise souvent des techniques de dissimulation : noms de fichiers trompeurs, répertoires système, extensions masquées…
Il peut employer un chiffrement ou une obfuscation de son code ou de ses communications avec le serveur.
Les antivirus ne le détectent pas toujours s’il est scripté (JavaScript, VBS) ou personnalisé pour une campagne ciblée.
Il peut adapter son comportement à la cible :
Certains Trojan Downloaders avancés sont capables de collecter des informations sur la machine infectée (langue, localisation, type de système, présence d’un antivirus…) avant de choisir quelle charge malveillante installer. Cette approche dynamique rend leur action plus efficace et ciblée.
Comment se protéger d’un Trojan Downloader
Comme le Trojan Downloader agit en amont de l’infection principale, le bloquer à temps permet souvent d’éviter tout le reste de la chaîne d’attaque : ransomware, espionnage, vol de données… Voici les meilleures pratiques à adopter pour s’en protéger efficacement.
Vigilance face aux e-mails et pièces jointes :
Ne jamais ouvrir de pièce jointe inattendue, même si l’expéditeur semble connu.
Se méfier des fichiers .zip, .js, .vbs, .lnk, .docm, .xlsm : ce sont des formats classiques pour les malwares.
Désactiver l’exécution automatique des macros dans Microsoft Office.
Toujours afficher les extensions de fichiers dans l’Explorateur Windows pour repérer les noms trompeurs (Facture.pdf.exe, etc.).
Filtrer les connexions sortantes suspectes :
Activer et configurer un pare-feu efficace (Windows Firewall ou solution tierce).
Surveiller les connexions sortantes anormales vers des domaines inconnus (à l’aide de logiciels comme GlassWire, TCPView ou Wireshark).
En entreprise : utiliser un proxy ou un filtre DNS (ex. NextDNS, Quad9, OpenDNS avec filtrage) pour bloquer les domaines C2 connus.
En juillet 2024, une mise à jour défectueuse du logiciel CrowdStrike a déclenché des crashes BSOD sur 8,5 millions de machines Windows, affectant notamment des aéroports, des banques et des hôpitaux. Ce blocage massif a entraîné une refonte des politiques de stabilité et de sécurité de Windows.
Le Windows Resiliency Initiative (WRI)
Microsoft a ainsi lancé en 2024 son initiative Windows Resiliency Initiative (WRI), avec pour objectif :
restreindre l’accès direct au noyau,
renforcer les contrôles de sécurité pour les drivers et les apps sensibles.
Désormais, la société annonce un virage majeur : les antivirus et solutions EDR (Endpoint Detection and Response) ne pourront plus s’exécuter en mode noyau, mais devront fonctionner en mode utilisateur.
Comment cela va-t-il se passer ?
Pour amorcer cette transition, Microsoft a déjà lancé une préversion privée de sa nouvelle architecture de sécurité, actuellement testée par plusieurs éditeurs majeurs d’antivirus comme CrowdStrike, Bitdefender, ESET, Trend Micro ou encore SentinelOne. Ces partenaires participent à un programme baptisé Microsoft Virus Initiative 3.0, qui vise à co-développer une nouvelle série d’APIs dédiées à l’exécution des antivirus en mode utilisateur. Microsoft leur fournit une documentation technique, des outils de test et un accompagnement pour adapter leurs moteurs de détection à cette nouvelle structure, sans accès direct au noyau du système. L’objectif est de permettre à ces solutions de continuer à offrir un haut niveau de protection, tout en éliminant les risques liés à l’exécution de code tiers dans les couches les plus sensibles de Windows. Une fois les retours consolidés et les ajustements effectués, cette architecture sera intégrée progressivement aux futures versions de Windows, notamment via Windows 11 24H2.
Quelles conséquences ?
Avantages :
Stabilité renforcée : réduire le risque de plantages en noyau, comme celui constaté avec CrowdStrike.
Reprise rapide : grâce à la future fonctionnalité Quick Machine Recovery, un système non démarrable pourra se répararer automatiquement depuis Windows RE, bientôt incluse dans la version 24H2 de Windows 11.
Diagnostic plus clair : l’équipe Windows a retravaillé le BSOD — nouveau « Black Screen », épuré, lisible, avec les codes et les drivers listés directement.
Inconvénients et défis :
Performance : exécuter des antivirus en mode utilisateur pourrait affecter les performances ou la vitesse d’analyse.
Contre‑attaques : certains anti‑cheat jeux, encore très ancrés dans le noyau, devront migrer et repenser leur architecture.
Sécurité à repenser : les AV en mode utilisateur seront plus isolés, mais aussi plus vulnérables à des interférences par d’autres apps — un équilibre à atteindre.
Vers une refonte complète des systèmes anti-triche
En parallèle du retrait des antivirus du noyau, Microsoft ambitionne de revoir en profondeur les systèmes anti-triche intégrés aux jeux sous Windows. Actuellement, de nombreuses solutions anti-triche (comme Vanguard de Riot ou BattlEye) s’exécutent au niveau noyau, ce qui leur permet de surveiller l’intégrité du système pour détecter les manipulations les plus avancées. Mais cette approche pose un double problème : risque élevé pour la stabilité, et failles de sécurité potentielles si ces outils sont mal conçus. Microsoft souhaite donc fournir une nouvelle plateforme sécurisée en mode utilisateur qui offrirait aux développeurs d’anti-triche les mêmes capacités de détection, sans accès direct au noyau. Ce changement obligera les éditeurs à adapter leur technologie, mais pourrait à terme limiter les plantages liés aux drivers mal codés et réduire les abus d’accès système au nom de la sécurité.
Ce qui arrive bientôt
Préversion de la plateforme Endpoint Security aux partenaires, attendue dans les tout prochains mois .
Windows 11 version 24H2, prévue cet été, intégrera le « Black Screen of Death » et la fonctionnalité Quick Machine Recovery par défaut.
Les logiciels anti‑cheat devront eux aussi s’adapter ou migrer vers des architectures en mode utilisateur à la future API sécurisée .
Verdict
Microsoft fait un choix stratégique : priorité à la stabilité et à la fiabilité. En plaçant les antivirus en espace utilisateur, les risques de crashs à grande échelle devraient être drastiquement atténués. Cependant, cela nécessite des révisions techniques importantes pour les éditeurs d’AV et d’anti-cheat, ainsi qu’un équilibre subtil entre performance et sécurité.
Vous tentez d’utiliser l’outil DISM (Deployment Imaging Service and Management Tool) pour réparer Windows, mais vous êtes bloqué par l’erreur 5 – « Accès refusé » ? Ce message frustrant est courant, mais heureusement, il existe plusieurs méthodes simples et efficaces pour le résoudre. Dans cet article, nous allons vous expliquer en détail les causes possibles de cette erreur et vous guider pas à pas vers les solutions adaptées. Découvrez comment exécuter DISM correctement et retrouver un système Windows pleinement fonctionnel.
Quelles sont les sources de l’erreur 5 sur DISM
Voici les raisons qui peuvent expliquer pourquoi DISM ne fonctionne pas correctement :
Commande non exécutée en tant qu’administrateur : C’est la cause la plus fréquente. DISM nécessite des privilèges élevés pour fonctionner. Notez que dans certains cas, cela peut venir d’un bug de l’UAC
Problèmes de permissions sur les fichiers système ou les dossiers utilisés : Si DISM tente d’accéder à un répertoire ou à un fichier protégé, il échouera sans les droits nécessaires.
Logiciel antivirus ou de sécurité : Certains antivirus peuvent bloquer les opérations système sensibles, comme celles de DISM.
Corruption du profil utilisateur : Un profil utilisateur endommagé peut empêcher l’exécution correcte de DISM.
Service ou dépendance non démarré(e) : Certains services Windows doivent être actifs pour que DISM fonctionne, comme le service « Windows Modules Installer ».
Système de fichiers endommagé : Des erreurs dans le système de fichiers peuvent bloquer l’accès à des composants nécessaires.
Comment corriger l’erreur 5 sur DISM
Exécuter l’invite de commandes en tant qu’administrateur :
Dans la recherche Windows, saisissez « Invite de commandes«
Puis à droite, cliquez sur « Exécuter en tant qu’administrateur«
Le contrôle des comptes utilisateurs (UAC) doit se déclencher et vous devez répondre Oui. Si ce dernier n’apparaît pas, il y a un problème.
Plus de détails, comment ouvrir une invite de commandes en administrateur :
Vérifier les autorisations du dossier de destination
Une autre cause fréquente de l’erreur DISM 5 est un problème de permissions sur le dossier ou le fichier utilisé pendant l’opération. DISM peut tenter d’accéder à une ressource système protégée ou à un dossier dont les autorisations sont insuffisantes.
Quand ce problème se pose :
Vous utilisez l’option /ApplyImage, /CaptureImage ou /Mount-Image.
Vous spécifiez un chemin de destination personnalisé.
Le fichier .wim ou .esd se trouve sur un disque externe ou dans un dossier restreint.
Étapes de vérification et de correction :
Assurez-vous que vous avez les droits administrateur sur le dossier : Onglet Sécurité > Modifier > ajoutez votre compte utilisateur avec Contrôle total.
Évitez les dossiers système protégés : N’utilisez pas de chemins comme C:\Windows ou C:\Program Files. Préférez un dossier simple comme C:\DISM.
Exécutez CMD en tant qu’administrateur (même si vous avez accès au dossier).
Pour être sûr, créez un nouveau dossier à la racine de C:\, par exemple C:\DISM, et utilisez ce chemin dans vos commandes DISM.
Désactiver temporairement l’antivirus
Certains logiciels antivirus peuvent interférer avec les opérations de DISM. Dans ce cas, désactivez temporairement votre antivirus et réessayez la commande. Autre solution, tentez la commande depuis le mode sans échec : Comment démarrer Windows en mode sans échec. Si cela fonctionne en mode sans échec, une application est la source de problèmes d’autorisations pour DISM.
Tentez la commande DISM depuis le compte administrateur intégré
Le compte administrateur intégré n’est pas soumis à l’UAC. Si ce dernier pose un problème, vous pouvez contourner l’erreur 5 de DISM de cette manière.
Ouvrez une invite de commandes puis lancez votre commande DISM pour tester si cela permet de contourner l’erreur 5
Utiliser DISM depuis les options de récupération avancées (WinRE)
Si l’erreur DISM 5 persiste malgré l’exécution en tant qu’administrateur, il est conseillé d’exécuter DISM depuis l’environnement de récupération Windows (WinRE), où le système est moins chargé et les fichiers système ne sont pas verrouillés. Étapes à suivre :
Redémarrer en mode de récupération :
Cliquez sur le menu Démarrer, maintenez Shift (Maj) enfoncé et sélectionnez Redémarrer.
Ou allez dans Paramètres > Mise à jour et sécurité > Récupération > Redémarrer maintenant sous « Démarrage avancé« .
Accéder à l’invite de commandes : Dans les options de récupération, cliquez sur Dépannage > Options avancées > Invite de commandes.
Identifier la lettre de lecteur Windows :Tapez diskpart, puis list volume pour identifier la lettre de la partition contenant Windows (souvent D: au lieu de C:).
Tapez exit pour quitter diskpart.
Lancer DISM depuis WinRE avec l’option /Image. Par exemple :
Tout d’abord, vous pouvez tenter de réparer les composants de Windows à l’aide de l’excellent utilitaire Windows Repair. Si certains services ne démarrent pas ou sont corrompus, cela peut les réparer. De même si des permissions et autorisations de fichiers sont erronées. Aidez-vous de ce guide complet : Windows Repair – outil de réparation de Windows.
Lorsque Windows est totalement endommagé et que les problèmes sont trop nombreux, vous pouvez tenter de réparer Windows 10, 11 sans perte de données et en conservant les programmes installés. Cela permet de rétablir un système fonctionnel à partir des fichiers ISO et images de Windows. La procédure est décrite pas à pas dans cet article :
Il s’agit d’une opération de réinitialisation et de remise à zéro qui supprime les applications et remet le système à son état d’origine. C’est la solution radicale pour retrouver un système fonctionnel. Pour cela :
Allez dans Paramètres > Mise à jour et sécurité > Récupération
Sous la section Réinitialiser ce PC, clique sur Commencer et choisis si tu veux conserver ou supprimer tes fichiers personnels
Les fichiers journaux de DISM peuvent fournir des détails supplémentaires sur l’erreur.
Vérifiez le fichier C:\Windows\Logs\DISM\dism.log pour des informations spécifiques.
Voici un exemple d’entrée de log :
2025-05-24 20:50:33, Info DISM DISM Package Manager: PID=13920 TID=12144 Error in operation: (null) (CBS HRESULT=0x80070005) - CCbsConUIHandler::Error 2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed finalizing changes. - CDISMPackageManager::Internal_Finalize(hr:0x80070005) 2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed processing package changes - CDISMPackageManager::StartComponentCleanupEx(hr:0x80070005) 2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed to start component cleanup. - CPackageManagerCLIHandler::ProcessCmdLine_CleanupImage(hr:0x80070005) 2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed while processing command cleanup-image. - CPackageManagerCLIHandler::ExecuteCmdLine(hr:0x80070005) 2025-05-24 20:50:33, Info DISM DISM Package Manager: PID=13920 TID=5276 Further logs for online package and feature related operations can be found at %WINDIR%\logs\CBS\cbs.log - CPackageManagerCLIHandler::ExecuteCmdLine 2025-05-24 20:50:33, Error DISM DISM.EXE: DISM Package Manager processed the command line but failed. HRESULT=80070005
Ici, 0x80070005 = Access Denied (Accès refusé). Cela indique que DISM n’a pas les droits nécessaires pour finaliser les opérations de nettoyage d’image.
Alors que la fin du support de Windows 10 approche (prévue pour le 14 octobre 2025), Microsoft multiplie les communications pour encourager la migration vers Windows 11. Dans deux publications récentes — une sur son blog officiel et une autre relayée par la presse — l’entreprise met en avant les avantages en matière de performance, de sécurité et d’intelligence artificielle de son système actuel. Et le message est clair : Windows 11 est « plus rapide, plus sûr, et plus intelligent » que Windows 10.
Windows 11 : jusqu’à 3x plus rapide sur les PC récents selon Microsoft
Dans un billet publié le 26 juin, Microsoft affirme que les PC optimisés pour Windows 11 (notamment les Copilot+ PC) sont jusqu’à 2 à 3 fois plus rapides que les machines équipées de Windows 10. Cette différence ne concerne pas uniquement la vitesse brute, mais englobe :
L’optimisation est particulièrement visible sur les Copilot+ PCs, une nouvelle génération de machines lancée en 2024, conçues autour des architectures ARM64 et intégrant nativement des modèles IA comme Recall ou Live Captions multilingues.
Microsoft précise que ces gains de performance ne sont pas obtenus uniquement par le matériel, mais aussi par des améliorations logicielles profondes dans Windows 11, notamment dans :
la gestion de la mémoire,
l’utilisation des cœurs de performance/efficacité,
le planificateur de tâches système (scheduler),
et les pilotes optimisés pour les architectures modernes.
Windows Latest a produit le tableau suivant :
Claim
Example from Test Data
Les PC sous Windows 11 ont jusqu’à 2,7 heures d’autonomie de plus que les PC sous Windows 10
Windows 10 – 15.77 hrs Windows 11 – 20.13 hrs Différence: +4.36 hrs
Les PC sous Windows 11 sont jusqu’à 2,3 fois plus rapides que les PC sous Windows 10 (Geekbench 6 Multi-core)
Windows 10: Testé sur i7-8750H, i5-6200U, etc. Windows 11: Testé sur i7-1355U, Ultra 5 125H
Windows 11 offre une navigation web jusqu’à 3,2 fois plus rapide que Windows 10 (Speedometer)
Testé avec Edge versions 130/131 Appareils :: Win10 (i3-6100U, i5-10210U) vs Win11 (Ultra 5 125U, i5-1335U)
Windows 11 offre une productivité Office jusqu’à deux fois plus rapide (test Procyon Office)
Windows 10 utilisant i5-8250U, i7-1065G7 Windows 11 utilisant i5-1335U, Ultra 5 125H Les ordinateurs modernes équipés de Win11 obtiennent deux fois plus de points dans le test de référence d’Office
Windows 11 : une sécurité de nouvelle génération
Au-delà des performances, Microsoft insiste sur les protections de sécurité intégrées dans Windows 11, que Windows 10 ne peut pas égaler, même avec un antivirus à jour.
Credential Guard : isole les identifiants et secrets du système,
Secure Boot + TPM 2.0 : validés dès le démarrage de l’appareil.
Microsoft rappelle que toutes ces fonctionnalités reposent sur des fondations matérielles modernes que Windows 10 ne peut exploiter pleinement. En clair : même bien configuré, Windows 10 reste structurellement moins protégé qu’un PC sous Windows 11 avec les fonctionnalités de sécurité activées.
Windows 11 et l’intelligence artificielle embarquée
Les Copilot+ PCs, au cœur de la stratégie Windows 11, intègrent des puces NPU qui permettent d’exécuter localement des fonctions d’intelligence artificielle :
Résumés de documents,
Traductions en temps réel,
Génération de texte ou d’images,
Assistant Copilot contextuel dans les applications.
Ces usages ne sont pas compatibles avec Windows 10, et nécessitent à la fois le matériel spécifique et le noyau de Windows 11, optimisé pour ces traitements hybrides (local + cloud).
La fin de Windows 10 approche : Microsoft pousse à la transition
Avec la date de fin de support de Windows 10 fixée au 14 octobre 2025, Microsoft rappelle que les utilisateurs doivent commencer à planifier la migration. Pour les particuliers, des mises à jour de sécurité seront disponibles jusqu’en 2028 via un abonnement Microsoft 365 (ESU). Pour les entreprises, les mises à jour ESU seront payantes dès 2025.
Mais, Microsoft préfère insister sur une logique de modernisation, plutôt qu’un simple prolongement du support :
“Migrer vers Windows 11, c’est passer sur une plateforme qui protège mieux vos données, travaille plus vite, et tire parti des innovations IA de demain.”
Parmi les menaces les plus avancées et les plus difficiles à détecter, le bootkit occupe une place à part. Ce type de malware s’attaque à une phase critique du système : le démarrage de l’ordinateur, avant même que Windows ne soit chargé. En infectant le MBR (Master Boot Record) ou le firmware UEFI, un bootkit peut prendre le contrôle du PC dès l’allumage, cacher d’autres malwares et désactiver les protections de sécurité, tout en restant pratiquement invisible pour les antivirus classiques.
Dans cet article, nous allons vous expliquer :
ce qu’est un bootkit et comment il fonctionne,
pourquoi il est si difficile à détecter et à supprimer,
quels sont les exemples les plus connus (TDL4, BlackLotus, Petya…),
et comment vous protéger efficacement, notamment grâce au Secure Boot et à l’UEFI.
J’ai donc synthétisé pour vous tout ce qu’il faut savoir dans ce guide complet qui vous donnera une vue complète sur cette menace extrêmement furtive, mais bien réelle.
Qu’est-ce qu’un bootkit ?
Un bootkit (contraction de bootloader et rootkit) est un type de malware qui s’infiltre dans la phase de démarrage du système, bien avant que Windows ou tout autre OS ne soit complètement chargé. Il cible généralement :
ou le bootloader UEFI (EFI/ESP) sur les machines modernes.
Une fois installé, le bootkit peut dissimuler d’autres malwares, prendre le contrôle total du système, et intercepter des fonctions système critiques, tout en restant pratiquement invisible.
Comment fonctionne un bootkit et pourquoi sont-ils si difficiles à détecter ?
Un bootkit agit dès le démarrage de l’ordinateur, avant même que l’antivirus ou le noyau de Windows ne soient actifs. Il s’insère dans la chaîne de démarrage et charge un code malveillant en mémoire, qui peut ensuite :
injecter des composants malveillants dans le noyau (kernel),
contourner les contrôles d’intégrité,
cacher des fichiers, processus ou connexions réseau.
Ce fonctionnement bas-niveau permet au bootkit de prendre la main avant que les protections du système ne soient en mesure de le détecter. Il est donc très difficile à repérer et encore plus compliqué à supprimer sans un accès direct au firmware ou un environnement de secours.
Ainsi, les bootkits ne s’exécutent pas dans le cadre normal du système d’exploitation. Cela signifie que :
les outils antivirus classiques ne peuvent pas les analyser, puisqu’ils sont actifs avant leur propre lancement,
certains bootkits utilisent des signatures numériques valides, leur permettant de contourner Secure Boot,
ils peuvent survivre à un formatage ou à une réinstallation de l’OS, si le secteur de démarrage ou le firmware n’est pas réinitialisé.
Que peut faire un bootkit ?
Les capacités d’un bootkit varient selon les cas, mais elles incluent généralement :
l’espionnage (keylogger, interception de trafic, vol d’identifiants),
le contrôle total du système, y compris l’élévation de privilèges,
la persistance extrême, même après un formatage classique,
la manipulation de fonctions système, rendant la machine instable ou totalement compromise.
Certains de ces bootkits visaient le vol d’informations (TDL4, Rovnix), d’autres étaient conçus pour un impact destructif (Petya, NotPetya), tandis que les plus récents (BlackLotus, CosmicStrand) visent à cacher leur présence tout en servant de base à d’autres malwares (ransomware, spyware, etc.).
Exemples de bootkits connus
En MBR
Le MBR (Master Boot Record) était historiquement plus vulnérable aux attaques de bootkits pour plusieurs raisons techniques et structurelles :
Absence de vérification d’intégrité : Le BIOS (ancien firmware des PC) chargeait le MBR sans vérifier sa légitimité. Il n’existait ni signature cryptographique, ni système de validation par le constructeur
Facilité d’écriture pour un malware : Un malware pouvait utiliser des commandes système simples (\\.\PhysicalDrive0) pour écrire directement dans le MBR, sans besoin de privilèges élevés, ni alerte sécurité
Pas de Secure Boot à l’époque du MBR
De ce fait, de nombreux boookits ont vu le jour à partir de 2010.
TDL4 (Alureon) est un des bootkits les plus répandus dans les années 2010. Il infectait le MBR pour charger un rootkit au démarrage, permettant de cacher des fichiers, détourner le trafic réseau et désactiver les protections système. TDL4 représentait une menace durable sur Windows XP et Windows 7.
Rovnix est une autre menace de ce type modulaire découvert vers 2012. Il injectait du code dans le MBR et utilisait des techniques de persistance avancées. Il ciblait principalement les données bancaires, en interceptant les sessions de navigation.
Un cas très particulier : Petya est avant tout un ransomware, mais sa particularité est qu’il modifiait le MBR pour bloquer l’accès au système dès le démarrage. Plutôt que de chiffrer les fichiers individuellement, il remplaçait le bootloader Windows par un faux écran de vérification de disque, puis chiffrer la table MFT (Master File Table) du disque. Même si ce n’est pas un bootkit classique (car il ne se cache pas et ne cherche pas à persister), Petya utilise les techniques des bootkits pour prendre le contrôle avant Windows, et en cela, il représente un cas hybride.
En UEFI
L’UEFI ajoute des mécanismes de sécurité qui visent à rendre l’installation de bootkit plus difficile. Toutefois, des bootkits UEFI existent.
LoJax a été découvert en 2018 par les chercheurs d’ESET. Il s’agit du premier malware UEFI observé à l’état sauvage, utilisé dans une campagne ciblée d’espionnage attribuée au groupe de cyberespionnage APT28 (Fancy Bear), lié à la Russie. LoJax ne s’attaquait pas au système Windows directement, mais au firmware UEFI, en modifiant le contenu de la partition système EFI (ESP).
Le bootkit CosmicStrand, découvert dans le firmware de cartes mères modifiées, ce bootkit UEFI injecte un malware en mémoire lors du boot. Il prouve que les pirates peuvent compromettre un PC dès le firmware, même si le disque est remplacé ou Windows réinstallé.
Puis BlackLotus , l’un des bootkits UEFI les plus redoutés. Il exploite une faille (CVE-2022-21894) pour désactiver Secure Boot, bypasser BitLocker, et installer une charge persistante dès le démarrage. Il fonctionne même sur des machines modernes entièrement à jour. Il s’agit d’un malware vendu à l’origine sur les forums underground, signalant un tournant dans la sophistication des bootkits UEFI.
Comment s’en protéger ?
La meilleure défense contre les bootkits repose sur une combinaison de bonnes pratiques, de paramétrage firmware et de technologies modernes.
Activer Secure Boot
Les bootkits tirent leur force du fait qu’ils s’exécutent avant le système d’exploitation, en s’insérant dans le processus de démarrage (MBR ou UEFI). Pour contrer cette menace, Microsoft a introduit, à partir de Windows 8, deux mécanismes complémentaires : Secure Boot et ELAM (Early Launch Anti-Malware). Ensemble, ils forment une chaîne de confiance conçue pour empêcher tout code non autorisé de s’exécuter au démarrage.
Secure Boot est une fonctionnalité de l’UEFI qui vérifie, au moment du démarrage, que chaque composant chargé (bootloader, noyau, drivers critiques) est signé numériquement par un éditeur approuvé (Microsoft ou OEM). Si un fichier EFI a été modifié ou s’il ne possède pas de signature valide, le firmware bloque son exécution (Security Violated). Cela vise notamment à corriger le problème d’absence de vérification d’intégrité présent dans MBR.
Voilà pourquoi il est totalement contre-indiqué de désactiver le Secure boot
ELAM (Early Launch Anti-Malware) est un pilote antivirus spécial lancé avant les pilotes tiers lors du démarrage de Windows. Son rôle est de scanner les pilotes qui se chargent très tôt (y compris ceux injectés par un bootkit) et de bloquer ceux qui sont malveillants ou suspects. Même si un bootkit contourne Secure Boot ou s’insère plus loin dans la chaîne de démarrage, ELAM peut intercepter son action au moment où il tente d’injecter un composant malveillant dans le noyau de Windows.
Installez les mises à jour de sécurité de Windows. Microsoft peut publier des mises à jour du firmware EFI via Windows Update
Installez les mises à jour proposées dans les outils des fabricants de PC OEM
Utiliser un antivirus avec protection UEFI
Certains antivirus avancés (comme ESET, Kaspersky, Bitdefender ou Windows Defender sur machines compatibles) scannent le firmware UEFI pour détecter d’éventuelles modifications.
Éviter les ISO ou installeurs non vérifiés
Les bootkits peuvent être installés via des supports compromis : clés USB modifiées, ISO piégés, ou systèmes pré-infectés. Le risque notamment est lorsque l’on installe une version modifiée de Windows. Vous n’êtes pas certains que l’auteur y a inséré un malware et notamment un bootkit.
Toujours utiliser des sources officielles.
Utiliser des outils spécialisés de détection
Des outils comme UEFItool, CHIPSEC, ou des antivirus à démarrage sécurisé (bootables) peuvent analyser l’intégrité du firmware.
Comment supprimer un bootkit ?
La suppression d’un bootkit est complexe et dépend du type de système infecté :
Pour les anciens systèmes MBR : réinitialiser le MBR, puis formater complètement le disque.
Pour les systèmes UEFI : réinitialiser le BIOS/UEFI aux paramètres d’usine, flasher le firmware si nécessaire, puis réinstaller l’OS avec Secure Boot actif.
Dans certains cas, utilisez des outils de secours bootables, comme :
Microsoft Defender Offline,
ESET SysRescue Live,
ou un LiveCD Linux spécialisé dans l’analyse firmware.
Un rootkit est un malware furtif qui s’exécute dans le système d’exploitation, souvent au niveau noyau (kernel mode), et qui sert à masquer d’autres fichiers, processus ou connexions. Il se charge après Windows. Au tour des années 2007, il fallait utiliser des outils comme GMER ou TDSKiller de Kaspersky pour détecter ce type de malware. De son côté, un bootkit, lui, est une extension du rootkit, mais encore plus bas niveau : il s’infiltre dans le processus de démarrage, avant Windows, ce qui lui donne un contrôle total sur la machine dès l’allumage.
Critère
Rootkit
Bootkit
Emplacement
Noyau de Windows, pilotes, services, registre
MBR, secteur de démarrage, firmware UEFI
Moment d’exécution
Après le démarrage du système (post-boot)
Avant ou pendant le démarrage du système (pre-boot)
Objectif principal
Cacher d’autres malwares, manipuler le système
Contrôler la phase de boot, injecter du code très tôt
Mode d’action
Injection dans des processus ou des pilotes
Remplacement ou modification du bootloader
Furtivité
Très élevée, mais dépend de la version de l’OS
Extrême : le malware agit avant que le système ne se charge
Lorsque Microsoft met fin au support d’une version de Windows, cela signifie que le système ne recevra plus de mises à jour de sécurité, exposant les utilisateurs à de potentielles vulnérabilités. Pour répondre à cette problématique, Microsoft propose un programme appelé ESU (Extended Security Updates), ou mises à jour de sécurité étendues.
Ce dispositif permet de prolonger la durée de vie d’un système d’exploitation au-delà de sa fin de support officielle, en continuant à livrer des correctifs critiques, sous certaines conditions. Il est particulièrement utile pour les entreprises, les organisations, ou les particuliers qui ne peuvent pas migrer immédiatement vers une version plus récente de Windows.
Dans cet article, nous vous expliquons ce que sont les ESU, à quoi elles servent, qui peut en bénéficier, dans quels cas elles sont gratuites ou payantes, et comment les activer si vous utilisez encore Windows 10 après 2025.
Qu’est-ce que les mises à jour de sécurité étendues (ESU) de Microsoft ?
Lorsqu’un système d’exploitation Microsoft arrive en fin de support, il ne reçoit plus de mises à jour, ce qui expose ses utilisateurs à des vulnérabilités non corrigées. Pour pallier cette situation, Microsoft propose un programme appelé ESU – Extended Security Updates (mises à jour de sécurité étendues).
Ce programme permet aux utilisateurs et aux entreprises de continuer à recevoir des correctifs de sécurité critiques pendant une période définie après la fin du support officiel, tout en leur laissant plus de temps pour préparer une migration vers une version plus récente de Windows.
Dans les faits, des millions de machines continuent d’utiliser des versions de Windows qui ne sont plus supportées officiellement (comme ce fut le cas pour Windows 7, puis bientôt Windows 10). Or, ces systèmes restent souvent connectés à Internet et donc vulnérables à des attaques si aucune mise à jour de sécurité n’est appliquée.
Les ESU sont donc un compromis proposé par Microsoft pour :
prolonger la durée de vie de l’OS, de façon sécurisée,
donner plus de temps aux entreprises pour migrer (équipements critiques, logiciels non compatibles, etc.),
éviter une vague massive de machines non protégées, notamment dans les infrastructures sensibles (éducation, santé, collectivités).
Que couvrent les ESU ?
Les mises à jour ESU se concentrent uniquement sur les mises à jour de sécurité critiques et importantes, selon la classification CVSS de Microsoft. Elles ne contiennent :
aucune nouvelle fonctionnalité,
aucune mise à jour esthétique ou ergonomique,
et aucune évolution des composants système non critiques.
Elles corrigent toutefois les failles de sécurité graves, notamment :
les vulnérabilités de type exécution de code à distance (RCE),
les failles d’escalade de privilèges,
ou les attaques réseau exploitables à distance.
Comment bénéficier du programme ESU et comment l’activer ?
Pour bénéficier des mises à jour de sécurité étendues (ESU) sur un système Windows arrivé en fin de support, il est nécessaire d’activer le programme ESU sur la machine concernée. Cela se fait en installant une clé d’activation spécifique, fournie par Microsoft via les canaux appropriés (abonnement Microsoft 365 pour les particuliers, ou Volume Licensing/Intune pour les entreprises).
Le fonctionnement dépend du type d’utilisateur mais les pré-requis sont les mêmes.
S’assurer que l’appareil exécute une version éligible de Windows (ex : Windows 10, édition Professionnelle ou Entreprise, version 22H2).
Installer les mises à jour préparatoires ESU, disponibles via Windows Update ou le Microsoft Update Catalog. Ces correctifs sont nécessaires pour permettre à la machine de reconnaître la clé ESU.
Pour les particuliers avec Microsoft 365, cela se fait automatiquement via leur compte Microsoft connecté à l’appareil.
Pour les particuliers :
Microsoft n’avait pas proposé d’ESU pour les particuliers avec Windows 7.
Mais pour Windows 10, les ESU seront gratuits jusqu’en 2028 pour les utilisateurs disposant d’un abonnement Microsoft 365 Personnel ou Famille (à partir d’octobre 2025).
Il suffira d’être connecté avec son compte Microsoft lié à l’abonnement pour recevoir les mises à jour automatiquement via Windows Update.
Pour les entreprises :
Les ESU sont disponibles via des programmes payants, accessibles via :
Microsoft Volume Licensing
Microsoft Intune (via Endpoint Manager)
Azure Arc ou Windows Autopatch
L’abonnement ESU est annuel, avec des tarifs progressifs chaque année (souvent +100 % par an).
L’entreprise doit activer une clé spéciale ESU sur chaque machine concernée pour recevoir les mises à jour.
Pour activer la licence ESU en entreprises, il faut utiliser la commande slmgr pour activer la clé ESU (clé MAK) :
slmgr /ipk slmgr /ato
Redémarrez l’ordinateur, puis vérifiez que le système accepte désormais les mises à jour ESU via Windows Update.
Microsoft propose également une activation automatique via Azure Arc, Intune, ou Windows Autopatch dans les environnements professionnels, pour simplifier le déploiement à grande échelle.
Quelles versions de Windows ont été concernées par l’ESU ?
Voici les systèmes qui ont bénéficié (ou vont bénéficier) du programme ESU :
Version de Windows
Fin de support officielle
ESU disponible ?
Durée supplémentaire
Windows 7
01/01/20
Oui (payant)
Jusqu’en janvier 2023
Windows Server 2008 / R2
01/01/20
Oui (payant)
Jusqu’en janvier 2023
Windows 10
01/10/25
Oui (gratuit via Microsoft 365 pour particuliers, payant pour entreprises)
Jusqu’en octobre 2028
Que se passe-t-il si je ne prends pas l’ESU ?
Si vous continuez d’utiliser un système sans ESU après sa fin de support :
Vous ne recevrez plus aucune mise à jour de sécurité,
Vous serez plus exposé aux attaques (exploitations de failles connues),
Certaines applications (navigateurs, outils bancaires, logiciels tiers) refuseront progressivement de s’exécuter sur une version obsolète de Windows.
FAQ – Mises à jour de sécurité prolongées pour Windows 10 (ESU)
Que sont les mises à jour de sécurité étendues (ESU) ?
Les ESU permettent de continuer à recevoir des correctifs de sécurité critiques même après la fin de support officielle du système. Ce programme a déjà été utilisé pour Windows 7.
Les mises à jour ESU sont-elles gratuites ?
Oui, pour les particuliers : les utilisateurs de Windows 10 ayant un abonnement Microsoft 365 Personnel ou Famille recevront gratuitement les mises à jour de sécurité ESU jusqu’en octobre 2028. En revanche, les entreprises devront payer un abonnement annuel ESU.
Je suis une entreprise : comment obtenir les mises à jour après 2025 ?
Les entreprises devront souscrire aux ESU via Microsoft Volume Licensing ou une gestion de parc via Intune ou Windows Autopatch. Le tarif n’a pas encore été officiellement communiqué, mais il devrait être progressif (plus élevé chaque année).
Faut-il réinstaller ou faire une manipulation pour activer les ESU ?
Non. Pour les particuliers avec Microsoft 365, les mises à jour continueront via Windows Update, à condition d’être connecté à un compte Microsoft valide. Aucune manipulation complexe n’est nécessaire.
Un certificat fondamental lié aux exigences matérielles de Windows 11 va expirer prochainement, ce qui a suscité des inquiétudes chez certains utilisateurs et observateurs du système. Ce certificat est utilisé pour valider la conformité des machines avec les exigences de démarrage sécurisé (Secure Boot) imposées par Microsoft. Heureusement, Microsoft indique que cela ne compromettra ni la compatibilité, ni la sécurité, mais le sujet mérite quelques éclaircissements.
Quel est ce certificat qui va expirer ?
Le certificat en question fait partie du UEFI Secure Boot DBX (Revoked Signature Database). Il est utilisé pour bloquer le démarrage de composants non approuvés au niveau du firmware, ce qui empêche des logiciels malveillants (comme les bootkits) d’être chargés avant même Windows.
Plus précisément, il s’agit d’un certificat de signature de confiance permettant de vérifier les binaires EFI légitimes (les fichiers qui lancent le démarrage de Windows). Microsoft a utilisé ce certificat dans les phases initiales du développement de Windows 11 pour vérifier que les PC étaient capables d’utiliser le Secure Boot, une des exigences majeures de Windows 11 avec le TPM 2.0.
Ce certificat était intégré dans certains pilotes de validation internes et dans les outils d’auto-test de compatibilité (HSTI) utilisés par les OEM et certains utilisateurs techniques.
Pourquoi son expiration a-t-elle soulevé des inquiétudes ?
Ce certificat expire le 24 juillet 2025. Plusieurs membres de la communauté tech ont soulevé un point important : qu’adviendra-t-il des PC validés à l’aide de ce certificat si celui-ci est révoqué ou n’est plus considéré comme fiable ?
Cela a conduit certains à craindre que :
des systèmes valides deviennent incompatibles après cette date,
ou que certaines fonctions comme le Secure Boot échouent à se lancer correctement.
Microsoft rassure : pas de risque pour les utilisateurs
Microsoft a officiellement répondu aux interrogations. L’entreprise affirme que l’expiration de ce certificat ne perturbera pas le fonctionnement de Windows 11, ni les mécanismes de Secure Boot déjà en place. L’explication tient à ceci :
Le certificat concerné a été utilisé uniquement durant les phases de vérification des exigences matérielles. Il n’est pas exploité dans les binaires de démarrage actuels du système, ni dans la chaîne de confiance active au quotidien.
En d’autres termes : si votre PC est déjà certifié conforme à Windows 11, vous n’avez rien à faire. Le Secure Boot continuera de fonctionner normalement et votre système ne sera pas rétrogradé ou bloqué.
Et pour les OEM ou professionnels de l’intégration ?
Les constructeurs et intégrateurs qui utilisent encore des outils de validation basés sur ce certificat devront mettre à jour leurs chaînes de test et outils HSTI avant l’été 2025. Microsoft publiera de nouveaux outils de certification adaptés, sans dépendance au certificat expirant.
Cela concerne principalement :
les OEM qui fabriquent des PC labellisés « Windows 11 ready »,
les équipes IT qui automatisent la validation de parc via des scripts ou des outils UEFI.
Date d’expliration
Expiration du certificat
Certificat actualisé
Ce qu’il fait
Lieu de stockage
Juin 2026
Microsoft Corporation KEK CA 2011
Microsoft Corporation KEK 2K CA 2023
Signe les mises à jour de DB et DBX
Key Enrollment Key (KEK)
Microsoft Corporation UEFI CA 2011 (ou une autorité de certification UEFI tierce)*
Microsoft Corporation UEFI CA 2023 Microsoft Option ROM UEFI CA 2023
Signe les composants tiers du système d’exploitation et des pilotes matériels Signale les ROM optionnelles tierces
Allowed Signature database (DB)
Octobre 2026
Microsoft Windows Production PCA 2011
Windows UEFI CA 2023
Signe le chargeur d’amorçage Windows et les composants d’amorçage
Conclusion
Bien que l’expiration de ce certificat ait pu paraître inquiétante au premier abord, il s’agit d’un composant interne de validation utilisé en amont, et non d’un élément actif dans la chaîne de démarrage du système. Microsoft précise qu’il ne sera pas révoqué et qu’aucune fonctionnalité de sécurité ne sera affectée. Les utilisateurs peuvent donc continuer à utiliser leur PC Windows 11 en toute sérénité.
Pour ces appareils, Microsoft offre une assistance limitée, décrite en détail dans l’article de blog. Vous pouvez également suivre les mises à jour du certificat Windows Secure Boot dans un document d’assistance récemment publié. Un article plus générique est mis à disposition par Microsoft : Windows Secure Boot certificate expiration and CA updates
À l’approche de la fin officielle du support de Windows 10, Microsoft clarifie sa stratégie de transition pour les utilisateurs restés sur l’ancienne version de son système. Alors que le support standard prendra fin le 14 octobre 2025, l’entreprise annonce que les mises à jour de sécurité étendues (ESU) seront gratuites pour les particuliers, à condition d’utiliser Microsoft 365.
Fin de support en 2025 : que cela signifie-t-il ?
Microsoft a annoncé depuis longtemps que Windows 10 ne recevra plus de mises à jour de sécurité régulières après octobre 2025. Cela concerne toutes les éditions, y compris Windows 10 Home et Pro. Au-delà de cette date, les systèmes non migrés vers Windows 11 deviendront plus vulnérables, car les failles découvertes ne seront plus corrigées.
Cependant, comme pour Windows 7 à son époque, Microsoft mettra en place un programme de mises à jour de sécurité étendues (ESU), qui permet de continuer à recevoir des correctifs critiques pendant trois années supplémentaires, soit jusqu’en octobre 2028.
La principale nouveauté est que, contrairement à Windows 7 où l’ESU était payant, les particuliers pourront bénéficier de ces mises à jour gratuitement, mais uniquement via Microsoft 365.
Concrètement :
Les utilisateurs de Microsoft 365 (famille ou personnel) qui continueront à utiliser Windows 10 après 2025 recevront les mises à jour de sécurité critiques sans frais supplémentaires.
Cela permet à Microsoft de protéger les utilisateurs actifs tout en les incitant à rester dans son écosystème.
À noter : les entreprises, elles, devront payer un abonnement annuel ESU pour continuer à recevoir les correctifs, comme c’était le cas avec Windows 7. Les détails tarifaires seront communiqués ultérieurement.
Une solution de transition avant migration
Microsoft ne recommande pas de rester sous Windows 10 à long terme. L’objectif reste clair : faire migrer les utilisateurs vers Windows 11, notamment pour bénéficier des dernières protections système (TPM 2.0, VBS, Smart App Control…). Mais cette initiative vise à éviter que des millions de machines soient exposées sans protection dès octobre 2025.
Cette approche est aussi une réponse aux nombreuses entreprises et particuliers qui n’ont pas encore migré, souvent pour des raisons de compatibilité logicielle, de coût ou simplement par choix matériel.
Comment bénéficier des mises à jour après 2025 ?
Pour les particuliers :
Il faudra être connecté à un compte Microsoft lié à un abonnement actif Microsoft 365 Famille ou Personnel.
Les mises à jour seront automatiquement proposées via Windows Update (comme aujourd’hui), sans procédure complexe.
Pour les entreprises :
Il faudra probablement souscrire à une licence ESU via Microsoft Volume Licensing ou via Intune.
Un abonnement annuel sera requis, avec un prix croissant chaque année.
Mises à jour de sécurité étendues (ESU) : jusqu’en octobre 2028
Gratuites pour les particuliers disposant de Microsoft 365
Payantes pour les entreprises, via abonnement annuel
Objectif : laisser plus de temps à ceux qui ne peuvent pas migrer immédiatement vers Windows 11, sans compromettre leur sécurité
Cette décision de Microsoft marque un changement stratégique dans la gestion de fin de vie d’un système, combinant incitation commerciale (via 365) et souci de sécurité pour éviter une nouvelle génération de machines vulnérables post-2025.
Il vous est sans doute déjà arrivé de regarder une vidéo YouTube dont le son semblait anormalement bas, même avec tous les volumes réglés à 100 %. Cela peut venir de plusieurs facteurs : mauvais encodage audio, normalisation automatique appliquée par YouTube, ou simplement un réglage système ou navigateur mal calibré.
Dans cet article, vous apprendrez comment :
bien régler le volume sur YouTube et dans Windows,
comprendre pourquoi certaines vidéos sont plus faibles que d’autres,
désactiver la normalisation automatique, ou détecter si elle est active,
et utiliser des astuces comme des égaliseurs logiciels ou des extensions Chrome pour augmenter le son au-delà de la limite classique.
Que vous utilisiez un casque, des haut-parleurs ou une enceinte Bluetooth, ce guide vous aidera à obtenir un volume optimal sur toutes vos vidéos YouTube.
Comment bien régler le volume sonore sur YouTube
Montez le volume YouTube à 100 %
Clique sur l’icône haut-parleur dans le lecteur YouTube (en bas à gauche) et mettez le curseur au maximum. Cela garantit que YouTube envoie le signal à pleine puissance au système.
Vérifiez le volume de votre système de Windows
Sur Windows, cliquez sur l’icône de volume dans la barre des tâches et assure-toi que le volume général est suffisamment haut,
Cliquez sur la roue crantée puis mélangeur de volume
Assurez-vous que le navigateur (Chrome, Firefox, Edge…) utilisé pour YouTube n’a pas un volume indépendant plus bas.
Le mélangeur de volume est aussi accessible depuis les paramètres de Windows > Système > Son > Mélangeur de volume
Désactiver ou vérifier les égaliseurs ou effets audio tiers
Certains paramètres audio (dans les pilotes Realtek, applications comme Dolby, ou extensions de navigateur) peuvent réduire automatiquement le volume, compresser le son ou l’égaliser. Assure-toi qu’aucun de ces effets ne bride le signal.
Désactiver la normalisation audio automatique de YouTube
Toutes les vidéos mises en ligne sur YouTube ne sont pas créées de la même manière par chaque Créateur, cela peut jouer sur le volume sonore source (voir fin de l’article).
Pour éviter que les utilisateurs passent leur temps à ajuster le volume entre deux vidéos, YouTube applique une normalisation audio automatique. Cela signifie que si une vidéo dépasse un certain niveau de loudness (typiquement −14 LUFS), YouTube baisse son niveau automatiquement pour l’aligner avec les autres vidéos.
Quand YouTube détecte qu’une vidéo présente un niveau sonore global trop bas, plutôt que d’augmenter simplement le volume, il peut appliquer une compression dynamique pour :
rehausser les sons faibles,
éviter les pics de volume trop violents,
et rendre la vidéo plus audible sur des appareils mobiles ou avec des réglages faibles.
Tout cela permet de “densifier” le son sans modifier brutalement le volume global.
Si vous pensez que cela pose un problème sur le volume sonore générale des vidéos YouTube, vous pouvez tester en la désactivant, pour cela :
Faites un clic droit sur l’icône roue crantée en bas à droite du lecteur vidéo
Désactivez « Volume Stable«
L’option peut être grisée et inaccessible selon si aucune baisse du volume sonore est effectuée ou si vous êtes sur un appareil du type télévision.
Pour vérifier si YouTube applique une normalisation du volume sonore :
Faites clic droit sur une vidéo
Puis « Statistiques pour les geeks »,
Regardez la ligne “Volume / normalized” : si elle affiche x% / y%, alors la vidéo a été réduite.
Dans l’exemple ci-dessous, le second chiffre (85%, dans cet exemple) indique que YouTube a abaissé le niveau de lecture de la vidéo à 85 % de son volume initial, car elle était jugée trop forte par rapport à la cible de normalisation (généralement autour de −14 LUFS).
Dans cet autre exemple, ci-dessous, DRC est l’abréviation de Dynamic Range Compression, en français compression de la plage dynamique. C’est une technique audio utilisée pour réduire la différence entre les sons les plus faibles et les plus forts d’une vidéo. Ainsi, content loudness 9.1 dB signifie que la vidéo est jugée 9,1 dB en dessous du niveau de référence YouTube),
Bonus : astuces si le son reste faible
Utilisez un égaliseur ou un amplificateur logiciel (ex. : Equalizer APO sur Windows) pour ajuster le gain global.
Si vous utilisez un casque Bluetooth, vérifie que le volume du casque et du système sont liés (certains périphériques ont un volume indépendant).
Sur Chrome, il existe aussi des extensions comme “Volume Master” qui permettent de pousser le volume d’un onglet au-delà de 100 % (à utiliser avec modération pour éviter la distorsion). Voir : Comment augmenter le volume du son sur Google Chrome
Comprendre que toutes les vidéos n’ont pas le même niveau sonore
Lorsque vous regardez plusieurs vidéos sur YouTube avec les mêmes réglages de volume, vous pouvez constater des différences notables de niveau sonore. Cela peut sembler surprenant, mais c’est tout à fait normal, et cela s’explique par plusieurs facteurs techniques liés à l’encodage audio, la normalisation, et la source du contenu.
Toutes les vidéos mises en ligne sur YouTube ne sont pas créées de la même manière. Certains créateurs exportent leur audio avec un niveau élevé (proche de 0 dBFS), tandis que d’autres laissent volontairement une marge (−12 ou −18 dBFS, par exemple). Résultat : une vidéo bien “mixée” avec un son fort ressortira nettement plus puissante qu’une autre vidéo, même si les deux sont à 100 % de volume dans YouTube et dans Windows.
Volume logarithmique (Windows, systèmes audio classiques) VS Volume linéaire (YouTube et de nombreuses interfaces web)
Le mélangeur de volume de Windows et de YouTube ne fonctionne pas de la même manière. Il faut prendre cela en considération.
Le volume perçu par l’oreille humaine n’augmente pas de manière linéaire. On est bien plus sensible aux variations de volume dans les faibles niveaux qu’aux très hauts. C’est pourquoi les systèmes audio (comme Windows, Android, macOS, etc.) utilisent une échelle logarithmique pour le volume.
Cela signifie que chaque étape dans l’interface (ex. : passer de 10 % à 20 %) correspond à une augmentation proportionnelle perçue du son, pas à un doublement physique du signal.
Ainsi, les premiers 50 % couvrent la majorité de l’échelle audible, tandis que les derniers 50 % donnent plus de « marge » de gain sans brutalité.
Exemple :
Passer de 10 à 20 % dans Windows double l’énergie du signal audio, mais n’est perçu que comme une petite augmentation.
Cela protège l’ouïe et offre plus de précision dans les bas niveaux.
Volume linéaire (YouTube et de nombreuses interfaces web)
YouTube, en revanche, utilise un curseur de volume linéaire, probablement pour des raisons de simplicité côté développement (interface JavaScript + contrôle HTML5). Cela signifie que :
Le curseur de 0 % à 100 % agit en divisant ou multipliant directement le signal audio de manière constante.
Résultat : la plupart de l’augmentation perçue du volume se concentre dans les 20 derniers % du curseur.
De 0 à 80 %, on perçoit peu de changement ; de 80 à 100 %, l’augmentation est beaucoup plus marquée.
Ce comportement est moins naturel pour l’oreille humaine, et peut donner l’impression que « le son est faible jusqu’à 90 % », ce qui est en fait une caractéristique du contrôle linéaire.
Microsoft continue d’enrichir Windows 11 avec des nouveautés discrètes mais bienvenues. Avec la mise à jour KB5060829, actuellement disponible pour les Insiders en canal Canary (build 26241), plusieurs fonctionnalités expérimentales et ajustements de l’interface ont été introduits. Ces ajouts concernent autant l’ergonomie du bureau que la préparation à la migration vers un nouveau PC.
Icônes de la barre des tâches redimensionnables
L’une des principales nouveautés de cette build est la possibilité de redimensionner les icônes de la barre des tâches. Une option longtemps demandée par les utilisateurs, notamment sur les écrans haute résolution ou pour ceux qui souhaitent un affichage plus compact.
Bien que la fonctionnalité soit encore en phase de test (via une activation via vivetool ou A/B testing), elle ouvre la voie à une personnalisation plus fine de l’espace de travail, particulièrement utile sur les écrans tactiles ou les configurations multi-écrans.
Un nouvel outil de migration PC
Microsoft introduit également une expérience de migration repensée pour faciliter la configuration d’un nouvel appareil Windows 11. Lors de la première configuration d’un nouveau PC, l’utilisateur peut désormais reprendre plus facilement ses préférences et fichiers depuis un ancien appareil, via son compte Microsoft.
Ce nouvel assistant se rapproche de ce que propose Apple avec iCloud ou Google avec Android, permettant une transition plus fluide d’un ancien PC vers un nouveau, avec :
la reprise des paramètres de personnalisation,
l’historique des applications installées,
et des recommandations contextuelles lors de la configuration.
Microsoft vise ici à réduire les frictions lors du changement de machine, en rendant le processus moins technique et plus automatisé pour les utilisateurs non experts.
Améliorations de l’expérience de configuration (OOBE)
Toujours dans cet esprit, la séquence OOBE (Out Of Box Experience) a été ajustée. Elle propose désormais une interface plus dynamique, avec davantage de suggestions visuelles et une meilleure présentation des options liées à Microsoft 365, OneDrive et aux paramètres de confidentialité. Ces ajustements visent à rendre l’expérience plus cohérente et moins intrusive.
Autres changements techniques et corrections
La build 26241 (et donc la KB5060829) embarque aussi plusieurs corrections de bugs et ajustements internes, notamment :
des améliorations de stabilité pour les appareils ARM64,
des ajustements dans le système de prédiction de saisie et suggestions de texte,
la préparation de certaines fonctionnalités encore désactivées par défaut, mais visibles pour les testeurs avancés via ViVeTool.
À noter que certaines de ces nouveautés sont encore déployées par vagues (A/B testing) et peuvent ne pas apparaître immédiatement chez tous les utilisateurs du canal Canary.
Une mise à jour orientée utilisateur et continuité
La mise à jour KB5060829 n’introduit pas de rupture majeure, mais elle continue de montrer la volonté de Microsoft de raffiner Windows 11 par petites touches : plus de personnalisation, une meilleure portabilité entre appareils, et des outils mieux intégrés à l’écosystème Microsoft.
Elle préfigure sans doute plusieurs fonctionnalités qui seront généralisées dans la mise à jour majeure Windows 11 24H2, attendue plus tard cette année.
Vous pouvez télécharger la KB5060829 en allant dans Paramètres > Windows Update. Vous pouvez également l’obtenir à partir du catalogue de mises à jour de Microsoft en cliquant sur ce lien.
Microsoft continue d’améliorer l’expérience de gestion des mises à jour sous Windows 11, en particulier dans les environnements professionnels. À partir des prochaines versions de Windows 11, les mises à jour de sécurité et de fonctionnalités ne nécessiteront plus automatiquement un redémarrage du système, notamment sur les PC configurés comme “bureautiques” (office PCs).
Concrètement, cela signifie que lorsqu’un correctif est déployé, Windows tentera d’appliquer les mises à jour sans interruption directe pour l’utilisateur. Le système privilégiera une approche plus souple : appliquer les correctifs en arrière-plan et différer le redémarrage aussi longtemps que possible, afin de limiter les coupures de travail non planifiées.
Cette nouvelle approche s’inscrit dans la logique des environnements d’entreprise où les interruptions causées par un redémarrage peuvent impacter la productivité, notamment dans des postes partagés, des salles de réunion ou des chaînes de production informatisées. Microsoft précise que cette règle ne concerne pour l’instant que certains types de postes identifiés comme office PCs, probablement selon leur profil dans Active Directory ou selon les stratégies de groupe appliquées.
Cela ne signifie pas que les redémarrages sont complètement supprimés. Certains correctifs critiques, comme ceux concernant le noyau, les pilotes ou des failles de sécurité majeures, continueront à nécessiter un redémarrage immédiat. Mais pour les mises à jour plus légères, Windows tentera désormais de les appliquer à chaud, sans perturber la session en cours.
Cette évolution répond aussi à une demande ancienne des administrateurs IT, qui jonglent depuis des années entre la sécurité (mettre à jour rapidement) et l’usage métier (ne pas déranger l’utilisateur). Microsoft poursuit donc sa stratégie d’automatisation “silencieuse” des updates, avec une meilleure adaptation au contexte machine.
Le changement devrait être actif d’ici la fin 2025, probablement intégré aux builds de Windows 11 24H2 ou ultérieures. Les administrateurs pourront ajuster ce comportement via des politiques spécifiques (GPO/Intune), mais pour de nombreux parcs, il sera activé par défaut.
Lorsque votre antivirus signale une menace, il affiche souvent un nom technique comme Trojan.GenericKD, PUA:Win32/Presenoker ou encore Backdoor.Win32.Agent. Ces noms peuvent sembler obscurs, mais ils reflètent le type exact de menace détectée, son comportement ou sa méthode d’infection. Chaque éditeur antivirus (Microsoft Defender, Kaspersky, Bitdefender, Malwarebytes, etc.) utilise sa propre nomenclature, parfois générique, parfois très précise. Cela peut aussi être le cas à la suite d’une analyse sur VirusTotal.
Ce guide regroupe et classe les exemples de détections les plus courantes, organisées en tableaux clairs par type de menace :
Trojans chevaux de Troie téléchargeurs et voleurs de données,
Backdoors à accès distant,
PUP/PUA (logiciels potentiellement indésirables),
Adwares injectant des publicités ou des redirections,
Scripts malveillants (JavaScript, macros Office), etc.
L’objectif de cet article est de vous aider à identifier rapidement la nature d’une alerte, comprendre si elle est sérieuse, et prendre les bonnes décisions en cas de détection. Que vous soyez simple utilisateur ou technicien, ce récapitulatif vous offre une vue concrète des menaces détectées en 2025 par les principales solutions de sécurité.
Détections de PUP/PUA (logiciels potentiellement indésirables)
Les PUP sont souvent installés en bundle avec des programmes gratuits, via des installateurs modifiés ou douteux. Il peut aussi s’agir de logiciel classé comme indésirable (optimiseur système, collecte de données). Ils ne sont pas toujours dangereux, mais peuvent nuire à la performance ou manipuler la navigation.
Scénario possible : votre antivirus détecte un Setup qui se trouve dans votre dossier de Téléchargement. Autre cas, vous avez installé un logiciel peu fiable détecté comme tel.
Détections d’adwares (publicité intrusive)
Les adwares (logiciels publicitaires) sont des programmes qui affichent de la publicité de manière intrusive sur votre système ou dans votre navigateur. Ils peuvent se manifester par des pop-ups, des redirections automatiques vers des sites sponsorisés, ou l’injection de bannières dans des pages web normales. Bien qu’ils ne soient pas nécessairement classés comme malveillants, leur présence perturbe souvent l’expérience utilisateur, ralentit le système, et peut poser des risques de confidentialité.
Ces scripts sont souvent injectés dans des pages compromises ou des publicités frauduleuses afin d’infecter les PC des internautes. Ces scripts injectés dans des pages (publicités, iframe, JavaScript à distance) sont souvent bloqués par le filtrage web, avant même que l’antivirus n’intervienne au niveau fichier.
Scénario possible : vous avez visité un site piraté et l’antivirus bloque le script malveillant placé par le cybercriminel. Autre cas, vous avez téléchargé une pièce jointe malveillante depuis un email. Dans le premier cas, la détection peut cibler le cache internet du navigateur, et donc l’infection n’est pas active. Vérifiez l’emplacement de la détection. Vider le cache internet ou réinitialiser son navigateur WEB peut aider à arrêter ces détections.
Trojan Downloader (chargement de payload à distance)
Cette détection désigne un fichier malveillant conçu pour télécharger et installer d’autres malwares à partir d’un serveur distant, sans l’accord de l’utilisateur. Il s’agit d’une détection générique utilisée lorsqu’un comportement de type « downloader » est observé (par exemple, un script ou exécutable qui établit une connexion vers une URL externe et tente de récupérer un second fichier malveillant).
Scénario possible : vous avez téléchargé un crack et l’antivirus le bloque. Autre cas, un malware est déjà actif dans le système ou vous avez exécuté un fichier qui tente de l’installer.
Chevaux de Troie avec exfiltration ou backdoor (C2)
Ces menaces permettent un accès distant, la surveillance.
Voici maintenant des détections de type Trojan.Stealer. Soit donc en général, un cheval de Troie capable de donner l’accès à distance courant, permettant aux attaquants de prendre le contrôle, exfiltrer des données, déclencher des captures écran, des keyloggers, etc. Ils sont conçus pour voler des informations personnelles, identifiants, mots de passe, cookies, données système, etc.
Détection
Exemple
Antivirus
TrojanSpy:Win32/Agent (La mention Spy n’est pas obligatoire)
Infostealer.Gampass – cible les jeux Infostealer.RedLine (Famille RedLine)
Norton
Fichiers HTML/Office infectés (pièces jointes ou pages piégées)
Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.
Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.
Exemple de détection
Antivirus
Description
Trojan:O97M/Agent.XXX
Microsoft Defender
Macro malveillante dans un document Word/Excel
HTML/Phishing.Agent.AB
ESET
Fichier HTML visant à voler des identifiants
DOC:Exploit.CVE-2017-11882
Avast
Exploitation d’une faille Office via fichier Word piégé
Scénario possible : la détection porte sur une pièce jointe malveillante.
Que signifient les noms de détection antivirus (Trojan.Agent, Generic, etc.)
Les noms de détection antivirus varient selon les éditeurs. Certains utilisent des appellations très générales, comme Generic, Agent ou Script, tandis que d’autres emploient des noms plus spécifiques, souvent basés sur la famille du malware ou son comportement.
Il faut également savoir que les antivirus modernes adaptent leurs détections en fonction du contexte et de l’analyse en temps réel. Un fichier peut d’abord être détecté de manière heuristique, puis reclassé plus précisément après passage en sandbox ou analyse via des systèmes d’intelligence cloud (Threat Intelligence).
Malwarebytes
Chez Malwarebytes, la nomenclature des détections est généralement plus descriptive que hiérarchisée, mais elle suit néanmoins une logique basée sur le type de menace, sa famille comportementale, et parfois sa technique d’obfuscation ou son objectif.
Contrairement à Microsoft Defender ou Kaspersky, Malwarebytes mise fortement sur l’analyse heuristique et comportementale, ce qui explique l’usage fréquent de noms génériques mais contextuels. Le moteur peut ainsi identifier une menace même sans signature explicite.
Une détection typique peut ressembler à : Trojan.Agent, Trojan.MalPack.Stealer, ou encore Adware.Generic.####
Ce qui donne :
Préfixe : indique la catégorie de la menace Exemples :
Trojan. → cheval de Troie (accès à distance, stealer, downloader…)
Adware. → logiciel injectant de la publicité ou modifiant le navigateur
PUP. → programme potentiellement indésirable
Malware. ou MalPack. → détection générique basée sur le comportement
Nom central : identifie le comportement ou la famille
Agent → désignation générique utilisée lorsqu’aucune famille précise n’est reconnue, ou que le comportement est modulaire
Stealer → indique un voleur d’informations
Downloader → menace qui télécharge un autre malware
Injector → injection de code dans des processus légitimes
Suffixe éventuel : identifiant numérique ou indication d’analyse comportementale
Generic, Heur, ou un numéro de variante (Trojan.Agent.EDX)
Peuvent aussi signaler une détection basée sur un empaquetage (MalPack) ou une obfuscation avancée
Exemples concrets :
Trojan.Agent → fichier présentant un comportement trojan, sans attribution de famille spécifique.
Trojan.MalPack.Downloader → fichier compressé/obfusqué qui agit comme un téléchargeur distant.
PUP.Optional.DriverUpdate → logiciel potentiellement indésirable proposant des mises à jour de pilotes, souvent classé comme trompeur.
Microsoft (Windows Defender)
Chez Microsoft Defender, les noms de détection suivent une structure relativement standardisée, permettant de comprendre en un coup d’œil le type de menace, sa plateforme cible et sa classification. Un nom de détection typique se présente sous la forme :
<type>:<plateforme>/<nom>.<variante>
Microsoft utilise aussi d’autres préfixes selon la nature de la menace :
Backdoor: pour les accès à distance non autorisés,
Ransom: pour les ransomwares,
PUA: pour les applications potentiellement indésirables (Potentially Unwanted Applications),
Exploit: pour les fichiers qui exploitent une vulnérabilité système,
HackTool: pour les outils légitimes détournés à des fins malveillantes.
Par exemple : Trojan:Win32/Agent.WXYZ
Trojan désigne le type de menace (ici un cheval de Troie),
Win32 indique la plateforme ciblée, en l’occurrence Windows 32 bits (même si cela s’applique aussi à 64 bits par compatibilité),
Agent est un nom générique de famille, souvent utilisé lorsque la menace est modulaire, indéterminée ou fait partie d’une classe connue de malwares,
WXYZ est une variante, une signature spécifique ou un identifiant unique interne.
Enfin, certains noms se terminent par un suffixe comme !MTB, !ml ou !bit, indiquant une détection basée sur :
!MTB → Machine-learned Threat Based (détection par IA / modèle comportemental),
!ml → Machine Learning,
!bit → détection basée sur une signature hash/statique.
Que faire après une détection
Pour neutraliser la menace :
Mettre en quarantaine et supprimer les menaces. Compléter l’analyse de votre ordinateur avec MBAM. Plus de détails :
Surveiller le comportement du système. Par exemple, vérifier les connexions réseau (via netstat / outils tiers)
Réaliser une analyse secondaire avec VirusTotal ou un autre scanner
Avec la mise à jour de sécurité de juin 2025 (KB5060842), Microsoft a officialisé une nouvelle limite de conservation pour les points de restauration, désormais fixée à 60 jours maximum sous Windows 11 24H2. Au-delà, les points de restauration seront automatiquement supprimés.
Si jusqu’ici la durée de conservation était fluctuante — certaines installations la fixaient à 90 jours, d’autres parfois à peine 10 — cette mesure apporte une uniformisation bienvenue . Avant la mise à jour, par exemple, certains utilisateurs constataient que leurs points disparaissaient entre 10 et 90 jours.
Microsoft confirme que cette limite s’applique par défaut, à la fois dans la version actuelle de 24H2 et dans toutes les versions futures de cette branche. La mise à jour cumulative passe la commande suivante :
Comme vous pouvez le constater, nous obtenons une valeur de 5184000, ce qui correspond à 60 jours (5184000 ÷ 86 400 secondes). Un ancien document de support, vieux de 13 ans (aujourd’hui supprimé), indiquait que les points de restauration Windows étaient initialement conçus pour expirer au bout de 90 jours. C’était le cas sous Windows Vista, Windows 7 et les versions suivantes. Par ailleurs, lorsque l’espace disque devenait insuffisant, Windows supprimait automatiquement tous les points de restauration pour libérer de la place — un comportement qui semble toujours d’actualité aujourd’hui.
Et si vous souhaitez conserver vos points plus longtemps ?
Certains utilisateurs s’inquiètent de l’impact de cette limite, notamment ceux qui préfèrent un historique longue durée. Sur Reddit, les avis divergent :
« Mon point de restauration du système expire actuellement tous les 30 jours… Oui, c’est moins que la limite de 90 jours de 10/7. Mais est-ce qu’on peut le changer ? »
« Ne pouvons-nous pas déjà choisir la quantité d’espace allouée… C’est tout simplement stupide. »
Heureusement, il est possible de réajuster manuellement le délai via une clé de registre, voire de la désactiver complètement pour revenir au fonctionnement précédent. Vous pouvez repasser facilement à 90 jours via la clé RPLifeInterval dans HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore. Modifiez alors la valeur à 7776000.
De même, nombreux sont ceux qui jugent que la sauvegarde régulière (via Macrium Reflect, OneDrive, etc.) est bien plus fiable si le point de restauration échoue ou disparaît soudainement.
Ce que cela signifie pour vous
Cette mise à jour confirme une volonté claire de Microsoft : limiter le stockage long terme des sauvegardes système, probablement pour économiser de l’espace disque et recentrer les utilisateurs vers des solutions de sauvegarde plus robustes.
Pour vous assurer une couverture, il est conseillé de :
Créer régulièrement (au minimum une fois par mois) un point de restauration manuellement.
Vérifier ou modifier la clé RPLifeInterval dans le registre si vous souhaitez prolonger la durée.
Mettre en place une sauvegarde régulière (via des images système, dans le cloud, sur disque externe, etc.), car les points de restauration ne couvrent pas les données personnelles.
En résumé, si cette limitation ne devrait pas poser de problème pour une mauvaise mise à jour récente, elle pourrait pénaliser ceux qui comptent sur des restaurations à très long terme. Pour une tranquillité maximale, on recommande de combiner les points système avec des sauvegardes périodiques fiables.
Vous avez remarqué un dossier nommé C:\inetpub sur votre disque dur et vous vous demandez s’il est important, à quoi il sert, ou même s’il peut être supprimé en toute sécurité ? Vous n’êtes pas seul : de nombreux utilisateurs découvrent ce répertoire sans en avoir connaissance, souvent après une mise à jour ou l’activation de certaines fonctionnalités Windows.
Le dossier inetpub est créé automatiquement lorsqu’on installe ou active IIS (Internet Information Services), le serveur web intégré à Windows. Il contient notamment les fichiers du site web par défaut hébergé localement, ainsi que des journaux ou fichiers temporaires liés au service web.
Dans cet article, nous allons voir :
Pourquoi le dossier inetpub apparaît sur votre PC,
S’il est lié à un risque de sécurité ou à une erreur système,
Et surtout, si vous pouvez le supprimer sans conséquences selon votre usage de Windows.
Ce guide vous aidera à comprendre l’utilité réelle de inetpub et à décider en toute connaissance de cause s’il peut être conservé ou supprimé.
Qu’est-ce que le dossier inetpub sur Windows 11 ou Windows 10
Le dossier C:\inetpub est automatiquement créé par Windows lors de l’installation ou de l’activation du composant IIS (Internet Information Services), qui est le serveur web intégré à Windows. IIS est utilisé pour héberger des sites web localement ou à distance, principalement dans un contexte professionnel, de développement ou de test.
Plusieurs situations peuvent entraîner la création de ce dossier :
L’activation manuelle d’IIS via les fonctionnalités facultatives de Windows,
L’installation d’un logiciel qui utilise IIS en arrière-plan (par exemple : certains outils de gestion de parc, serveurs de messagerie ou plateformes de test local),
Dans certains cas, une mise à jour Windows, un script ou un pack logiciel peut activer par défaut certains composants du serveur web.
Le dossier inetpub contient différents sous-dossiers :
wwwroot : répertoire par défaut pour les fichiers de sites web hébergés localement,
logs : journaux de requêtes HTTP traitées par IIS,
ftproot, history, custerr, etc. : utilisés selon les services activés.
Pourquoi le dossier inetpub apparaît sur votre PC
La présence d’un dossier inetpub vide ne signifie pas qu’il y a un problème : cela indique simplement qu’IIS a été installé ou initialisé à un moment, mais n’a pas été utilisé activement. Si vous n’avez pas besoin de cette fonctionnalité, vous pouvez désactiver IIS et supprimer le dossier sans risque.
De temps en temps, le dossier C:\inetpub est présent sur un système Windows, mais ne contient aucun fichier, ou uniquement un ou deux sous-dossiers vides comme wwwroot ou logs. Par exemple, un programme a déclenché l’installation du composant IIS (même partiels) sans en informer explicitement l’utilisateur — souvent à des fins de diagnostic, de test ou de serveur local temporaire. Cela suffit à provoquer la création du dossier, sans que le service IIS soit réellement utilisé. Windows peut créer inetpubdès l’ajout des composants nécessaires à IIS, même si l’utilisateur ne configure jamais de site web ni n’utilise le serveur. Le dossier reste alors présent, mais inoccupé.
Si vous n’avez jamais eu l’intention d’héberger un site web ou d’utiliser IIS, ce dossier semble inutile. Toutefois, sa simple présence ne signifie pas que votre système est compromis ou mal configuré. Il reflète simplement l’activation d’une fonction Windows optionnelle. Toutefois, certains logiciels ou scripts tiers (en particulier en environnement de développement local) peuvent aussi activer IIS de manière silencieuse, même sur Windows.
Pose-t-il un problèmle de sécurité ou stabilité du système
En l’état, la présence du dossier inetpub n’est pas un danger pour la sécurité ou la stabilité de Windows, tant que le serveur IIS n’est pas activement utilisé ou exposé sur le réseau.
Cependant, si IIS est installé et en fonctionnement, même par inadvertance, il ouvre par défaut un service d’écoute HTTP sur le port 80. Cela peut représenter une surface d’attaque si le service n’est pas configuré correctement ou si le pare-feu ne filtre pas les connexions entrantes. Un attaquant pourrait théoriquement exploiter une faille dans IIS ou dans une page hébergée dans wwwroot.
Du côté des performances ou de la stabilité système, la présence d’IIS ne pose pas de souci majeur — à condition qu’il ne tourne pas inutilement en arrière-plan. Il peut néanmoins consommer des ressources (RAM, CPU, ports réseau) et générer des fichiers journaux dans inetpub\logs, ce qui peut remplir le disque à long terme.
En résumé :
Si IIS n’est pas actif, inetpub est inoffensif et peut être ignoré.
Si IIS est actif par erreur, il est conseillé de désactiver ce composant pour limiter les risques réseau et nettoyer les dossiers associés.
Peut-on supprimer le dossier inetpub
Oui, le dossier inetpub peut être supprimé, mais à condition que le service IIS (Internet Information Services) soit désactivé au préalable. En effet, tant que IIS est actif, Windows peut continuer à utiliser ce dossier pour stocker des fichiers web, des logs ou des paramètres. Pour les utilisateurs classiques (hors développeurs web ou administrateurs réseau), IIS n’est pas nécessaire. Si vous ne l’utilisez pas, vous pouvez désactiver IIS et supprimer inetpub sans conséquences sur Windows.
Voici les étapes à suivre.
Commencez par désactiver IIS du système :
Sur votre clavier, appuyez sur les touches
+
R
Puis saisissez optionalfeatures et OK
Décochez Internet Information Services,
Validez puis redémarre le PC si demandé.
Ensuite, vérifiez qu’aucun service IIS résiduel ne tourne. Théoriquement, ils ne sont plus présent puisque vous avez supprimé le composant. Pour cela :
Sur votre clavier, utilisez le raccourci clavier + R
Connexion
Avant toute modification du registre, pensez à sauvegarder les clés concernées ou à créer un point de restauration système, afin d’éviter tout dysfonctionnement.
et le QR code ont été retirés, remplacés par une interface minimale, centrée sur l’essentiel : le code d’erreur et, le cas échéant, le pilote incriminé.
Différence: +4.36 hrs
