On croit souvent qu’installer un antivirus suffit à protéger son PC. En réalité, la sécurité informatique ne dépend pas uniquement d’un logiciel, mais avant tout de vos comportements et de votre vigilance.

Les cybercriminels ne ciblent pas seulement les failles techniques, mais exploitent surtout les erreurs humaines : téléchargements de cracks, clics sur des liens douteux, logiciels non à jour, programmes installés sans attention…

Dans cet article, vous découvrirez les véritables causes d’infection, les profils les plus exposés, et surtout, les bonnes pratiques à adopter pour sécuriser efficacement votre ordinateur au quotidien — bien au-delà de l’antivirus.

Introduction : la sécurité, ce n’est pas (que) l’antivirus

Quand on parle de sécurité informatique, beaucoup pensent qu’il suffit d’installer un antivirus pour être protégé. C’est une idée reçue largement répandue… et pourtant, loin de suffire.

Aujourd’hui, les cybercriminels n’utilisent plus seulement des virus classiques. Ils s’appuient sur l’erreur humaine, l’ignorance technique ou la naïveté de l’utilisateur pour infecter les systèmes :
faux logiciels, cracks piégés, fausses mises à jour, extensions malveillantes, pièges par email ou publicité…

Autrement dit : ce n’est pas parce que vous avez un antivirus actif que vous êtes protégé.
Le risque d’infection dépend davantage de votre comportement que du logiciel que vous utilisez.

L’objectif de cet article est de remettre les bases en place, et de vous expliquer concrètement :

• pourquoi les infections surviennent ;
• quels types d’utilisateurs sont les plus exposés ;
• et notamment, comment vraiment éviter les malwares au quotidien, même sans logiciel miracle.

Vous verrez qu’il n’existe pas une solution unique à appliquer, mais plutôt une hygiène numérique à adopter.
Et, c’est bien cette attitude qui fait la différence entre un utilisateur infecté… et un autre qui ne l’est jamais.

Pourquoi les malwares vous ciblent

Les malwares (virus, chevaux de Troie, logiciels espions…) ne sont pas créés “au hasard” pour nuire gratuitement. Aujourd’hui, le principal moteur des cyberattaques est l’argent.
Chaque PC infecté peut générer du profit pour les pirates, de différentes manières :

• En l’intégrant à un botnet (réseau de machines zombies utilisées à distance)
• En affichant des publicités non désirées (adwares) ou en volant des données personnelles
• En forçant l’utilisateur à payer (faux antivirus, ransomwares)
• En revendant les accès ou informations collectées sur le marché noir

C’est ce qu’on appelle le business des malwares.

Pour maximiser leurs gains, les cybercriminels cherchent donc à infecter un maximum de machines.
Et, pour y arriver, ils exploitent les failles humaines, techniques et comportementales des utilisateurs ordinaires.

Les vecteurs d’infection les plus courants

Chaque jour, des milliers de nouvelles variantes de malwares sont mises en ligne, souvent conçues pour passer temporairement sous les radars des antivirus. Durant cette fenêtre de temps, vous êtes vulnérable, même si votre antivirus est à jour.

La majorité des infections ne viennent pas d’un “virus qui traîne sur internet”, mais d’un comportement à risque de l’utilisateur, souvent sans qu’il en ait conscience.

Voici les principaux vecteurs d’infection rencontrés au quotidien :

• Téléchargements douteux : cracks, keygens, logiciels piratés, faux lecteurs vidéo, etc. Ces fichiers sont souvent piégés avec des malwares ou programmes parasites.
• Sites web infectés ou compromis : publicités malveillantes (malvertising), redirections, exploits de failles dans le navigateur ou les plugins (Drive-by-download).
• Emails ou messages piégés : pièces jointes malveillantes, liens de phishing, fausses mises à jour ou services factices.
• Programmes installés sans vérification : bundles douteux, installateurs modifiés, logiciels attrayants mais trompeurs.

Dans tous ces cas, l’utilisateur reste le maillon faible, notamment lorsqu’il télécharge, clique ou installe sans vérifier la fiabilité de la source.

Pour un tour d’horizon complet des méthodes utilisées par les cybercriminels, consultez notre article détaillé : Les Virus et Trojan : comment ils infectent les PC

Les profils les plus exposés (et pourquoi)

Tous les utilisateurs ne courent pas le même risque d’infection. En sécurité informatique, tout est une affaire de probabilité, et certains profils sont statistiquement plus vulnérables que d’autres.

Voici les cas les plus courants :

Utilisateurs jeunes, peu expérimentés… ou personnes âgées

• Téléchargent facilement des cracks, jeux, extensions, émoticônes, « programmes utiles » sans en vérifier la provenance
• Acceptent ou exécutent des fichiers simplement parce qu’un ami, un site ou une notification leur suggère
• Manquent de recul face aux promesses trop belles pour être vraies, ou aux interfaces piégées
• Ne comprennent pas toujours les alertes ou les comportements suspects d’un système infecté

Les personnes âgées sont particulièrement ciblées par des formes de social engineering :

• Fausse assistance technique par téléphone (« Microsoft vous appelle… »)
• Fenêtres de blocage avec numéro à appeler (« Votre PC est infecté ! Appelez le support ») – Les arnaques de support téléphonique
• Messages alarmants de faux antivirus ou de mises à jour critiques
  • scarewares : faux message de virus ou erreur (arnaques)
  • Les fausses alertes indiquant que vous êtes infecté
• Usurpation d’identité (faux technicien, faux conseiller, arnaque au remboursement)

Ces attaques ne reposent pas sur une faille technique, mais sur la peur, l’urgence et la confiance naïve dans l’autorité. Elles peuvent aboutir à une prise de contrôle à distance, au vol de données bancaires, ou à l’installation de programmes malveillants.

Utilisateurs de P2P, de streaming illégal ou de logiciels piratés

• Téléchargent des fichiers depuis des sources non vérifiées : films, jeux, logiciels, clés d’activation
• Recherchent et exécutent des cracks, keygens, patchs ou activations trouvés sur des forums, sites douteux ou plateformes P2P
• Pensent contourner une limitation logicielle… mais installent en réalité des malwares, adwares, voire des chevaux de Troie
• Exécutent des fichiers sans se poser de questions (setup.exe, patch.bat, fake installateurs)

Les auteurs de malwares ciblent massivement ce profil, car il est facile à piéger. Un crack sur deux est infecté, modifié ou lié à une offre déguisée (faux site, installateur piégé, bundle).
Et au moment où l’utilisateur s’en rend compte… il est souvent déjà trop tard.

Utilisateurs peu vigilants

• N’appliquent pas les mises à jour de Windows ou des logiciels installés
• Acceptent toutes les fenêtres, installateurs ou demandes sans lire
• Ne savent pas identifier une source fiable ou un site douteux
• Installent un logiciel simplement parce que « le site est joli » ou « quelqu’un l’a partagé »

Ce profil est victime non pas d’ignorance technique, mais de naïveté comportementale.

Quelles protections adopter en 2025 ?

On entend souvent la question : “Quel antivirus faut-il installer ?”
Mais comme expliqué depuis le début de ce guide, la sécurité informatique ne dépend pas uniquement d’un logiciel.
C’est avant tout une affaire de comportement, de vigilance, et de compréhension des risques.

Même avec un bon antivirus, vous pouvez vous faire piéger.
À l’inverse, un utilisateur attentif, même équipé d’un antivirus basique, réduira considérablement ses risques d’infection.

Comprendre que l’antivirus ne suffit pas

L’antivirus est un filet de sécurité, pas un pare-feu infaillible.
Il peut :

• bloquer des fichiers malveillants connus,
• détecter certains comportements suspects,
• vous avertir après une infection…

Mais, il n’empêche pas l’utilisateur de faire des erreurs :
installer un programme piégé, désactiver sa protection, ouvrir une pièce jointe douteuse, ou donner ses identifiants sur une fausse page.

C’est pourquoi même un antivirus performant ne protège pas de tout, surtout face aux nouvelles menaces (malwares inédits, phishing bien conçu, attaques ciblées, etc.).

• Quel est le meilleur antivirus pour Windows 10/11 ?
• Les antivirus gratuits : quel est le meilleur ?

Bonnes pratiques à appliquer au quotidien

Voici les principales règles simples à appliquer pour se protéger efficacement en 2025, avec ou sans antivirus :

• Téléchargez uniquement depuis des sources fiables : éditeurs officiels, sites reconnus. Évitez les cracks, keygens, installateurs douteux, etc.
• Maintenez Windows et vos logiciels à jour (navigateur, PDF, Java, pilotes, etc.).
  Les mises à jour corrigent des failles exploitées par les malwares.
• Ne cliquez pas sur n’importe quel lien reçu par email, SMS ou messagerie.
  Et ne croyez pas aveuglément les alertes de type “votre PC est infecté”.
• Vérifiez ce que vous installez : lisez les écrans d’installation, refusez les logiciels additionnels, décochez les cases inutiles.
• Créez un compte utilisateur non administrateur pour un usage quotidien.
  Cela limite fortement l’impact potentiel d’un malware.
• Sauvegardez régulièrement vos données. Une clé USB ou un disque externe vous protège contre la perte totale en cas d’infection ou de ransomware.
• Renseignez-vous. Mieux, vous comprenez les risques, mieux, vous saurez les éviter.

En liens :

• Comment protéger son PC des virus et des pirates ?
• Sécuriser son PC en Windows 11 ou Windows 10 : 18 astuces

Conclusion : la sécurité est un comportement

On cherche souvent la bonne solution de sécurité : un antivirus, un logiciel miracle, une « astuce » pour éviter les infections.

Mais, la réalité est simple : la meilleure protection, c’est vous.

Il n’existe pas de configuration magique, ni de protection parfaite. Même avec un antivirus réputé, un pare-feu renforcé ou un système à jour, vous pouvez être infecté si vous adoptez de mauvaises habitudes.

La sécurité ne repose pas uniquement sur les outils, mais sur votre comportement :

• votre capacité à reconnaître les risques,
• à vous méfier des propositions trop faciles,
• à garder votre système propre et à jour,
• et à ne pas cliquer sans réfléchir.

La majorité des infections se produisent par négligence, naïveté ou automatisme.
Ce sont les petites habitudes du quotidien qui font toute la différence : un peu de recul, un peu de méfiance, un minimum de bon sens informatique… et vous évitez 95 % des menaces.

En cybersécurité, il vaut mieux être un utilisateur moyen, mais attentif, qu’un utilisateur confiant avec des outils puissants cependant mal utilisés.

L’article La sécurité de son PC, c’est quoi ? est apparu en premier sur malekal.com.

On imagine souvent les malwares comme des virus “créés pour nuire”, sans but précis. En réalité, les infections informatiques sont aujourd’hui le moteur d’un immense écosystème criminel qui brasse des millions d’euros chaque année.

Derrière chaque PC infecté, chaque popup de publicité ou chaque ransomware se cache un modèle économique bien rodé, avec ses outils, ses services, ses clients… et ses profits.
Le malware n’est plus un simple programme malveillant : c’est un vecteur de revenus, utilisé par des groupes organisés qui exploitent la naïveté des internautes et les failles du Web.

Dans cet article, nous vous dévoilons comment les cybercriminels gagnent de l’argent grâce aux malwares :

• botnets, adwares, ransomwares, phishing, PUPs,
• plateformes d’affiliation, infrastructures spécialisées,
• et même des faux blogs de sécurité ou des offres d’emploi frauduleuses.

Ce dossier vous montre que derrière chaque infection, il y a un business — et souvent, plusieurs intermédiaires qui en profitent.

Pourquoi infecter un PC rapporte de l’argent ?

Infecter un ordinateur n’est pas une fin en soi : c’est un moyen lucratif. Aujourd’hui, la majorité des malwares sont conçus pour générer du profit, pas simplement pour “casser des systèmes”.

Chaque machine compromise représente une ressource exploitable pour un cybercriminel :
elle peut afficher des publicités, envoyer du spam, miner de la cryptomonnaie, servir de relais pour des attaques, ou simplement devenir une porte d’entrée vers des données personnelles ou bancaires.

Plus un malware est installé sur de nombreux PC, plus il peut :

• multiplier les revenus (popups, ransomwares, affiliations)
• relayer des opérations malveillantes en masse (botnets, hameçonnage, arnaques)
• collecter ou revendre des données (emails, comptes, numéros de carte, identifiants de jeux)

L’infection devient alors un investissement rentable dans un véritable écosystème souterrain.
À grande échelle, un réseau de PC infectés (botnet) peut rapporter des milliers d’euros par jour à son opérateur, avec très peu de frais techniques.

Dans les prochaines sections, nous allons passer en revue les principales méthodes utilisées pour monétiser les infections, et comprendre comment ce business s’est structuré autour de l’exploitation des utilisateurs.

Méthodes de monétisation des PC infectés

Botnets : attaques, spam, location de machines

Un botnet est un réseau de machines infectées (PC, serveurs, objets connectés), contrôlées à distance sans que leurs propriétaires ne s’en aperçoivent. Ces machines zombifiées sont utilisées comme armée numérique silencieuse, et peuvent être exploitées à des fins très lucratives.

Que permet un botnet ?

• Lancer des attaques DDoS (déni de service) : inonder un site web ou un service en ligne de requêtes jusqu’à le rendre inaccessible.
  → Ce type d’attaque peut être vendu comme service à d’autres groupes, à des concurrents ou utilisé à des fins de chantage.
• Envoyer du spam en masse : un botnet peut expédier des millions d’emails de phishing ou de publicité non sollicitée, souvent via les adresses IP des machines infectées pour contourner les filtres anti-spam.
• Cacher l’origine d’attaques : les cybercriminels peuvent utiliser les machines d’un botnet comme relais pour mener d’autres actions malveillantes (vols de données, scans de vulnérabilités, etc.).

Un modèle économique bien établi

Certains opérateurs de botnets ne les utilisent même pas eux-mêmes. Ils les louent à d’autres groupes pour une durée donnée, avec une interface en ligne, des statistiques d’utilisation, un support client, etc.
On parle alors de botnet-as-a-service, un modèle similaire à celui du cloud computing.

Un botnet de quelques dizaines de milliers de machines peut être loué pour plusieurs centaines d’euros par jour, selon ses capacités (puissance réseau, stabilité, géolocalisation des machines, etc.).
Et pour alimenter ces réseaux, des kits de création et de gestion de botnet circulent dans les cercles underground, vendus avec documentation, mises à jour et même support technique.

Cette annonce propose de constituer un botnet en quelques heures pour 30 BTC.

Ou encore cette autre annonce :

Publicité : adwares, popups, redirections

Un autre moyen courant de monétiser les infections consiste à afficher de la publicité non désirée sur les ordinateurs infectés. Ce modèle repose sur l’installation de programmes publicitaires (adwares) qui injectent du contenu promotionnel directement dans le système de l’utilisateur.

Comment ça fonctionne ?

Une fois l’adware installé, il peut :

• Ouvrir des popups publicitaires de façon aléatoire ou à intervalles réguliers
• Modifier les résultats de recherche (ex. : détourner les recherches Google vers des moteurs frauduleux)
• Ajouter des bannières ou faux boutons sur les sites visités
• Rediriger les clics vers des pages affiliées ou des pages malveillantes

Chaque interaction (affichage, clic, redirection) génère des revenus pour l’auteur du malware, généralement via des plateformes d’affiliation ou des régies publicitaires peu regardantes.

Pourquoi c’est rentable ?

Les campagnes d’adware sont peu coûteuses à mettre en place et peuvent toucher des dizaines de milliers d’utilisateurs en peu de temps.
Chaque clic ou affichage peut rapporter quelques centimes, mais multipliés par le volume, cela devient rapidement une source de revenus passive et massive.

L’auteur d’un adware bien diffusé peut générer plusieurs centaines d’euros par jour sans voler de données, ni bloquer la machine.
C’est aussi l’un des modèles les plus durables, car il laisse le système fonctionnel, rendant l’utilisateur moins méfiant — voire incapable d’identifier la cause réelle du problème.

Cryptomonnaie : exploiter la puissance de calcul pour miner de la cryptomonnaie

Une autre méthode de monétisation des machines infectées consiste à utiliser leur puissance de calcul pour miner de la cryptomonnaie (Bitcoin, Monero, etc.).

Plutôt que d’afficher des publicités ou de voler des données, certains malwares installent un mineur de cryptomonnaie discret sur la machine. Ce dernier utilise les ressources CPU ou GPU de l’ordinateur à l’insu de l’utilisateur pour générer des unités de monnaie virtuelle.

Lorsque cette activité est répartie sur des milliers de PC infectés dans un botnet, elle peut générer des revenus significatifs sans éveiller de soupçons immédiats (à part des lenteurs ou une surchauffe de la machine).

Cette technique est particulièrement utilisée avec des cryptos comme Monero, qui sont conçues pour être résistantes au traçage et exploitables par CPU (contrairement au Bitcoin, devenu moins rentable à petite échelle).

Scawares/Rogues et ransomwares : arnaques à la peur

Les cybercriminels exploitent aussi la peur pour pousser les utilisateurs à agir dans la précipitation — et à payer. Deux méthodes sont particulièrement efficaces dans ce domaine :
les rogues (faux antivirus) et les ransomwares.

Scawares/Rogues (faux antivirus)

Un rogue est un faux logiciel de sécurité qui imite un antivirus classique. Il affiche de fausses alertes alarmantes pour faire croire à l’utilisateur que son PC est gravement infecté, puis lui propose une solution immédiate… payante.

Exemples de comportements :

• Alertes envahissantes sur l’écran indiquant des “infections critiques”
• Blocage de certaines fonctions système (explorateur, navigateur…)
• Incitation à acheter une licence pour “nettoyer” le PC

Ci-dessous, un rogue sous la forme d’un faux antivirus qui affiche des détections et alertes exagérées
En réalité, ces programmes ne nettoient rien : ils sont souvent eux-mêmes à l’origine des dysfonctionnements.

Ces arnaques reposent sur le modèle PPC / CPC (Pay Per Click / Conversion) : le cybercriminel est rémunéré à chaque installation ou achat déclenché par son faux logiciel.

À lire :

• scarewares : faux message de virus ou erreur (arnaques)
• Les fausses alertes indiquant que vous êtes infecté

Ransomwares

Les ransomwares sont aujourd’hui l’un des modèles les plus lucratifs du cybercrime. Ils chiffrent les fichiers de l’utilisateur (documents, photos, etc.) et affichent un message réclamant une rançon en cryptomonnaie pour les déverrouiller.

Caractéristiques :

• Chiffrement fort (AES, RSA) rendant les fichiers inutilisables
• Blocage complet ou partiel de l’accès au système
• Montant de la rançon : souvent entre 100 € et 1000 €, selon le profil ciblé

Contrairement aux rogues, les ransomwares ne simulent pas une infection, ils en causent une réelle. Et dans la plupart des cas, payer ne garantit rien.

Le ransomware peut également être utilisé pour la double extorsion : vol de données + chiffrement, avec menace de publication si la rançon n’est pas versée.

Ransomware / Rançongiciel chiffreur de fichiers

Arnaques à l’installation : Pay-Per-Install (PPI)

Le modèle Pay-Per-Install (PPI) repose sur un principe simple : être payé à chaque fois qu’un programme est installé sur une machine, qu’il soit utile… ou non. Dans le monde des malwares, ce modèle est détourné pour distribuer des logiciels indésirables, publicitaires, voire malveillants, à grande échelle.

Comment ça fonctionne ?

Des groupes créent ou distribuent des programmes douteux (rogues, adwares, browser hijackers, etc.) et recrutent des “affiliés” pour en assurer la diffusion.
Ces affiliés sont rémunérés à chaque installation réussie sur un ordinateur.

Les canaux de diffusion sont variés :

• Sites de téléchargement louches (ou même certains grands portails peu modérés)
• Crackers, keygens ou jeux modifiés distribués via le P2P
• Faux lecteurs vidéo, mises à jour Flash ou Java sur des sites de streaming
• Installateurs bundlés qui proposent plusieurs logiciels lors de l’installation d’un seul

Exemple : vous téléchargez un lecteur multimédia gratuit, mais l’installateur vous propose en parallèle une “barre d’outils”, un VPN douteux, un antivirus gratuit, etc. Si vous cliquez trop vite, vous installez tout sans vous en rendre compte.

Par exemple, ci-dessous, une vidéo de crack pour Adobe Acrobat DC qui est en réalité un malware.

Pourquoi ça rapporte ?

Chaque installation peut rapporter quelques centimes à quelques euros à l’affilié. Sur des campagnes massives (sites piratés, spam, torrents), cela peut générer des centaines voire des milliers d’euros par jour.

Ce système a permis à de nombreux groupes de monétiser sans avoir à développer leurs propres malwares. Ils se contentent de diffuser ceux des autres, via des campagnes ciblées.

Le PPI est souvent à l’origine de PUPs (programmes potentiellement indésirables) qu’on retrouve sur les PC ralentis, surchargés de fenêtres, de faux outils d’optimisation, ou de VPN imposés.

Vols d’informations : bancaire, identifiants, jeux en ligne

Une autre forme très rentable de monétisation des infections consiste à voler des données sensibles sur les machines compromises. Ces informations sont ensuite revendues, utilisées pour des fraudes ou exploitées dans des campagnes ciblées.

Vols de données bancaires

Certains malwares sont conçus pour intercepter des informations bancaires :

• identifiants de connexion à votre banque en ligne
• numéros de carte bancaire
• données personnelles (adresse, téléphone, RIB, etc.)

Les malwares spécialisés dans ce domaine sont appelés trojans bancaires (ex. : Zbot, Emotet, Dridex).
Ils peuvent se cacher en mémoire, injecter du code dans votre navigateur, ou rediriger vos connexions vers de fausses pages imitant votre banque.

Une fois les données récupérées, elles sont soit revendues sur des marchés noirs, soit utilisées directement pour des achats frauduleux ou des virements non autorisés.

Les Trojans Banker et Trojan Stealer : le malware qui vole des données

Vols de comptes de jeux en ligne

Certains malwares ciblent spécifiquement les comptes de jeux vidéo (Steam, Battle.net, Epic, etc.).
Ces comptes ont souvent une valeur financière réelle (jeux achetés, objets virtuels, monnaies in-game) et peuvent être revendues ou vidés.

Certains pirates ciblent même des comptes très spécifiques, avec des objets rares ou des skins à forte valeur.

Keyloggers, stealer, fichiers exportés

Des malwares plus généraux, appelés stealers ou keyloggers, enregistrent :

• tout ce que vous tapez (mots de passe, recherches…)
• les fichiers ouverts
• les sessions de messagerie
• les cookies ou jetons de session

Tous ces éléments sont régulièrement exportés vers un serveur distant contrôlé par l’attaquant, qui les trie, revend ou exploite selon leur valeur.

Ce type de vol est discret et difficile à détecter : l’utilisateur ne remarque rien jusqu’à ce que ses comptes soient compromis, ses mails utilisés ou ses jeux volés.

Les keylogger ou enregistreur de frappes clavier

Annonce pour louer iSpy Premium :

Campagnes de phishing, scams et fraudes diverses

En plus des malwares techniques, les cybercriminels exploitent aussi des méthodes plus “sociales” pour gagner de l’argent : le phishing, les scams (arnaques), les fraudes en ligne. Ces techniques reposent principalement sur la crédulité ou la panique de la victime.

Phishing : hameçonnage classique mais toujours rentable

Le phishing consiste à envoyer un message (email, SMS, réseau social…) se faisant passer pour un service légitime (banque, impôts, opérateur, etc.) afin de récupérer des identifiants ou des données personnelles.

Exemples de messages :

• “Une tentative de connexion suspecte a été détectée sur votre compte…”
• “Votre colis est en attente de paiement…”
• “Votre compte sera suspendu si vous ne confirmez pas vos informations…”

Le lien contenu dans le message redirige vers une fausse page qui imite parfaitement le site officiel. Si la victime entre ses identifiants, ceux-ci sont immédiatement envoyés au pirate.

Ces données sont ensuite revendues ou utilisées pour accéder à des services (et dans certains cas, détourner de l’argent ou voler des comptes).

Scam, arnaques à la carte bancaire et à la romance

On retrouve également :

• les arnaques nigérianes (scam 419) : promesse d’un héritage, d’un gain, d’un virement bloqué
• les arnaques à la romance : séduction à distance, puis demande d’argent
• les faux supports techniques : message bloquant, numéro à appeler, prise de contrôle du PC

Tous ces scénarios sont conçus pour pousser la victime à effectuer un virement, payer une rançon, ou transmettre volontairement ses données bancaires.

Fraudes par email et campagnes automatisées

Certains groupes spécialisés proposent même des services de mailing frauduleux, à la demande.
Un cybercriminel peut acheter un lot d’adresses ciblées (ex : francophones, utilisateurs d’un certain site) et payer un prestataire pour envoyer massivement ses messages piégés.

Ces campagnes sont souvent liées à d’autres formes de monétisation (phishing bancaire, faux antivirus, arnaques crypto…).

Le phishing et les scams sont des attaques sans infection technique, mais tout aussi dangereuses. Ils exploitent la confiance, l’urgence, et l’ignorance — et continuent de faire chaque jour de nombreuses victimes.

L’économie souterraine (Underground)

Le modèle de “cybercriminalité à la chaîne” fonctionne comme une entreprise… à ceci près qu’elle est illégale.

Cette économie souterraine a démocratisé le cybercrime : plus besoin d’être un développeur expérimenté pour infecter des machines, voler des données ou générer de l’argent. Il suffit de payer les bons outils, et parfois d’un simple hébergement pour commencer.

Chaque acteur joue un rôle précis, ce qui permet une efficacité maximale :
celui qui développe ne s’occupe pas de la diffusion, celui qui distribue ne gère pas les paiements, etc.

Achat de kits, malwares, exploits prêts à l’emploi

Le développement et la diffusion de malwares ne sont plus réservés à quelques experts. Aujourd’hui, tout se vend sur des forums underground ou des places de marché spécialisées : virus “clé en main”, kits de phishing, exploit packs, crypters, services d’hébergement, etc.

Kits de malwares et exploit packs

Un exploit kit est un outil permettant d’infecter automatiquement les visiteurs d’un site web en exploitant les failles de leurs navigateurs ou plugins (PDF, Flash, Java, etc.). Ces kits incluent souvent :

• un panneau d’administration (avec statistiques de réussite)
• des modules mis à jour selon les failles disponibles
• la possibilité de rediriger selon le pays ou l’horaire

Ces kits s’achètent sur commande ou par abonnement, comme un logiciel classique. Leur but : maximiser le taux d’infection sur des sites compromis ou piégés.

Voici un exemple d’interface graphique du WebExploitKit BlackHole très actif autour de 2011.
Le type d’exploits, le taux de chargement réussi, les versions de Windows, pays et informations sur le navigateur internet sont fournis.

Voici un autre exemple, ce groupe propose la vente d’un outil « Multisploit tool » qui permet de créer des macros malveillantes visant Office.
Un autre groupe peut l’utiliser pour diffuser son malware ou un malware acheté.

Crypters, binders, packers : contourner les antivirus

Un crypter permet de rendre un malware indétectable temporairement par les antivirus.
Les créateurs de malwares s’en servent pour “emballer” leur code malveillant de manière à échapper aux signatures classiques.

Certains services proposent même des crypters en version premium, avec options de test automatique contre plusieurs antivirus (FUD – Fully Undetectable).

Ce marché permet à des utilisateurs sans grande compétence technique de diffuser des malwares qui passent sous les radars, au moins pendant quelques jours.

Phishing packs et fausses pages

Les “phishing packs” contiennent :

• une fausse page de connexion à une banque, un service de messagerie, ou un réseau social
• un script de collecte de données
• un tutoriel de mise en ligne

Le tout est prêt à être déployé, vendu à l’unité ou en bundle.

Groupes spécialisés et services à la carte

Contrairement à l’image du “pirate solitaire”, la majorité des cybercriminels opèrent en groupe, avec une répartition claire des rôles. Chaque groupe peut se spécialiser dans une partie de la chaîne : développement, distribution, infection, exploitation ou support technique.

Développement de malwares

Certains groupes créent des malwares sur mesure :

• trojans bancaires
• stealers (vols de mots de passe)
• ransomwares
• bots pour réseaux sociaux ou plateformes de jeux

Une fois développés, ces malwares sont revendus ou loués à d’autres groupes.

Distribution et infection

D’autres groupes sont spécialisés dans la diffusion des malwares. Ils :

• achètent ou infectent des sites web
• intègrent les malwares à des faux cracks ou torrents
• utilisent des réseaux publicitaires pour diffuser des pièges (malvertising)
• organisent des campagnes de spam ou de phishing

Ils sont souvent rémunérés selon le nombre d’installations réussies (PPI).

Services sur commande

De nombreux services sont proposés à la carte :

• Location de botnets
• Envoi massif d’emails piégés
• Création de faux sites de téléchargement
• Hébergement « bulletproof » (tolérant les activités malveillantes)
• Test de détection antivirus

Certains groupes proposent même un support client via Telegram, forums ou messageries chiffrées.

Hébergement, domaines, serveurs : le support invisible

Pour qu’un malware puisse être distribué, exécuté ou contrôlé à distance, il lui faut une infrastructure technique fiable : serveurs, hébergement web, noms de domaine, panneaux de contrôle… Autant d’éléments souvent négligés dans l’analyse, mais essentiels au fonctionnement du cybercrime.

Noms de domaine et hébergement “bulletproof”

Les cybercriminels utilisent des hébergeurs ou registrars peu regardants (souvent situés hors d’Europe ou dans des juridictions laxistes) pour :

• héberger leurs pages piégées (phishing, faux téléchargements…)
• déployer des serveurs de commande et contrôle (C&C)
• enregistrer des noms de domaine à rotation rapide

Ces hébergements “bulletproof” sont spécialement conçus pour résister aux demandes de fermeture, même en cas de signalement.
Certains forums underground proposent des offres d’hébergement spécifiquement “compatibles malwares”, avec support technique 24h/24.

Infrastructure redondante et dynamique

Les campagnes d’infection s’appuient souvent sur des systèmes dynamiques :

• changement automatique d’adresse IP ou de domaine (Fast flux)
• redirection selon l’horaire, la géolocalisation ou la langue
• infrastructure décentralisée (parfois hébergée chez des particuliers à leur insu)

Cela rend les campagnes plus difficiles à bloquer ou à démanteler.

Le jeu du chat et de la souris

Chaque jour, les éditeurs d’antivirus ou les CERT ferment ou blacklistent des centaines de domaines et serveurs malveillants.
Mais, de nouveaux apparaissent aussitôt : le coût de création est faible et l’efficacité d’une campagne dépend souvent de sa durée de vie (quelques heures ou jours suffisent à générer des gains).

Réseaux d’affiliation (Trafic Management Systems)

Pour maximiser la diffusion de leurs malwares, certains groupes cybercriminels mettent en place des réseaux d’affiliation, appelés “Trafic Management Systems” (TMS).
Leur principe est simple : tout utilisateur qui réussit à infecter d’autres machines est rémunéré, selon le volume généré ou le type de victime ciblée.

Le fonctionnement d’un TMS

• Un affilié s’inscrit sur une plateforme TMS.
• Il reçoit un lien personnalisé (ex. : http://malware-domain.com/in.cgi?user123)
• Chaque clic sur ce lien redirige l’utilisateur vers une page contenant un exploit ou un malware
• Si l’infection réussit, l’affilié touche une commission (PPI, CPA ou revenu au clic)

Ces systèmes permettent de sous-traiter la distribution des malwares à une armée d’intermédiaires :
webmasters, influenceurs, administrateurs de forums, hackers, ou même de simples utilisateurs motivés par le gain.

Optimisation dynamique

Les TMS disposent souvent de fonctionnalités avancées :

• Redirection vers différents malwares selon la géolocalisation, l’heure, le système d’exploitation
• Rotation automatique des domaines pour échapper aux blacklists
• Suivi des performances (tableau de bord, taux d’infection, revenus générés)

Cela permet des campagnes flexibles, résistantes aux blocages, et hautement rentables.
De plus, une interface avec des statistiques est souvent proposée.

Exemples d’intégration

• Sites pornographiques ou de streaming : insertion de liens TMS dans les pages ou les lecteurs vidéos (ex : faux codecs)
• Sites piratés : inclusion de redirections via iframe ou JavaScript
• Publicités : intégration dans les bannières ou via des régies peu scrupuleuses

L’implication indirecte de certains acteurs du Web

Régies publicitaires et programmes douteux

De nombreuses infections passent aujourd’hui par la publicité — ce qu’on appelle le malvertising.
Des cybercriminels paient des régies pour diffuser :

• des bannières menant à des faux codecs ou des faux antivirus
• des redirections vers des sites piégés exploitant des failles
• des offres trompeuses pour des logiciels douteux

Certaines régies ne contrôlent pas suffisamment les annonces qu’elles diffusent, permettant ainsi à des contenus malveillants d’être affichés sur des sites parfaitement légitimes.
Chaque clic génère des revenus, pour le pirate comme pour la régie. Tant que cela rapporte, la modération reste souvent laxiste.

Registrars, hébergeurs laxistes ou complices

Le nom de domaine et l’hébergement sont essentiels pour faire fonctionner un malware (commandes à distance, redirections, serveurs de collecte…).
Certains hébergeurs ou registrars (souvent situés hors juridiction européenne) se montrent particulièrement :

• lents à répondre aux signalements
• peu regardants sur le contenu hébergé
• permissifs avec les abus

Ils deviennent ainsi des piliers logistiques involontaires de nombreuses campagnes malveillantes.

Exemples historiques : EastDomains, TodayNIC, BIZCN, Intercage/McColo…

Sites de téléchargement ou portails logiciels

Certains grands sites de téléchargement “gratuits” ont pu, par le passé, héberger ou relayer des installateurs contenant des PUPs (logiciels indésirables) voire des adwares ou des malwares déguisés.
Même s’ils ne créent pas ces menaces, ils en assurent la distribution massive, via des “bundles” intégrés à leurs installeurs.

Groupes de cybercrminels : une organisation en rôles bien distincts

Les groupes de cybercriminels les plus actifs ne fonctionnent pas seuls. Ils opèrent comme de véritables entreprises illégales, avec des équipes spécialisées selon les compétences, réparties autour de 4 pôles principaux.

Les développeurs et packers

Ces membres conçoivent les malwares eux-mêmes : trojans bancaires, ransomwares, stealers…
Ils créent également des packers et crypters pour rendre les malwares indétectables par les antivirus.
Ils utilisent des services de test (multi-antivirus ou sandbox) pour s’assurer que le malware passe sous les radars le plus longtemps possible.

Comment les malwares se cachent des antivirus

Les diffuseurs (distributeurs)

Ils s’occupent de propager les malwares à grande échelle, via :

• des campagnes de phishing,
• des malvertising,
• des sites compromis,
• ou des réseaux d’affiliation (PPI/TMS).

Leur objectif : infecter le plus de machines possible, rapidement.

Les administrateurs réseau

Ils assurent la mise en place et la maintenance de l’infrastructure :

• serveurs C&C (commandes à distance),
• hébergements “bulletproof”,
• rotation de domaines et IP,
• protection contre les blocages et les interruptions.

Ils travaillent souvent dans l’ombre, mais sans eux, aucune opération ne peut tenir sur la durée.

Les mules financières

Ce sont des individus chargés de récupérer l’argent volé, souvent sans comprendre l’ampleur de l’opération.
Ils sont recrutés par des campagnes de phishing ou d’arnaques à l’emploi (“travailler depuis chez vous”, “assistant de transfert de fonds”, etc.).

Une fois recrutés, ils reçoivent de l’argent sur leur compte, qu’ils doivent ensuite retransférer vers d’autres comptes ou retirer en espèces — contre une commission.
Ce système permet de dissiper la traçabilité des flux financiers.

Conclusion : professionnalisation, argent, et banalisation

Les malwares ne sont plus des blagues de hackers. Ils sont devenus les outils d’une économie parallèle bien réelle, structurée autour d’un objectif unique : gagner de l’argent.

Botnets, ransomwares, scarewares, adwares, phishing, vol de données… tous ces mécanismes ont été industrialisés, automatisés et intégrés à un écosystème criminel sophistiqué. Aujourd’hui, n’importe qui peut acheter un kit de malware, louer un service de distribution, et monétiser les infections — sans compétence technique particulière.

Ce phénomène s’est banalisé, au point que des entreprises légitimes en bénéficient indirectement :
régies publicitaires, hébergeurs peu regardants, revendeurs de données, et parfois même des éditeurs de logiciels opportunistes.

Ce qu’il faut retenir :

• Le business du malware n’est pas une exception, c’est une industrie rentable.
• Les victimes sont souvent des utilisateurs ordinaires, ciblés pour leur naïveté, leur passivité ou leur absence de vigilance.
• La sécurité ne repose pas uniquement sur des logiciels, mais sur une bonne compréhension des risques numériques.

L’article Le business des malwares : comment les cybercriminels gagnent de l’argent avec les infections est apparu en premier sur malekal.com.

Le 23 juillet 2025, Microsoft a publié la mise à jour facultative KB5062663 (build 22631.5699 pour 23H2) via le canal Preview. Principalement axée sur la stabilité, elle corrige plusieurs dysfonctionnements liés à la barre des tâches, au système de fichiers ReFS et met en garde contre l’expiration imminente du certificat Secure Boot utilisé par de nombreux PC.

Selon Windows Latest, l’un des premiers correctifs porte sur les icônes disparues dans la barre des tâches, notamment celles liées aux fonctionnalités d’accessibilité : ces raccourcis invisibles après certaines réinstallations ou mises à jour sont désormais restaurés à leur emplacement habituels. Cette correction améliore l’ergonomie quotidienne et limite les manipulations manuelles.

Un volet important concerne le système de fichiers ReFS. KB5062663 résout un bug provoquant une consommation excessive de mémoire lors de sauvegardes de gros volumes, parfois jusqu’au blocage complet du système, améliorant ainsi la fiabilité des opérations de sauvegarde. La recherche de fichiers PDF dans des dossiers partagés est également corrigée, y compris les erreurs erronées « No More Files » ou des blocages lors de l’impression virtuelle en PDF.

Parmi les correctifs ciblés, la mise à jour rétablit la découverte correcte des imprimantes IPP, en affichant désormais le nom complet de chaque appareil. Pour les utilisateurs professionnels, le support des interactions réseau est renforcé en résorbant les lenteurs rencontrées sur les périphériques cellulaires après une sortie d’hibernation.

Au-delà de ces optimisations, Microsoft a profité de cette release pour rappeler un point crucial : les certificats Secure Boot présents sur la majorité des appareils Windows expireront à partir de juin 2026. Bien que cette mise à jour ne remplace pas directement ces certificats, elle insiste sur la nécessité de maintenir le système à jour et de vérifier la gestion de Secure Boot, afin d’éviter des interruptions de démarrage ou des failles potentielles au niveau du firmware.

Selon la documentation Microsoft, ces certificats, datant pour la plupart de 2011, doivent être remplacés par des versions 2023. Cette transition est censée se faire automatiquement via Windows Update, à condition que le système active la collecte de données diagnostiques et que secure boot reste activé. Toutefois, l’absence de messages clairs dans l’interface utilisateur rend la démarche moins transparente, surtout pour les utilisateurs non professionnels.

Cette mise à jour ne rajoute pas de nouvelles fonctionnalités : elle corrige des bugs connus, améliore la fiabilité et prévient un enjeu stratégique pour la sécurité à long terme. KB5062663 reste en téléchargement manuel via Windows Update (section « Mises à jour facultatives ») ou via le Catalogue Microsoft Update, en version 64-bit ou ARM64.

En résumé

La build 22631.5699 se concentre sur la résilience système : la restauration de la barre des tâches, la réparation du ReFS et une meilleure gestion des périphériques réseau et d’impression. Elle rappelle surtout l’imminence de l’expiration des certificats Secure Boot en juin 2026, un sujet qu’il ne faut pas négliger pour garantir un démarrage sécurisé et un système à jour. Les utilisateurs concernés devront surveiller l’arrivée des certificats 2023 et s’assurer que Secure Boot reste actif.

L’article KB5062663 : corrige la barre des tâches, ReFS (Windows 11version 23H2) est apparu en premier sur malekal.com.

L’écran noir au démarrage est l’un des problèmes les plus frustrants sous Windows 11 ou Windows 10. Votre PC semble s’allumer, mais rien ne s’affiche ? Vous êtes bloqué sur un écran noir sans message, ou avec une mention comme “No Input” ou “Cable Not Connected” ? Ou encore, Windows démarre, mais au lieu d’afficher le bureau, vous vous retrouvez face à un écran noir, parfois avec seulement le curseur visible ?

Ce type de dysfonctionnement peut avoir plusieurs causes : un souci matériel (câble mal branché, carte graphique défectueuse, RAM défaillante), un problème logiciel (pilote graphique corrompu, bug dans le système), voire un conflit avec une mise à jour de Windows.

Ce guide complet vous aide à diagnostiquer et corriger tous les cas possibles d’écran noir sur Windows 11 ou 10. Il est structuré en deux grandes parties :

• L’écran noir dès le démarrage du PC : aucun logo, aucun son de démarrage, écran totalement noir ou message “No Input” / “Cable Not Connected”. Cela indique généralement un problème matériel ou d’affichage avant le chargement de Windows.
• L’écran noir au démarrage de Windows : le PC s’allume, vous voyez peut-être le logo Windows ou le BIOS, mais au moment de charger le bureau, plus rien. Cela relève le plus souvent d’un problème logiciel ou de pilote graphique.

Suivez les étapes dans l’ordre pour identifier la cause exacte et appliquer la solution la plus adaptée à votre situation.

Écran noir avant le démarrage de Windows (problèmes matériels)

Les sources probables d’un écran noir au démarrage du PC :

• L’écran ne fonctionne plus et ne détecte plus la carte vidéo
• Le câble PC / Écran est abîmé
• La carte graphique est endommagée. Cela peut simplement venir de la sortie vidéo ou la carte graphique est totalement morte
• Vous venez de changer de carte graphique pour une plus puissante et votre bloc d’alimentation est sous-dimensionnée
• La carte mère ou le PC en général comporte un problème matériel suite à une surtension, choc, etc.

Nouveau matériel installé (carte graphique, RAM, etc.)

L’installation récente d’un composant peut provoquer un écran noir si celui-ci est mal connecté, incompatible, ou trop gourmand en énergie.

• Carte graphique : assurez-vous qu’elle est correctement enfichée dans le port PCIe et que les connecteurs d’alimentation sont bien branchés. Les cartes graphiques modernes (RTX, Radeon RX) requièrent souvent une alimentation de 550 W à 750 W au minimum. Un bloc insuffisant ou vieillissant peut empêcher le système de démarrer.
• RAM : une barrette mal insérée ou défectueuse peut bloquer le démarrage. Essayez de retirer les barrettes, de les tester une à une ou de revenir à l’ancienne configuration si le problème est apparu juste après l’ajout.
• Autres composants : un SSD mal branché, un boîtier USB défectueux, ou un périphérique conflictuel peuvent aussi provoquer un blocage avant le POST (Power On Self Test).

Voici les points importants à prendre en compte :

• Vérifier la compatibilité du matériel : lorsque vous installez un nouveau composant (carte graphique, RAM, SSD, etc.), il est essentiel de s’assurer qu’il est pleinement compatible avec votre configuration actuelle. Un matériel incompatible peut entraîner un écran noir dès l’allumage du PC ou provoquer des plantages pendant le POST.
• S’assurer que l’alimentation est suffisante : une alimentation insuffisante est une cause fréquente d’écran noir au démarrage, notamment après l’installation d’une nouvelle carte graphique ou d’un processeur plus performant. Si votre alimentation ne fournit pas assez de puissance, le PC peut rester bloqué sans affichage, redémarrer en boucle ou ne pas passer le POST.
• Bien réinsérer les composants (RAM, GPU, câbles d’alimentation PCIe) : une mauvaise connexion physique est l’une des causes les plus simples, mais aussi les plus fréquentes d’écran noir. Lors d’un montage ou d’une mise à jour matériels, il suffit d’un composant mal enfoncé ou d’un câble mal branché pour empêcher le démarrage du PC ou bloquer l’affichage.

En cas de doute, revenez à la configuration matérielle d’origine et testez étape par étape.

Vérifier l’alimentation (secteur, batterie, hard reset)

Vous avez probablement déjà vérifié, mais encore une fois, vérifiez l’alimentation de votre écran et ordinateur.
Sur l’écran, un voyant ou LED bleu doit s’allumer pour indiquer que ce dernier est bien sous tension.

Si tous les voyants semblent corrects, mais que rien ne s’affiche, il se peut que l’ordinateur soit en veille et que ce dernier ne se réveille pas.
Dans le cas, tentez un hard/Power reset comme expliqué dans le lien suivant :

Enfin, si vous avez plusieurs écrans, n’hésitez pas à tester votre ordinateur dessus.

Vérifier les câbles et sorties vidéo

Une autre vérification simple est de s’assurer que les câbles entre l’ordinateur et l’écran soient bien branchés.
Vous pouvez avoir deux cartes vidéos, une carte vidéo intégrée à la carte mère et une carte graphique dédiée.
Windows est censé désactiver la carte vidéo intégrée à la carte mère, mais parfois cela n’est pas le cas.
N’hésitez pas à tester votre écran sur les deux cartes vidéos ou avec un autre câble notamment entre a sortie VGA, DVI et HDMI.

Vérifiez aussi la sortie du moniteur, certains ont des sorties VGA, HDMI, DVI. Si vous avez la possibilité de toutes les tester, n’hésitez pas.
Des boutons sous l’écran permettent de passer d’une sortie à l’autre qui s’affichent alors sur l’écran.
Vérifiez bien que vous êtes sur la bonne sortie écran.

Pour les PC portables, la nappe écran s’endommage souvent surtout après un choc ou une chute.
Cependant, dans ces cas-là, il faudra la remplacer.

Tester les composants internes (GPU, RAM…)

La dernière chose à vérifier est le matériel de l’ordinateur.

• Dans un premier temps, débranchez tous les périphériques (clavier, souris, imprimantes, scanner, etc). En effet, parfois un problème sur un autre périphérique peut provoquer un écran noir.
• N’hésitez pas à ouvrir l’unité centrale pour vérifier l’alimentation de la carte mère
• Testez le démarrage avec les composants hardware minimum. Le but ici est de supprimer autant de matériel que possible tout en conservant la capacité de votre PC à s’allumer. À savoir :
  • Processeur
  • Carte graphique
  • Une barrette de mémoire

Pour les utilisateurs à l’aise avec le matériel, vérifiez que le ventilateur de la carte vidéo tourne et que les barrettes de mémoire sont bien connectées à la carte mère.
Tentez aussi de démarrer l’ordinateur en débranchant le disque dur.

La carte graphique est souvent le composant matériel source d’écran noir à l’allumage du PC.
En effet, la carte vidéo est en charge de l’affichage, si celle-ci est endommagée alors, vous n’aurez aucune image à l’écran.
Le problème peut se situer sur la sortie, il arrive, par exemple, que la sortie VGA ne fonctionne plus, mais le HDMI oui.
Si vous avez la possibilité de tester avec une seconde carte graphique, faites le test.

Tester ou remplacer le bloc d’alimentation

Testez votre alimentation avec un multimètre ou un Power Supply Tester. Ce n’est pas parce que les ventilateurs et les lumières de votre ordinateur fonctionnent que le bloc d’alimentation fonctionne correctement.
Le bloc d’alimentation a tendance à causer plus de problèmes que tout autre matériel et est souvent la cause du fonctionnement sélectif ou intermittent des composants d’un ordinateur.

Remplacez votre bloc d’alimentation immédiatement s’il échoue à l’un des tests que vous effectuez.

Vérifier la carte mère ou le BIOS

Des problèmes sur la carte mère peuvent provoquer des démarrages impossibles, des périphériques non détectés, ou des plantages aléatoires.
Voici les opérations de vérification qui peuvent être réalisées :

• Vérifiez les condensateurs : Des condensateurs gonflés ou endommagés peuvent indiquer que la carte mère est défectueuse.
• Retirez et réinsérez les composants (RAM, carte graphique, etc.) pour vous assurer qu’ils sont bien connectés.

Vous pouvez aussi utiliser un testeur de carte mère.
C’est un appareil utilisé pour diagnostiquer les problèmes matériels d’une carte mère d’ordinateur. Il permet de vérifier si la carte mère fonctionne correctement ou s’il y a des défaillances, comme des composants défectueux, des circuits endommagés ou des problèmes de connexion.

Consulter un professionnel si nécessaire

Si votre ordinateur ne montre pas les signes de vie ci-dessus, il y a probablement un problème avec votre ordinateur, pas votre moniteur.
Les problèmes d’ordinateur portable sont difficiles à diagnostiquer. Vous devrez donc probablement envoyer votre ordinateur en réparation.

Les problèmes de bureau peuvent être diagnostiqués à l’aide d’un vérificateur de code POST (Power-On Self-Test) que vous pouvez acheter.
Toutefois, son utilisation requiert quelques connaissances.

Écran noir au démarrage de Windows (causes logicielles)

Sélectionner la bonne sortie vidéo

Un écran noir total, l’écran indique ne plus recevoir de flux et un message No Input ou Cable Not Connected, plusieurs choses sont à tenter.
Si plusieurs cartes graphiques sont présentes, tentez de passer sur la carte vidéo intégrée à la carte mère, comme expliqué dans le paragraphe précédent.

Une mauvaise résolution non supportée par l’écran peut provoquer un écran noir, dans ce cas, deux solutions sont possibles :

• brancher l’ordinateur à un écran plus récent qui supporte la résolution écran
• démarrer Windows en mode sans échec afin de changer la résolution écran : comment changer la résolution écran sur Windows.

Une autre source peut être une mauvaise configuration de la sortie écran de Windows, après l’utilisation de deux écrans ou d’un rétroprojecteur.
Sur les portables, il existe des touches raccourcies pour changer la sortie écran. En général, il s’agit de la combinaison de touches FN + F7.

Forcer le chargement du bureau avec le gestionnaire de tâches

Sur l’écran noir, vous devez vérifier si le gestionnaire de tâches est accessible.
Ce dernier peut vous permettre de démarrer de nouvelles applications, donnant ainsi partiellement la main sur l’ordinateur.

• Appuyez sur les touches CTRL+ALT+Suppr, si un menu s’ouvre choisissez gestionnaire de tâches.
• Depuis l’onglet processus, si vous voyez un processus runonce ou runonce32, tuez le avec le bouton fin de tâches.
• Cela peut permettre au bureau de Windows de se charger.

• Sinon vous pouvez tenter de lancer de nouvelles commandes. Depuis le menu Fichier se trouve l’option Exécuter une nouvelle tâche qui vous permet de lancer des commandes.
• Tentez de lancer successivement les commandes suivantes pour vérifier si le bureau s’ouvre : userinit.exe, winlogon.exe ou explorer.exe

• Enfin, pour redémarrer Windows, saisissez la commande shutdown suivante :

shutdown -r -t 00

Réparer la clé de registre « Shell »

Parfois, c’est plus complexe, car un logiciel malveillant a modifié des clés du registre Windows.
Une mauvaise configuration peut alors empêcher le démarrage de Windows, les clés à surveiller :

• la clef Userinit
• la clef Shell qui doit contenu le shell Windows à savoir explorer.exe

Vérifiez les clés suivantes à l’aide de l’éditeur du registre de Windows.
explorer.exe doit être présents dans les deux clés Shell suivantes :

• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Pour cela :

• Sur votre clavier, appuyez sur la touche + R
• Saisissez regedit dans la fenêtre exécuter et cliquez sur OK
• Déroulez à gauche en cliquant sur les + : HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Winlogon

• A droite, si une clé « Shell » est présente, supprimez la
• Enfin recommencez avec l’arborescence suivante HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, à nouveau si une clé Shell est présente supprimez la.
• Fermez l’éditeur du registre Windows pour revenir sur la fenêtre noire
• Redémarrez l’ordinateur, vous pouvez utiliser la commande shutdown /r (y a un espace) pour redémarrer, au besoin.

Voici un exemple de problème d’ouverture de session Windows en vidéo.
Vous pouvez tenter de lancer l’explorer.exe à la main.

Effectuer un Power Reset (réinitialisation alimentation)

Pour résoudre les écrans noirs, vous pouvez aussi tenter une réinitialisation électrique ou Power Reset.
Cela consiste en une coupure électrique pendant 10 minutes.
Cela retire toute alimentation de la carte mère et peut remettre l’ordinateur en marche si ce dernier a un comportement anormal.

Une réinitialisation de l’alimentation ou un redémarrage matériel ou encore en anglais Power Reset ou Hard Reset efface toutes les informations de la mémoire de l’ordinateur sans effacer les données personnelles.
Cela peut résoudre des corruptions de sources d’alimentation qui engendre des comportements aléatoires de votre PC. Voici la procédure générique à réaliser.

Pour les PC portables :

1. Éteignez votre ordinateur
2. Débranchez le cordon d’alimentation, s’il s’agit d’un portable, retirez la batterie (voir notice si nécessaire).
3. En ayant le cordon d’alimentation débranché ou la batterie retirée, appuyez sur la touche d’alimentation pendant quelques secondes, comme si vous vouliez allumer ce dernier. Cela va vider toute l’électricité contenue dans l’ordinateur.
4. Re-branchez le tout ou remettez la batterie du portable.

Pour un PC de bureau :

• Mettez l’alimentation sur « OFF » (Bouton On/off de l’alimentation) et retirez le cordon d’alimentation
• Maintenez le bouton d’alimentation qui sert à allumer l’ordinateur, et qui se trouve en façade du boîtier. Enfoncez pendant 20 secondes environ afin de vider les condensateurs
• Remettez le câble d’alimentation puis mettez l’alimentation sur « ON »
• Appuyez sur le bouton d’alimentation pour allumer l’ordinateur normalement

Plus de détails avec tous les conseils et autres méthodes sur cette page :

Démarrer en mode sans échec

Dans un premier temps, tentez de démarrer Windows en mode sans échec.
Cela est possible depuis la page où vous devez saisir votre mot de passe.

• Laissez appuyer sur la touche MAJ du clavier (majuscule) :

• Puis cliquez sur redémarrer tout en maintenant la touche MAJ du clavier.

• L’ordinateur devrait alors démarrer sur les options de récupération système de Windows 11/10.
• Depuis les options de récupération de Windows, cliquez sur Dépannage.

• puis Options avancées afin d’ouvrir ces dernières.

• Dans les options avancées de récupération, cliquez sur le bouton Paramètres à droite.

• Et enfin redémarrer l’ordinateur afin de redémarrer sur les paramètres de démarrage.

• À partir de là, un menu avec des choix va s’ouvrir au démarrage de l’ordinateur.
• Sélectionnez 5 pour redémarrer en mode sans échec avec la prise en charge du réseau.

Si le problème d’écran noir ne se pose pas en mode sans échec, vous pouvez alors tenter de le résoudre.
Voici ce que vous pouvez tester afin de résoudre les problèmes d’écran noir :

• Désinstaller l’antivirus
• Désinstaller les pilotes de la carte graphique
• Désactiver le démarrage rapide
• Créer un nouvel utilisateur local et non avec un compte Microsoft

Désinstaller l’antivirus

Après une mise à jour de Windows, des conflits avec l’antivirus peuvent générer des écrans noirs.

• Tentez alors de désinstaller votre antivirus.
• Laissez Windows Defender.
• Relancez le PC en mode normal et vérifiez si les écrans noirs persistent.

Désinstaller les pilotes de la carte graphique

Si Windows démarre correctement depuis le mode sans échec, vous pouvez tenter de désinstaller les pilotes de la carte graphique.
Pour cela, faites un clic droit sur le menu Démarrer puis gestionnaire de périphériques.

Dans le gestionnaire de périphériques se trouve en liste tous les périphériques de l’ordinateur installés dans Windows.
Déroulez carte graphique puis sur votre carte graphique, faites un clic droit puis désinstaller l’appareil.
Acceptez la désinstallation puis redémarrez Windows en mode normal.

Si Windows démarre correctement et que les problèmes d’écran noir sont résolus.
Vous pouvez effectuer une installation propre des pilotes de la carte graphique, pour cela, reportez-vous à l’article : Comment réinstaller proprement les pilotes de la carte graphique.

Désactiver le démarrage rapide

Une autre solution consiste à désactiver le démarrage rapide de Windows .
Ce dernier peut poser des problèmes, surtout en retour de mise en veille.
Pour ce faire, reportez-vous au premier paragraphe de la page suivante : 

Créer un nouvel utilisateur local

Dans le cas d’un problème de synchronisation de votre compte Microsoft avec les serveurs Microsoft, vous pouvez tenter de créer un nouvel utilisateur local.
Le but étant de s’identifier dessus en mode normal afin de vérifier si l’écran noir y est aussi présent.
Pour créer un nouvel compte local administrateur, reportez-vous à notre article : 

Au cas où le démarrage en mode sans échec est impossible, voici les commandes à utiliser pour créer un nouvel utilisateur administrateur.

1. Pour créer un utilisateur test, saisissez la commande suivante : net user test /add
2. Afin de passer l’utilisateur test en administrateur en ajoutant ce dernier dans le groupe administrateur, vous devez passer la commande suivante : net localgroup administrateurs test /add

Restaurer le pilote graphique précédent

Si les écrans noirs font suite à une mise à jour de pilotes de la carte graphique, alors, vous pouvez revenir au pilote précédent.

• Ouvrez le gestionnaire de périphériques : clic droit sur le menu Démarrer puis gestionnaire de périphériques

• Déroulez la carte graphique et double-cliquez dessus l’onglet pilote
• Cliquez sur Version précédente afin de revenir à la version précédente des pilotes de votre carte graphique.

Utiliser LazeSoft Recovery Suite

LazeSoft Recovery Suite est un ensemble d’outil de récupération, correction et réparation de Windows.
Avec ce dernier on peut restaurer le registre Windows.

Voici comment faire :

• Créer une clé USB LazeSoft Recovery Suite en suivant ce tutoriel : Comment créer une clé USB de dépannage Lazesoft Recovery Suite
• Puis démarrer votre PC sur la clé USB
• Si tout va bien, vous arrivez sur ce menu Windows Boot Manager
• Faites simplement entrée sur le choix Lazesoft Live CD

• Vous arrivez alors sur le menu suivant où il fait cliquer sur Windows Recovery sur le fond rouge

• Puis on sélectionnez l’installation de Windows dans la liste. En général, il n’y en a qu’une sauf cas de Dual-Boot Windows
• Ensuite cliquez sur OK

• Puis sur Lazesoft Windows Recovery, cliquez sur l’onglet LoadingCrash

• Ensuite à gauche, cliquez sur Registery Recover
• Puis Registery Recover pour restaurer le registre Windows
• Ensuite, redémarrez le PC normalement

Restaurer Windows à une date antérieure

Pour tenter une restauration du système :

• Depuis le mode sans échec, faites un clic droit sur le menu Démarrer puis Exécuter.
• Saisissez rstrui.exe puis cliquez sur OK.
• Laissez-vous guider pour choisir un point de restauration système.

Réinitialiser ou réinstaller Windows

Si Windows ne fonctionne plus correctement malgré les diagnostics, le nettoyage, ou la réparation via des outils système, la réinitialisation ou la réinstallation peut s’avérer nécessaire. Ces opérations permettent de repartir sur une base saine, en supprimant les problèmes causés par des fichiers corrompus, des pilotes défectueux ou des modifications système hasardeuses.

La réinitialisation de Windows permet de restaurer le système à son état d’origine tout en gardant (ou non) ses fichiers personnels. C’est souvent la solution à privilégier en premier, car elle est rapide, automatisée, et accessible depuis les paramètres ou les options de démarrage avancées.

Toutes ces options sont aussi accessibles depuis les options de récupération système.
Réinitialiser ce PC est accessible avant les options avancées.

La restauration du système, elle, est disponible depuis les options avancées de récupération système de Windows.

La réinstallation propre de Windows, quant à elle, consiste à effacer complètement le disque système et à réinstaller Windows à partir d’un support d’installation (clé USB, ISO). Elle est plus radicale mais utile en cas de corruption grave ou de doute sur la stabilité du système après réinitialisation.

• Réinstaller Windows 11 proprement (clean install)
• Réinstaller Windows 10 proprement (clean install)

L’article Écran noir au démarrage de Windows : toutes les solutions (Windows 11, 10, PC bloqué) est apparu en premier sur malekal.com.

Le 23 juillet 2025, Microsoft a déployé la version facultative KB5062660 (build 26100.4770) pour Windows 11 24H2, accompagnant le correctif KB5062553 sorti début juillet. Cette mise à jour combine à la fois des améliorations fonctionnelles et des nouveautés centrées autour de l’intelligence artificielle.

Un regain de stabilité et de fiabilité

Parmi les correctifs apportés, la plus visible concerne la fiabilité des redémarrages système. Après avoir longtemps utilisé l’ancienne Blue Screen of Death (BSOD), la version 24H2 adopte désormais le Black Screen of Death, une évolution plus discrète et centrée sur la lisibilité, qui affiche clairement le code d’arrêt et le pilote en échec. En parallèle, la fonction « Récupération machine rapide« , issue de l’initiative Windows Resiliency Initiative, permet désormais de restaurer automatiquement une machine en panne via l’environnement de récupération WinRE.

Microsoft indique qu’un bug dans la mise à jour Windows 11 de mai 2025 a entraîné des ralentissements et des problèmes de stabilité du système. Bien que ce problème ait été observé « rarement » sur certains PC, il a tout de même causé des ravages là où il s’est produit.

Voici la liste complète de toutes les nouvelles fonctionnalités, améliorations et corrections apportées à Windows 11 KB5062660 :

• La barre d’ancrage, qui vous permet d’ancrer facilement des applications, affiche désormais un message intégré afin que vous compreniez ce qui se passe.
• Dans les paramètres de recherche Windows, vous pouvez désormais tout trouver. Auparavant, les options étaient proposées via les pages « Autorisations de recherche » et « Recherche dans Windows ».
• Microsoft améliore la navigation à l’aide du contrôleur pour la disposition du gamepad dans le clavier tactile Windows, car il prépare le système d’exploitation pour une expérience sur appareil portable.
• Un bug a été corrigé qui empêchait l’application Paramètres de répondre lorsque vous fermiez le couvercle de l’ordinateur portable.
• Un bug a été corrigé qui empêchait le bouton Plus d’options (…) de fonctionner correctement dans l’Explorateur de fichiers.
• Un autre bug a été corrigé qui pouvait entraîner des problèmes de performances dans l’Explorateur de fichiers lors de la synchronisation de fichiers à partir de SharePoint.

Réglages, IA et Europe : une dimension intelligente

KB5062660 active de nouvelles fonctionnalités pour les PC Copilot+ (dotés de NPU puissants). L’agentic search enrichit les réglages système avec des suggestions contextuelles plus fines, tandis que Recall AI, jusque-là réservé aux bêta-testeurs, s’installe pour les utilisateurs en Europe. Cette fonction permet de retrouver rapidement des éléments précédemment consultés – documents, images ou sites web – grâce à une mémoire contextuelle assistée.

Plus d’options et d’interactions

Le menu Click To Do gagne en polyvalence sur les machines supportant l’IA. Accessible via clic droit ou la touche Copilot, il propose désormais des actions comme « Ask Microsoft 365 Copilot », permettant d’envoyer directement du texte ou des images à l’assistant sans passer par le presse-papiers. En parallèle, l’Explorateur de fichiers accélère l’extraction d’archives volumineuses, notamment en .7z ou .rar, ce qui améliore l’expérience globale.

Comment installer ces nouveautés ?

KB5062660 est une mise à jour optionnelle. Naturellement, elle n’est pas téléchargée automatiquement ; il faut activer le paramètre « Get latest updates… » dans Windows Update ou télécharger manuellement le package via le catalogue Microsoft Update (.msu). Il est recommandé de l’installer manuellement si vous voulez tester ces innovations avant le Patch Tuesday d’août, où ces fonctionnalités deviendront plus largement disponibles.

En synthèse

Cette combinaison de mises à jour fait de Windows 11 24H2 un système à la fois plus robuste et plus intelligent. Le passage à un nouveau BSOD moins alarmant, l’automatisation des réparations système et l’intégration croissante des fonctionnalités IA préfigurent une nouvelle génération d’interactions. Si vous êtes utilisateur régulier et curieux des capacités du PC Copilot+, il peut être intéressant d’installer KB5062660 dès maintenant. Pour les autres, une attente prudente jusqu’à la version officielle d’août est tout à fait raisonnable.

L’article KB5062660 : Les nouveautés, corrections et fonctionnalités de Windows 11 24H2 est apparu en premier sur malekal.com.

Votre ordinateur est lent, les ventilateurs tournent à plein régime, et tout semble figé ? Si votre processeur (CPU) est utilisé à 100 % en permanence, cela peut entraîner de graves ralentissements du système, voire des blocages complets.

Ce problème peut être causé par :

• un processus système mal géré (comme svchost.exe, TiWorker.exe, MsMpEng.exe),
• un logiciel tiers qui consomme trop de ressources,
• ou une configuration défaillante (pilotes obsolètes, services inutiles, corruption système…).

Dans ce guide, vous apprendrez :

• à reconnaître les symptômes d’un CPU saturé,
• à identifier les processus responsables,
• et à appliquer des solutions efficaces pour retrouver un système fluide, sans formater.

Toutes les méthodes proposées sont compatibles avec Windows 11 et Windows 10, et vont du simple nettoyage jusqu’à la réinitialisation complète du système en cas de blocage persistant.

CPU à 100 % : comment reconnaître les symptômes et comprendre les causes

Lorsque le processeur (CPU) de votre ordinateur fonctionne en permanence à 100 %, cela impacte directement les performances globales du système. Le CPU est le cœur du PC : s’il est débordé, chaque action devient lente, même les plus simples comme ouvrir un dossier, taper du texte ou charger une page web.

Voici les signes les plus fréquents d’un processeur saturé :

• Le PC devient lent, voire inutilisable, sans cause visible.
• Les ventilateurs tournent en continu, signe que le CPU chauffe.
• Le pointeur de souris devient saccadé ou se fige temporairement.
• Le Gestionnaire des tâches (Ctrl + Maj + Échap) affiche une utilisation CPU à 100 %, même sans programme ouvert.
• Le système met du temps à réagir aux clics ou aux raccourcis clavier.
• Des micro-freezes, des ralentissements ou des décalages apparaissent en jeu ou lors de la lecture vidéo.

Un CPU à 100 % peut être causé par :

• un processus système mal géré (ex. : svchost.exe, TiWorker.exe, MsMpEng.exe, etc.),
• un logiciel tiers mal optimisé ou tournant en arrière-plan,
• un pilote défectueux,
• ou un logiciel malveillant.

Le premier réflexe est donc de repérer les processus qui utilisent le plus de CPU, puis d’en identifier la cause : service système mal optimisé, pilote défaillant, logiciel en boucle, malware, etc.
C’est ce que nous allons voir dans les sections suivantes.

Processus système fréquents responsables d’un CPU élevé

Voici les processus Windows les plus fréquemment responsables d’une charge CPU anormale, avec leur rôle, symptômes, et solutions associées :

Processus	Nom système	Rôle principal	Symptômes	Solutions recommandées
svchost.exe	Service Host	Lance plusieurs services système (Windows Update, Audio, Réseau…)	CPU élevé sans raison claire, souvent lié à un sous-service	Identifier le service via le gestionnaire des tâches, isoler et désactiver si nécessaire
TiWorker.exe	Windows Modules Installer Worker	Gère l’installation des mises à jour système	CPU et disque saturés après redémarrage	Laisser travailler, exécuter sfc /scannow + DISM, réinitialiser Windows Update
MsMpEng.exe	Antimalware Service Executable (Windows Defender)	Analyse en temps réel des fichiers et processus	Pics CPU lors de l’analyse, ralentissements pendant usage	Désactiver l’analyse planifiée, exclure certains dossiers, ou passer à un autre antivirus
wmiprvse.exe	WMI Provider Host	Fournit des infos système à d’autres programmes	CPU élevé permanent, sans processus visible en cause	Identifier le client via l’Observateur d’événements (WMI Activity), désactiver le service concerné
CompatTelRunner.exe	Microsoft Compatibility Telemetry	Collecte des données système pour Microsoft	CPU élevé après mise à jour, activité en arrière-plan	Désactiver la tâche dans le planificateur ou la télémétrie via stratégie de groupe
RuntimeBroker.exe	Runtime Broker	Gère les autorisations des apps UWP	Pics CPU à l’ouverture du menu démarrer ou d’apps UWP	Désactiver les apps en arrière-plan, limiter les apps UWP inutiles
StartMenuExperienceHost.exe	—	Affiche et gère le menu Démarrer	CPU élevé ou gel de l’interface	Redémarrer l’Explorateur, corriger le profil utilisateur si corrompu
SearchIndexer.exe / SearchHost.exe	Windows Search	Indexe les fichiers pour la recherche rapide	CPU ou disque élevé sur gros volumes de données	Réduire ou désactiver l’indexation via les paramètres de recherche

• Comment visualiser l’utilisation CPU sur Windows 10
• Index et solutions aux problèmes de ressources à 100 % (disque, mémoire, CPU, GPU) sous Windows

Comment alléger la charge CPU

Supprimer les applications au démarrage

Les applications de démarrage sont des programmes qui commencent automatiquement à s’exécuter en arrière-plan lorsque vous vous connectez à votre PC. Ces applications, bien que vous ne puissiez pas les utiliser activement, sont une part importante de l’utilisation du disque et ralentissez votre PC. Alors, gardez un contrôle sur les programmes que vous autorisez à démarrer lorsque vous activez votre ordinateur et désactivez immédiatement les inutiles.
Pour cela, suivez ce guide :

Vérifier la température du CPU

Vérifiez que votre PC et la carte graphique ne surchauffe pas en vérifiant les températures de votre PC.
En cas de surchauffe, les performances sont moindres et vous pouvez rencontrer des bugs ou plantages.

Voici comment vérifier les températures de la carte graphique :

• Télécharger Speccy depuis ce lien :

• Lancez ce dernier et vérifier dans le résumé : les températures Processeur et graphiques.
• Elles ne doivent pas dépasser 65 degrés lorsque vous utilisez votre PC sinon des lenteurs se font sentir.

Si les températures sont trop élevées :

• Nettoyer les ventilateurs pour retirer les poussières
• Si après cela, les températures sont encore trop importantes, il faut remettre de la pâte thermique. Je vous conseille alors de voir avec un professionnel.

Réparer les fichiers système

Pour réparer les fichiers systèmes de Windows 10 ou Windows 11, vous devez utiliser les utilitaires SFC (vérificateur de fichiers systèmes) et DISM.
Ces deux outils s’utilisent en invite de commandes.

• Ouvrez une invite de commandes :
  • Comment ouvrir une invite de commandes sur Windows 10
  • Comment ouvrir Windows Terminal sur Windows 11
• Ensuite, utilisez DISM pour réparer les images de Windows 10/11. Pour cela, passez successivement les commandes suivantes :

DISM /Online /Cleanup-Image /CheckHealth
DISM /Online /Cleanup-Image /ScanHealth
DISM /Online /Cleanup-Image /RestoreHealth

• Puis, enchaînez avec une vérification et réparation des fichiers corrompus et manquants avec l’outil SFC. Pour cela, saisissez :

sfc /scannow

• Laissez le vérificateur de fichiers systèmes analyser Windows 10 ou Windows 11.
• Enfin, si des fichiers systèmes sont corrompus, SFC tente de les réparer automatiquement.

Plus de détails dans l’article suivant :

Mettre à jour les pilotes

Via le gestionnaire de périphériques

Via Windows Update depuis le gestionnaire de périphériques de Windows 10/11 :

• Faites un clic droit sur le menu Démarrer ou utilisez le raccourci clavier + X
• Puis gestionnaire de périphériques. Plus d’informations : Comment ouvrir le gestionnaire de périphériques sur Windows
• Déroulez et cliquez sur le matériel et périphérique que vous souhaitez mettre à jour
• Faites un clic droit dessus puis Mettre à jour le Pilote
• Ensuite, choisissez rechercher un pilote sur mon ordinateur
• Windows Update vérifie alors si de nouveaux pilotes sont disponibles et les installe automatiquement dans le système

Automatiquement avec DriversCloud ou Snappy Driver Installer

• Avec un programme automatisé comme DriversCloud, Snappy Driver Installer Origin ou touslesdrivers.com
• Dans le cas d’un problème USB sur un chipset Intel : Mise à jour de pilotes Intel (carte graphique, Wi-Fi, Ethernet, etc)

La page suivante récapitule toutes ces méthodes pas à pas pour actualiser les pilotes de périphériques :

Réduire les effets visuels / animations

Les animations de fenêtres, fondus, ombrages et autres effets visuels intégrés à Windows peuvent solliciter légèrement le processeur, la mémoire et la puce graphique. Sur des machines récentes, cela reste imperceptible. Mais sur un PC modeste ou en cas de CPU déjà saturé, les désactiver peut améliorer la réactivité du système.

• Sur votre clavier, utilisez le raccourci clavier + R
• Tapez sysdm.cpl puis Entrée.
• Allez dans l’onglet Paramètres système avancés.
• Dans la section Performances, cliquez sur Paramètres
• Puis, dans l’onglet Effets visuels, sélectionne :
  • soit « Ajuster afin d’obtenir les meilleures performances » (tout désactiver),
  • soit « Personnalisé » pour désactiver uniquement les effets suivants :
    • Animer les fenêtres lors de leur réduction et agrandissement
    • Animations dans la barre des tâches
    • Estomper les éléments des menus
    • Afficher les ombres sous les fenêtres
• Cliquez sur Appliquer, puis sur OK.

Réinitialiser ou réinstaller Windows si le CPU reste saturé

Si après avoir identifié les processus, mis à jour les pilotes, réduit les programmes au démarrage, désactivé les services inutiles et réparé les fichiers système… votre CPU reste bloqué à 100 %, il est possible que votre installation de Windows soit trop endommagée, ou qu’un conflit logiciel persistant empêche le bon fonctionnement du système.

Dans ce cas, deux options s’offrent à vous : la réinitialisation ou la réinstallation complète de Windows.

Quand opter pour cette solution ?

• Trop de logiciels ou services modifiés dans le temps.
• CPU à 100 % même en mode sans échec,
• Aucun processus identifié clairement comme responsable,
• Windows Update corrompu de façon irrécupérable,

Réinitialiser Windows

Windows propose une fonction intégrée pour réinitialiser le système, en conservant ou non vos fichiers personnels.

Étapes :

1. Ouvre Paramètres > Système > Récupération.
2. Clique sur Réinitialiser ce PC.
3. Choisis :
   • Conserver mes fichiers (réinitialisation légère),
   • ou Supprimer tout (réinitialisation complète).

Windows sera réinstallé sans applications ni pilotes tiers, ce qui permet de repartir sur une base propre sans perdre forcément vos documents.

Réinstaller complètement Windows

Si la réinitialisation échoue ou si vous préférez repartir totalement de zéro, vous pouvez :

• créer une clé USB bootable avec l’outil Media Creation Tool de Microsoft,
• formater le disque et faire une installation propre de Windows 10 ou 11.

Voir le guide : Comment installer Windows 10 ou 11 proprement (clé USB)

Pensez à sauvegarder vos fichiers importants avant toute réinstallation complète.

L’article CPU à 100 % sur Windows 11 ou 10 : causes et solutions efficaces est apparu en premier sur malekal.com.

Microsoft vient de déployer la build 26100.4767 (référence KB5062663) dans le canal Release Preview, apportant plusieurs correctifs ciblés qui améliorent la stabilité et la fiabilité de Windows 11 version 24H2.

L’un des principaux soucis réglés concerne la prise en charge des cartes graphiques externes connectées via Thunderbolt. Jusqu’à présent, ces cartes n’étaient parfois pas détectées, notamment lors du branchement ou après la sortie de veille. Le nouveau correctif assure une reconnaissance plus régulière et limite le recours au gestionnaire de périphériques.

Un autre point d’amélioration concerne les utilisateurs de langues non latines : les conflits rencontrés avec l’IME Microsoft Changjie pour le chinois traditionnel, ainsi que les méthodes phonétiques pour les langues hindi et marathi, après l’installation de KB5062553, sont désormais résolus.

Les administrateurs IT et les utilisateurs d’entreprise constateront aussi une correction bienvenue dans l’éditeur de stratégies de groupe (GPEdit). Auparavant, des messages d’erreur comme « No element was expected but found » ou « Encountered an unknown error » s’affichaient alors qu’on lançait l’éditeur. Cette build élimine définitivement ces anomalies.

La build 26100.4767 vient également clore un bug persistant dans le journal d’événements associé à Windows Firewall with Advanced Security. L’erreur « Event 2042 : Echec de la lecture de la configuration — Plus de données sont disponibles », qui laissait entendre un problème de configuration, n’apparaît plus depuis cette mise à jour. Cela met fin à une brouille de communication entre Microsoft et les utilisateurs, après de précédentes corrections jugées incomplètes.
À lire : KB5062553 : Problème installation et firewall de la mise à jour de Windows 11 (MAJ)

En parallèle, plusieurs correctifs antérieurs intégrés dans la build 26100.4762 sont mis à jour : LSASS ne bloque plus lors du changement de mot de passe machine, l’Explorateur ne se limite plus à afficher un seul dossier en section « Accueil », le système de fichiers ReFS cesse d’épuiser la mémoire lors de gros backups, et divers problèmes de stabilité signalés après les mises à jour de mai 2025 sont réglés.

Pourquoi cette build est importante

Cette release garantit que des scénarios largement rapportés et très concrets — tels que la connexion de GPU externes, l’usage des IME non occidentaux et les erreurs gênantes dans la gestion des stratégies ou des logs — sont désormais pris en charge. Les tests en forum confirment que ces aires sensibles sont stabilisées, avec un testeur affirmant : « The Group Policy problem is really fixed in 26100.4767 ».

En outre, Microsoft prévoit d’intégrer cette mise à jour dans le Patch Tuesday d’août 2025, même si elle est déjà disponible à la prévisualisation.

Pour les utilisateurs

Ceux qui rencontrent des difficultés sur les points évoqués peuvent installer cette build via le programme Windows Insider dans le canal Release Preview. Pour le grand public, un déploiement plus large devrait survenir dans les prochaines semaines, à l’occasion de la mise à jour mensuelle.

En somme, la build 26100.4767 marque un pas important vers la stabilisation de Windows 11 24H2 : les corrections apportées concernent des éléments solides de l’expérience utilisateur, de la compatibilité matérielle à la gestion des politiques, en passant par la propreté des journaux système. Une étape qui devrait rassurer à la fois les professionnels et les utilisateurs avancés.

L’article KB5062663 : Windows 11 corrige les problèmes graphiques, de pare-feu et d’IME dans la build 26100.4767 est apparu en premier sur malekal.com.

Le 13 juillet 2025, Microsoft a déployé KB5062553, la mise à jour Patch Tuesday pour Windows 11 version 24H2, censée renforcer la sécurité du système et corriger plusieurs bugs. Pourtant, de nombreux utilisateurs signalent que l’installation échoue, souvent après une progression marquée.

Les codes d’erreur les plus fréquents remontent à 0x8007371b, 0x800f0991, 0x80073712 ou 0x80071a2d. Ces codes interviennent généralement lorsque l’installation est presque terminée, bloquant le processus autour de 95 %, puis provoquant un rollback, comme l’a observé Windows Latest lors des tests. Les messages d’erreur, certes rébarbatifs, n’apportent aucune explication claire aux utilisateurs.

D’autres témoignages font état d’une paralysie de l’interface graphique pendant le processus, avec le curseur encore actif, parfois jusqu’au BSOD « internal power error ». Le redémarrage forcé est la seule solution dans ces situations.

Pour les utilisateurs confrontés à ces échecs répétés, Windows Latest recommande de recourir à l’installateur hors ligne (.msu) disponible sur le Microsoft Update Catalog. Sur les PC Intel ou AMD, installer préalablement la SSU (KB5043080) permettrait de résoudre 70 % des problèmes. Pour les configurations ARM, Microsoft propose une SSU spécifique. En dernier recours, l’outil Media Creation Tool permet une réinstallation in-place, corrigeant presque systématiquement ces blocages.

Au-delà de ces soucis d’installation, KB5062553 devait corriger une anomalie liée au Windows Firewall désormais marquée comme « résolue ». Pourtant, de nombreux utilisateurs, y compris sur les forums comme Reddit, confirment la persistance de l’événement 2042 (« Config Read Failed ») dans le journal des événements, avec le message « More data is available ». Ce faux positif, attribué à une fonctionnalité encore en développement, ne compromet pas la sécurité réelle du pare-feu, mais contribue à l’impression d’un système livré prématurément.

Par contraste, le document officiel de Microsoft sur la mise à jour confirme qu’une correction a bien été apportée pour l’Event 2042 concerné par le firewall, sous la build 26100.4652. Mais dans la réalité, la promesse d’une résolution totale reste partiellement un vœu pieux.

Malgré les difficultés, Microsoft continue de qualifier KB5062553 de mise à jour critique, indiquant qu’elle s’installe automatiquement ou reste en attente dans Windows Update. Sur les forums de support, les solutions proposées incluent une réinitialisation des composants de Windows Update (SoftwareDistribution, catroot2) ainsi que le redémarrage des services liés.

En résumé, KB5062553 fait plus parler d’elle pour ses échecs d’installation et ses messages erronés dans le journal des événements que pour les corrections qu’elle est censée apporter. Si vous êtes concerné, mieux vaut privilégier l’installation manuelle via les installeurs officiels plutôt que l’option automatique. Compte tenu de l’impact limité sur la sécurité du système, une attente prudente d’un correctif officiel peut aussi être envisagée.

MAJ – 16/07 : Microsoft a pris en compte le problème

Malgré les assurances officielles, de nombreux utilisateurs continuent d’observer l’apparition répétée de l’événement 2042 dans le journal « Windows Firewall with Advanced Security », signalant :

Echec de la lecture de la configuration
Configuration : 18
Erreur : Plus de données sont disponibles

Microsoft reconnaît aujourd’hui qu’elle a annoncé à tort avoir résolu ce bug, qui est en réalité lié à une fonctionnalité en développement ; bien que ces messages soient inoffensifs sur le plan fonctionnel, ils génèrent de la confusion chez les utilisateurs

De plus, sur Reddit, des témoignages font état de pointeurs de souris intermittents, de scintillements du curseur, de crépitements audio aléatoires, voire d’élévations anormales des températures CPU/GPU. Certains rapportent également des défaillances de périphériques USB et de stations d’accueil .

Face à ce contexte, Microsoft conseille aux utilisateurs les plus prudents de différer l’installation automatique de KB5062553, en attendant une version corrigée. Une alternative consiste à lancer l’installation manuellement via le catalogue Microsoft Update. Les utilisateurs chevronnés signalent qu’un « in‑place upgrade » (réinstallation sans perte de données) peut contourner certains blocages, même s’il s’agit d’une opération plus lourde.

Microsoft a désormais reconnu que la résolution prétendue du journal firewall n’était pas complète. La firme doit requalifier l’état de cette correction sur son site de support et devrait attendre la prochaine mise à jour Patch Tuesday pour publier une version réellement fonctionnelle.

L’article KB5062553 : Problème installation et firewall de la mise à jour de Windows 11 (MAJ) est apparu en premier sur malekal.com.

Microsoft a introduit dans Windows 11 version 24H2 une amélioration majeure qui pourrait bien convaincre les derniers hésitants à faire le saut vers cette nouvelle version. Au cœur de cette évolution : l’abandon de l’ancien moteur JScript.dll au profit d’un composant modernisé, baptisé JScript9Legacy.dll.

Pourquoi ce changement est essentiel

Microsoft explique que l’utilisateur ne remarquera aucune différence visible dans l’expérience desktop, mais bénéficiera automatiquement d’un environnement plus sécurisé

Ce changement technique, bien que discret pour l’utilisateur final, a des implications majeures. D’un point de vue sécuritaire, JScript9Legacy a été conçu pour être plus robuste face aux menaces modernes du web. Il limite les possibilités d’exploitation via des failles de type XSS ou des attaques d’exécution de code à distance, un domaine où l’ancien moteur avait montré ses limites à plusieurs reprises ces dernières années. Microsoft avait d’ailleurs dû corriger une faille critique en août 2024 (CVE‑2024‑38178) impliquant JScript.dll.

• Sécurité renforcée : JScript9Legacy est conçu pour mieux suivre les standards web actuels et intègre des règles d’exécution plus strictes, réduisant considérablement le risque d’attaques type XSS (cross-site scripting) ou d’exécution de code à distance
• Performance améliorée : ce nouveau moteur traite les objets JavaScript plus efficacement, contribuant à un navigateur plus rapide et plus stable au quotidien .
• Compatibilité maintenue : bien que modernisé, le moteur reste compatible avec les scripts et applications utilisant l’ancien JScript, assurant une transition sans casse .

Mais l’intérêt de ce changement ne se limite pas à la sécurité. Le nouveau moteur offre également de meilleures performances, notamment dans le traitement des objets JavaScript, ce qui contribue à une expérience de navigation plus fluide. De plus, Microsoft assure que la compatibilité avec les anciens scripts est préservée, ce qui garantit une transition en douceur, sans effets secondaires visibles pour l’utilisateur.

Ce remplacement de moteur est intégré directement dans la build 26100 de Windows 11 24H2. Microsoft précise que le moteur ne sera pas désactivable, soulignant son importance stratégique pour le futur de la plateforme. Il s’agit d’un pas de plus vers la modernisation de l’environnement Windows et une manière claire d’encourager les utilisateurs à délaisser les anciennes versions du système.

Autres bénéfices associés à 24H2

La version 24H2 de Windows 11 ne se limite pas à ce changement technique. Elle introduit également des optimisations importantes côté mises à jour système. Microsoft annonce que les mises à jour mensuelles s’installent désormais 45 % plus vite, avec une réduction de 25 % de l’utilisation du processeur pendant l’installation. Les redémarrages sont également plus rapides, et les paquets de mise à jour ont été allégés d’environ 200 Mo grâce à une gestion plus fine des composants internes.

Ces évolutions arrivent dans un contexte où certains utilisateurs ont exprimé des réserves sur la stabilité de la version 24H2, notamment dans le domaine du jeu vidéo. Cependant, la majorité des problèmes ont été corrigés via des correctifs récents, et Microsoft indique que la version 25H2 à venir reposera sur la même base technique. Cela renforce l’idée que 24H2 représente une étape incontournable dans l’évolution de Windows 11.

En somme, entre sécurité accrue, meilleures performances et une base technologique modernisée, Microsoft envoie un signal fort : l’avenir de Windows passe par 24H2. Pour ceux qui hésitent encore, cette mise à jour apporte des bénéfices concrets et invisibles, tout en préparant le terrain pour les versions à venir.

En bref

Windows 11 24H2 marque un tournant technique majeur : modernisation du moteur JavaScript, mises à jour plus rapides, sécurité renforcée. Si vous êtes encore sur 23H2 ou une version antérieure, c’est le bon moment pour franchir le pas et bénéficier d’un système plus performant et protégé.

Windows 11/10 et la protection contre les virus et attaques informatiques

L’article Microsoft modernise le web sur Windows 11 24H2 avec un moteur JavaScript plus rapide et plus sûr est apparu en premier sur malekal.com.

Windows Defender, l’antivirus intégré à Windows 10 et 11, offre aujourd’hui une protection efficace et discrète pour la majorité des utilisateurs.
Mais par défaut, ses réglages ne sont pas toujours optimisés : analyses trop fréquentes, consommation CPU excessive, notifications envahissantes…

Que vous souhaitiez gagner en performances, éviter les ralentissements pendant le jeu, ou simplement personnaliser la protection selon vos besoins, il est possible d’ajuster plusieurs paramètres clés de Windows Defender.

Dans ce guide complet, nous vous montrons comment optimiser les réglages de Windows Defender étape par étape : limiter l’usage du processeur, ajouter des exclusions, désactiver les alertes superflues, surveiller l’impact sur le système, et bien plus encore.
Tout cela, en conservant une protection efficace sans sacrifier les performances de votre PC.

Vérifier si Windows Defender est actif et bien configuré

Avant d’optimiser les réglages de Windows Defender, il est essentiel de vérifier qu’il est bien activé et fonctionne correctement. En effet, certains paramètres ne sont disponibles que si le moteur de protection en temps réel est actif.

• Ouvrez le Centre de sécurité Windows : Appuyez sur + I > Confidentialité et sécurité > Sécurité Windows, puis cliquez sur Ouvrir Sécurité Windows.
• Allez dans la section Protection contre les virus et menaces.
• Vérifiez que le message “aucune action nécessaire” est affiché, et que la protection en temps réel est activée.

Réduire la consommation CPU de Windows Defender

Windows Defender peut parfois consommer une quantité importante de ressources, notamment lors des analyses automatiques en arrière-plan. Cela peut impacter les performances, en particulier sur les PC plus anciens ou peu puissants.
Heureusement, il est possible de limiter l’utilisation du processeur (CPU) par Defender grâce à une clé de registre spécifique ou via le Planificateur de tâches.

• Appuyez sur le raccourci clavier  + X ou cliquez avec le bouton droit de la souris sur le menu Démarrer puis sélectionnez : « Terminal Windows (admin)« . Plus d’informations : Comment ouvrir Windows Terminal

Get-MpPreference | select ScanAvgCPULoadFactor

• La commande ci-dessus affiche le pourcentage actuel d’utilisation du processeur par Microsoft Defender

• Pour passer à une nouvelle valeur, exécutez le format de commande ci-dessous en spécifiant la valeur :

Set-MpPreference -ScanAvgCPULoadFactor <Utilisation maximal processeur>

• Remplacez par un nombre réel. La valeur par défaut est 50. Toutefois, vous pouvez utiliser une valeur comprise entre 0 et 100. Par exemple, pour allouer 30% du processeur au maximum durant une analyse Windows Defender :

Set-MpPreference -ScanAvgCPULoadFactor 30

Configurer l’utilisation processeur (CPU) de Windows Defender

Ajuster les tâches planifiées de Defender

Par défaut, Windows Defender lance automatiquement des analyses planifiées (généralement lors des périodes d’inactivité). Il est possible de les modifier ou de les désactiver temporairement si elles ralentissent le système.

Voici comment faire :

• Sur votre clavier, utilisez le raccourci clavier + R
• puis saisir taskschd.msc et cliquez sur OK. Pour plus de détails, suivez ce tutoriel : Comment ouvrir les tâches planifiées, planificateur de tâches sur Windows 10, 11
• Accédez à :
  Bibliothèque du Planificateur de tâches > Microsoft > Windows > Windows Defender
• Double-cliquez sur la tâche nommée Windows Defender Scheduled Scan.
• Dans l’onglet Déclencheurs, vous pouvez :
  • Modifier l’heure de l’analyse.
  • La désactiver si elle n’est pas nécessaire.
• Dans l’onglet Conditions, décochez si nécessaire :
  • « Démarrer la tâche uniquement si l’ordinateur est inactif… »
  • « Arrêter si l’ordinateur cesse d’être inactif… »

Cela permet de mieux contrôler quand Windows Defender lance ses analyses.

Windows Defender : Désactiver l’analyse automatique

Ajouter des exclusions à Windows Defender pour améliorer les performances

Windows Defender analyse en permanence les fichiers, dossiers et processus en arrière-plan. Si vous utilisez des logiciels gourmands ou manipulez des fichiers volumineux (jeux, machines virtuelles, développement…), ces analyses peuvent ralentir votre système.

Heureusement, il est possible d’ajouter des exclusions pour empêcher Defender de scanner certains dossiers ou fichiers, ce qui réduit la charge sur le CPU et accélère leur exécution.

Voici les types de fichiers ou répertoires à exclure pour gagner en performances sans compromettre la sécurité :

• Répertoires de jeux (Steam, Battle.net, etc.)
• Machines virtuelles (VMware, VirtualBox, Hyper-V)
• Environnements de développement (Node.js, Python, compilateurs)
• Dossiers contenant des fichiers volumineux ou fréquemment modifiés
• Outils d’administration système ou scripts personnalisés

Pour cela :

• Ouvrez le Centre de sécurité Windows : Paramètres > Confidentialité et sécurité > Sécurité Windows
• Cliquez sur Protection contre les virus et menaces
• Descendez jusqu’à Paramètres de protection contre les virus et menaces, puis cliquez sur Gérer les paramètres
• En bas, ouvrez Ajouter ou supprimer des exclusions
• Cliquez sur Ajouter une exclusion, puis choisissez :
  • Dossier
  • Fichier
  • Type de fichier
  • Processus
• Par exemple : Exclure le dossier C:\Jeux\Steam ou le processus vmware-vmx.exe

Windows Defender : comment ajouter une exception

Désactiver les notifications inutiles de Windows Defender

Windows Defender peut générer de nombreuses notifications : alertes de sécurité, rappels de scan, rapports de maintenance…
Certaines sont utiles, mais d’autres peuvent vite devenir envahissantes, surtout si vous utilisez un antivirus tiers ou gérez manuellement votre protection.

Heureusement, vous pouvez désactiver les notifications non essentielles sans compromettre la sécurité de votre système.

• Faites un clic droit sur le menu Démarrer puis Paramètres. Pour aller plus vite, vous pouvez aussi utiliser le raccourci clavier + I. Sinon d’autres méthodes dans le tutoriel suivant : Comment ouvrir les paramètres de Windows 11
• Accédez à : Confidentialité et sécurité > Sécurité Windows > Ouvrir Sécurité Windows
• Allez dans Protection contre les virus et menaces
• Descendez jusqu’à Paramètres de notification
• Cliquez sur Modifier les paramètres de notification

Vous pouvez alors désactiver :

• Les notifications liées à la protection en temps réel
• Les rapports de maintenance
• Les résumés après analyse

Comment supprimer les notifications de sécurité Windows dans Windows 10, 11

Configurer la protection en temps réel et cloud de Defender

Windows Defender propose plusieurs niveaux de protection, dont deux particulièrement importants :

• la protection en temps réel, qui surveille les fichiers et processus à la volée
• la protection cloud, qui s’appuie sur les serveurs de Microsoft pour détecter plus rapidement les menaces émergentes.

Bien configurées, ces options offrent une protection renforcée, mais peuvent aussi consommer des ressources ou poser des problèmes de compatibilité dans certains cas spécifiques.

• Ouvrir Sécurité Windows : Paramètres > Confidentialité et sécurité > Sécurité Windows > Protection contre les virus et menaces
• Cliquez sur Gérer les paramètres sous Paramètres de protection contre les virus et menaces.
• Activez ou désactivez :
  • Protection en temps réel
  • Protection fournie par le cloud
  • Envoi automatique d’échantillons

Désactiver la protection en temps réel de Windows Defender

Surveiller l’impact de Windows Defender sur les performances système

Même bien configuré, Windows Defender peut parfois avoir un impact notable sur les performances du système : consommation CPU excessive, ralentissements, usage disque élevé…
Il est donc utile de surveiller son activité pour identifier d’éventuels problèmes ou ajuster certains réglages.

Utiliser le Gestionnaire des tâches pour surveiller l’utilisation des ressources

• Ouvrez le gestionnaire de tâches par un clic droit sur le menu Démarrer ou utilisez le raccourci clavier + X
• puis Gestionnaire des tâches. Vous pouvez aussi utiliser le raccourci clavier CTRL+MAJ+ESC
• Dans l’onglet Processus, recherchez :
  • Antimalware Service Executable (correspond au processus MsMpEng.exe)
• Observez les colonnes Processeur, Mémoire et Disque.

[su_warningSi MsMpEng.exe utilise de manière prolongée plus de 30–40 % de CPU en arrière-plan, cela peut indiquer une analyse en cours ou un conflit logiciel.[/su_warning]

Vérifier si une analyse est en cours :

Windows Defender peut exécuter automatiquement des analyses planifiées.
Pour savoir si une analyse est active :

• Ouvrez Sécurité Windows
• Allez dans Protection contre les virus et menaces
• Regardez la ligne Analyse en cours

Si vous observez un pic de consommation CPU au même moment, vous pouvez envisager de modifier l’horaire ou la fréquence des analyses (voir section planificateur de tâches).

Utiliser l’Observateur d’événements pour détecter les anomalies

L’Observateur d’événements permet de repérer des erreurs ou comportements anormaux liés à Windows Defender.

• Sur votre clavier, appuyez sur les touches + [sug_rclavier]R[/su_rclavier]
• Saisissez eventvwr.msc et validez.
• Accédez à : Journaux des applications et services > Microsoft > Windows > Windows Defender > Operational
• Recherchez les événements :
  • ID 1000–3004 : démarrage/fin d’analyse
  • ID 1116–1118 : détection de menaces
  • ID 5001–5007 : erreurs ou interruptions

Que faire si Defender ralentit le PC ?

Problème constaté	Solution recommandée
Utilisation CPU élevée	Ajuster la clé AvgCPULoadFactor
Pics de performance	Modifier ou désactiver la tâche planifiée
Fausses alertes fréquentes	Ajouter des exclusions pertinentes
Ralentissements pendant le jeu	Activer le mode jeu de Windows, exclure le dossier du jeu

Utiliser DefenderUI pour accéder à des réglages avancés

L’interface native de Windows Defender limite l’accès à certains paramètres avancés. Pour aller plus loin dans la personnalisation (désactivation de modules précis, réglages fins de comportement, gestion de l’interface cloud…), il est possible d’utiliser des outils tiers comme DefenderUI.

Ce logiciel gratuit offre une interface plus complète et conviviale pour gérer Defender.

• Rendez-vous sur le site officiel :

• Téléchargez la version stable et lancez l’installation (aucun adware).
• Une fois installé, ouvrez l’application.
  Vous verrez apparaître une interface organisée par onglets :
  • Real-Time Protection
  • Scan Options
  • Exclusions
  • Advanced Settings

DefenderUI : Interface pour gérer Windows Defender

Exemples de réglages utiles avec DefenderUI

Fonction	Utilité
Désactiver les notifications non critiques	Moins d’interruptions
Régler l’agressivité des protections cloud	Adapter selon votre usage
Activer le mode « high performance »	Moins de scans en arrière-plan
Gérer finement les exclusions par type	Exclusion précise de processus

Vous pouvez également sauvegarder ou restaurer vos paramètres, ce qui est pratique pour les administrateurs ou les utilisateurs avancés.

Précautions à prendre

• DefenderUI modifie des paramètres sensibles : évitez d’utiliser le profil « Max Security » sans savoir ce qu’il active.
• Ne désactivez jamais toutes les protections en production sans bonne raison.
• Vérifiez régulièrement les mises à jour de DefenderUI pour rester compatible avec les évolutions de Windows Defender.

Quand utiliser DefenderUI ?

Cas d’usage	Pourquoi utiliser DefenderUI
Optimisation poussée	Réglages invisibles dans Windows
Environnement professionnel	Configuration fine pour serveurs ou dev
Réduction des alertes/faux positifs	Exclusions ciblées, réglages comportementaux
Automatisation de profils	Sauvegarde et restauration rapide de paramètres

Conclusion : Windows Defender est-il suffisant ? Nos conseils finaux

Windows Defender, intégré nativement à Windows 10 et 11, a largement évolué ces dernières années. Longtemps considéré comme une solution de secours, il offre désormais un niveau de protection solide, certifié par de nombreux laboratoires de tests indépendants (AV-Test, AV-Comparatives).

Pour une grande majorité d’utilisateurs — navigation web, bureautique, jeux, multimédia — Windows Defender est amplement suffisant, à condition d’être bien configuré.
Est ce que Windows Defender suffit pour protéger son PC : mon avis

En suivant ce tutoriel, vous avez pu optimiser les paramètres de l’antivirus intégré pour de meilleures performances.

Pour aller plus loin :

• 20 astuces pour améliorer les performances de son PC en Windows 10, 11
• Comment accélérer Windows 11
• Accélérer Windows 10 : le guide complet

L’article Windows Defender : optimiser les réglages pour de meilleures performances est apparu en premier sur malekal.com.

Microsoft vient de franchir une étape très attendue : dans la mise à jour Windows 11 25H2 (preview actuellement), vous pourrez bientôt retirer facilement les applications intégrées via une option native, sans utiliser de PowerShell ou d’outils tiers.

Jusqu’ici, pour se débarrasser par exemple de Paint, du Terminal, de Photos ou du Caméra, il fallait recourir à PowerShell, des scripts ou des utilitaires comme AppBuster. Avec 25H2, les administrateurs (via Windows 11 Pro, Dev ou Beta) bénéficient désormais d’une stratégie de groupe dédiée.
Le site propose d’ailleurs un guide : 13 meilleurs logiciels anti-bloatwares pour Windows 11/10
Nommée « Remove Default Microsoft Store packages from the system » (pas encore traduite), disponible dans Configuration de l’ordinateur > Modèles d’administration > Composants Windows > Déploiements de package Appx, elle permettra de choisir des applications à désinstaller proprement, simplement depuis GPEdit.

Cette nouveauté ajoute une couche de confort bienvenue. Elle génère une entrée dans le registre (HKLM\SOFTWARE\Policies\Microsoft\Windows\Appx\RemoveDefaultMicrosoftStorePackages) pour chaque application sélectionnée, ce qui garantit que les suppressions sont appliquées lors de la création ou connexion d’un nouvel utilisateur. Si un raccourci persiste dans le menu Démarrer, l’application en arrière-plan ne sera plus exécutée — elle est véritablement désinstallée, même si l’interface demande encore un peu de finition.

Cette évolution vise surtout à simplifier la vie des responsables informatiques : fini les scripts complexes, place à une solution centralisée, fiable et auditable, notamment via Intune ou GPO. Pour les utilisateurs “Home”, cette option n’est pas disponible directement, mais des contournements comme Policy Plus peuvent offrir une alternative.

Pourquoi c’est une avancée ?

• La gestion des applications système devient plus conviviale et moins propice aux erreurs.
• L’approche “par politique de groupe” assure une maintenabilité plus propre et transparente, comparée aux méthodes scriptées délicates.
• Tout ceci s’inscrit dans la stratégie de Windows pour offrir une version plus légère, sans la surcharge d’applications souvent jugées inutiles.

Cette option est en phase de test dans le canal Insider pour les builds 26200.xxx (Dev) et 26120.xxx (Beta). La sortie publique est attendue à l’automne.

En résumé

Windows 11 25H2 introduit enfin une méthode officielle et utilisable via GPO pour supprimer les applications intégrées. Une évolution bienvenue, qui met fin aux bricolages et simplifie la personnalisation de l’OS, en particulier dans les environnements IT.

L’article Windows 11 25H2 : enfin un moyen natif de désinstaller les apps Microsoft indésirables est apparu en premier sur malekal.com.

Le 8 juillet 2025, Microsoft a publié la mise à jour cumulative KB5062553 pour Windows 11 version 24H2 (build 26100.4652). Elle s’installe automatiquement via Windows Update, mais Microsoft propose également un installateur hors‑ligne (.msu) pour une installation manuelle ou en environnement multi‑PC.

Des icônes plus compactes sur la barre des tâches

L’un des changements les plus visibles concerne la barre des tâches : il est désormais possible d’afficher des icônes plus petites automatiquement, pour gagner de la place en cas de surcharge. Une option “Afficher les icônes plus petites” apparaît dans Paramètres > Personnalisation > Barre des tâches, avec des réglages selon la densité à l’écran. Bien que la barre conserve sa hauteur originale, Windows réduit la taille des icônes pour accueillir davantage d’applications ouvertes .

Confidentialité améliorée via le Narrateur

La mise à jour intègre une nouvelle fonctionnalité baptisée Screen Curtain pour Narrateur, accessible par Verrou + Ctrl + C. Elle permet de noircir l’écran tout en conservant la lecture vocale, protégeant ainsi les informations sensibles en public.

Copilot+ : interaction directe avec Microsoft 365

Les utilisateurs de PC avec plus de 40 TOPs (Copilot+ PCs) bénéficieront d’un menu contextuel enrichi dans Click To Do (clic droit ou touche Copilot), autorisant l’envoi direct de texte ou d’images au Microsoft 365 Copilot, sans copier-coller.

Explorateur de fichiers accéléré

La mise à jour améliore les performances de l’Explorateur de fichiers, avec des gains allant jusqu’à +10–15 % lors de la gestion de gros fichiers compressés en .7z ou .rar, particulièrement lorsque l’archive contient un grand nombre de petites entrées.

Migration PC-to-PC et autres correctifs

Un outil de migration PC vers PC fait son apparition dans les applications de sauvegarde, permettant de copier des données localement via réseau, sans passer par le cloud. Il est encore en cours de déploiement.

Le patch corrige également divers problèmes, notamment des bugs liés à Alt+Tab pendant les jeux, aux faux avertissements du pare-feu, aux performances de Windows Search, aux animations GPU, à l’impression, à explorer.exe, et au nettoyage des fonctionnalités ou langues optionnelles.
Certains de ces problèmes étaient en partie apportés par le KB5060829.

Installation manuelle et exigences

L’update pèse environ 3 Go sur PC x64 ou ARM, une taille justifiée par l’inclusion d’IA embarquée dans l’installateur, même si celle-ci n’est pas utilisée sur tous les systèmes. Pour les installations hors ligne, rendez-vous sur le Microsoft Update Catalog, puis téléchargez l’installateur correspondant à votre architecture.

Avant l’installation, pensez à créer un point de restauration pour préserver un état stable en cas de problème.

En résumé

La mise à jour KB5062553 apporte plusieurs améliorations concrètes et utiles. La barre des tâches devient plus compacte en cas de débordement, l’accessibilité est renforcée avec Screen Curtain, la compatibilité avec Copilot+ est étendue, et l’explorateur gagne en réactivité. Microsoft corrige aussi des bugs gênants, signe d’un engagement clair à améliorer l’expérience utilisateur. Cette update s’inscrit dans la logique d’évolution progressive de Windows 11 vers plus de personnalisation, de performance et d’accessibilité.

L’article KB5062553 : la mise à jour Windows 11 24H2 débarque avec des nouveautés marquantes  est apparu en premier sur malekal.com.

Le registre Windows est un composant central du système, dans lequel sont stockés les paramètres de configuration de Windows, des pilotes et de la plupart des logiciels installés. Si vous êtes à l’aise avec cet outil, certaines clés du registre peuvent vous permettre de personnaliser en profondeur votre système, de désactiver des fonctionnalités comme Windows Defender, de bloquer la télémétrie, ou encore de gérer les programmes au démarrage sans passer par des outils tiers.

Dans cet article, nous vous présentons une sélection de clés de registre importantes et couramment utilisées pour la configuration, le dépannage ou l’optimisation de Windows. Que vous soyez technicien, administrateur ou simple utilisateur avancé, ces clés vous permettront de mieux comprendre et maîtriser les coulisses du système d’exploitation.

Avant toute modification du registre, pensez à sauvegarder les clés concernées ou à créer un point de restauration système, afin d’éviter tout dysfonctionnement.

Désactiver Windows Defender via le registre : les clés à connaître

Windows Defender est l’antivirus intégré à Windows 10 et 11. Bien qu’il offre une protection efficace et discrète, certains utilisateurs avancés ou administrateurs système souhaitent parfois le désactiver, temporairement ou définitivement. Si l’option est grisée dans les paramètres ou bloquée par la stratégie de groupe, il est possible de désactiver Defender directement via le registre Windows.

Clé principale à modifier

Pour désactiver complètement Windows Defender, il faut créer (ou modifier) la valeur suivante :

• Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
• Valeur DWORD à créer :
  DisableAntiSpyware → 1

Cela désactive le service principal de Windows Defender à condition que Microsoft Defender Antivirus ne soit pas géré par une solution de sécurité tierce ou par une politique de sécurité système (GPO).

Désactiver la protection en temps réel

Si vous ne souhaitez pas désactiver Defender totalement, mais uniquement sa protection en temps réel, vous pouvez aussi agir sur cette clé :

• Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection
• Valeurs DWORD à créer ou modifier :
  • DisableRealtimeMonitoring → 1
  • DisableBehaviorMonitoring → 1
  • DisableOnAccessProtection → 1
  • DisableScanOnRealtimeEnable → 1

Cela permet de désactiver différentes composantes actives de la surveillance Defender sans couper complètement le moteur antivirus.

Précautions

• Après avoir modifié ces clés, redémarrez le système pour que les changements prennent effet.
• Certaines versions de Windows peuvent réactiver automatiquement Defender, surtout après une mise à jour majeure. Il peut être nécessaire de répéter l’opération.
• Sur Windows 11, Tamper Protection (protection contre les modifications non autorisées) doit être désactivée au préalable depuis les paramètres de sécurité Windows, sinon les modifications du registre seront ignorées.

Sur ce sujet : Désactiver Windows Defender de Windows 10 ou Windows 11 (Antivirus)

Programmes au démarrage : les clés de registre à surveiller (Run, RunOnce, etc.)

Le registre Windows contient plusieurs clés dédiées à l’exécution automatique de programmes au démarrage du système ou lors de la connexion d’un utilisateur. Ces clés sont fréquemment utilisées par les applications légitimes (ex. : antivirus, pilotes, assistants logiciels), mais aussi par les malwares et adwares, qui les exploitent pour s’exécuter en arrière-plan sans être détectés.

Clés les plus courantes à connaître

Les clés suivantes sont utilisées pour lancer des programmes automatiquement. Certaines s’appliquent à tous les utilisateurs du système (HKLM), d’autres uniquement à l’utilisateur actuellement connecté (HKCU) :

Démarrage automatique standard

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Ces clés contiennent les programmes à exécuter à chaque démarrage. Chaque entrée correspond à un exécutable ou un script qui s’exécutera après le chargement d’Explorer.exe (le bureau Windows).

À lire :

• Points de chargement de Windows (autoruns) : analyse, détection et nettoyage
• Supprimer les programmes au démarrage de Windows

Exécution unique

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Les clés RunOnce permettent d’exécuter un programme une seule fois au prochain démarrage. Elles sont souvent utilisées lors d’installations logicielles pour effectuer des tâches post-redémarrage (ex. : suppression de fichiers temporaires ou finalisation d’une configuration).

Démarrage en tant que service (anciens systèmes)

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

Ces clés étaient principalement utilisées sous Windows 9x/Me. Elles ont aujourd’hui peu d’effet sur Windows 10/11, mais peuvent encore être explorées par des malwares à des fins de compatibilité ou de contournement des outils de sécurité modernes.

Scripts d’ouverture de session

Outre les clés Run, Windows permet également de lancer des scripts lors de la connexion utilisateur, via des clés de stratégie de groupe :

• HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Scripts\Logon
• HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Scripts\Logon

Ces scripts sont généralement définis par des administrateurs de domaine ou via des GPO locales, notamment dans les environnements professionnels. Ils permettent d’exécuter des commandes, de mapper des lecteurs réseaux, ou d’appliquer des configurations personnalisées.

Désactiver la télémétrie et la collecte de données via le registre

Depuis Windows 10, Microsoft collecte automatiquement diverses données système via la télémétrie, dans le but officiel d’améliorer la stabilité, la sécurité et les performances du système. Toutefois, cette collecte soulève des préoccupations en matière de confidentialité, notamment dans les environnements sensibles ou pour les utilisateurs soucieux de maîtriser les échanges avec Microsoft.

Même si certains paramètres peuvent être désactivés via l’interface graphique ou les stratégies de groupe (GPO), il est aussi possible de désactiver partiellement la télémétrie via le registre.

Limiter la télémétrie avec la clé « AllowTelemetry »

L’une des principales clés à modifier est :

• Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection
• Valeur DWORD : AllowTelemetry
• Valeurs possibles :
  • 0 = Sécurité (seulement pour Windows Enterprise, Education ou LTSC)
  • 1 = De base
  • 2 = Amélioré (supprimé depuis Windows 10 2004)
  • 3 = Complet

Sur les éditions Famille et Professionnel, la valeur 0 n’est pas appliquée, même si elle est définie. Le niveau minimum reste 1.

Plusieurs services Windows sont responsables de la collecte et de l’envoi de données. Tu peux les désactiver ou les neutraliser via le registre (ou via l’utilitaire services.msc si tu préfères une interface graphique).

Diagnostic Execution Service :

• Clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DiagTrack
• Modifier la valeur Start → passer de 2 (automatique) à 4 (désactivé)

dmwappushservice :

• Clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice
• Même principe : Start → 4

Autres clés utiles à connaître

Tu peux également renforcer la désactivation de la télémétrie avec les clés suivantes :

• Désactiver le programme CEIP (Customer Experience Improvement Program) : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQMClient\Windows\CEIPEnable → 0
• Désactiver les diagnostics connectés : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen → 0 (optionnel, pour l’intégration avec SmartScreen)
• Désactiver le service DiagTrack (Tracking Service) : Même si cela ne passe pas uniquement par le registre, tu peux arrêter et désactiver ce service via commande :

sc stop DiagTrack
sc config DiagTrack start= disabled

À lire :

• Comment supprimer la télémétrie dans Windows 11 (mouchards)
• Supprimer la télémétrie et pistage de Windows 10

Clés pour bloquer l’exécution automatique des périphériques USB/CD/DVD

L’exécution automatique (AutoRun / AutoPlay) permet à Windows d’ouvrir automatiquement un programme, un menu ou une notification dès qu’un périphérique de stockage est connecté (clé USB, CD/DVD, disque dur externe, etc.). Si cette fonctionnalité est pratique, elle représente aussi une faille de sécurité potentielle, souvent exploitée par des malwares pour s’installer silencieusement à partir d’un support amovible.

Heureusement, il est possible de désactiver totalement l’exécution automatique des périphériques via le registre Windows.

• Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  (ou HKEY_LOCAL_MACHINE pour l’ensemble des utilisateurs)
• Valeur DWORD : NoDriveTypeAutoRun
• Valeur recommandée : 0xFF (hexadécimal) → désactive AutoRun sur tous les types de lecteurs

Valeurs possibles :

Hexadécimal	Décimal	Effet
0x01	1	Désactive AutoRun sur les lecteurs non définis
0x04	4	Désactive AutoRun sur les lecteurs amovibles
0x08	8	Désactive AutoRun sur les lecteurs fixes (disques durs internes)
0x10	16	CD/DVD
0x20	32	Réseaux
0x80	128	Lecteurs inconnus
0xFF	255	Désactive AutoRun sur tous les types de lecteurs

Conseil : Utilisez 0xFF pour un blocage total, idéal en contexte professionnel ou pour sécuriser un poste sensible.

À lire : Comment désactiver l’exécution automatique de Windows 11/10 (AutoRun/AutoPlay)

Autres clés complémentaires

• Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers
• Valeur DWORD à créer : DisableAutoplay → 1

Pour appliquer la même politique à tous les utilisateurs, utilisez HKEY_LOCAL_MACHINE.

Gérer Windows Update depuis le registre (clés importantes)

Le comportement de Windows Update peut être modifié ou personnalisé via le registre, notamment pour différer les mises à jour, désactiver les redémarrages automatiques, ou forcer des paramètres spécifiques sur des éditions qui ne donnent pas accès à toutes les options dans l’interface graphique. Cela est particulièrement utile en environnement professionnel ou pour les utilisateurs souhaitant un contrôle plus fin sur les mises à jour de leur système.

Comme ces paramètres sont répartis sur plusieurs emplacements du registre (WUSettings, AU, Policies…), nous avons rédigé un article complet dédié aux différentes clés disponibles et à leur rôle :

Voir la liste complète des clés de registre Windows Update

Clés liées à la stratégie de mot de passe / verrouillage

La stratégie de mot de passe et de verrouillage automatique de l’écran est essentielle pour garantir la sécurité d’un poste Windows, notamment en entreprise ou sur un ordinateur partagé. Si ces paramètres sont généralement configurables via les stratégies de sécurité locales (secpol.msc) ou les paramètres système, il est aussi possible de les modifier directement dans le registre Windows, en particulier sur les éditions Familiale qui n’ont pas accès à certaines interfaces avancées.

Délai d’inactivité avant verrouillage automatique

• Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
• Valeur DWORD à créer : InactivityTimeoutSecs
• Type : DWORD (32 bits)
• Valeur : en secondes (ex. : 600 = 10 minutes)

Cette clé permet de verrouiller automatiquement la session après un certain temps d’inactivité. Cela fonctionne même si l’utilisateur n’a pas défini explicitement d’écran de veille avec mot de passe.

Forcer l’exigence du mot de passe après l’écran de veille

• Clé : HKEY_CURRENT_USER\Control Panel\Desktop
• Valeur chaîne à modifier : ScreenSaverIsSecure
  • 1 = demander le mot de passe après la reprise
  • 0 = ne pas le demander
• Autre valeur utile : ScreenSaveTimeOut → définit le délai avant activation de l’écran de veille (en secondes)

Ces paramètres fonctionnent ensemble : tu peux configurer l’écran de veille pour qu’il apparaisse après 5 ou 10 minutes, puis exiger un mot de passe à la reprise.

Clés Shell et Winlogon : ce qui se lance à la connexion Windows

Au démarrage de Windows, plusieurs processus sont automatiquement chargés avant que l’utilisateur accède pleinement à sa session. Parmi les clés du registre les plus critiques à ce niveau, les clés associées à Winlogon et Shell contrôlent ce qui se lance juste après la connexion (ou même avant, pour les scripts système). Comprendre ces clés est essentiel pour diagnostiquer des problèmes de démarrage, détecter des infections, ou personnaliser des comportements système.

Les clés Shell et Userinit sont très surveillées par les antivirus, car elles sont souvent détournées par des logiciels malveillants pour se lancer avant tout autre processus. Modifier ces clés à la main sans précaution peut empêcher le chargement correct du bureau Windows ou conduire à un écran noir après la connexion.
Celle-ci est très utilisée par les Trojan Winlock.

• Clé principale : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Cette clé contient plusieurs valeurs importantes utilisées lors du logon (connexion de session). Les plus connues sont :

Shell

• Définit le programme chargé après connexion.
• Par défaut : explorer.exe
• Si cette valeur est modifiée (ex. : cmd.exe, malware.exe, etc.), cela remplace complètement l’Explorateur Windows. Certains malwares exploitent cette clé pour bloquer l’interface graphique et afficher leur propre charge utile.

Userinit

• Valeur par défaut : C:\Windows\System32\userinit.exe,
• Ce programme initialise le profil utilisateur et exécute certains scripts de logon.
• Si un malware est ajouté ici, il peut s’exécuter juste avant l’ouverture du bureau, en toute discrétion.

Connexion automatique : activer l’ouverture de session sans mot de passe

La clé Winlogon permet également de configurer une connexion automatique, sans demander de mot de passe à l’ouverture de session. C’est une option parfois utilisée sur des machines personnelles, des bornes publiques, des environnements de test, ou des systèmes embarqués.

Pour cela, il faut renseigner plusieurs valeurs dans cette même clé :

• AutoAdminLogon → 1 (active la connexion auto)
• DefaultUserName → nom du compte utilisateur à ouvrir
• DefaultPassword → mot de passe associé (stocké en clair dans le registre)
• DefaultDomainName → nom de la machine locale ou domaine AD

Sur ce sujet :

• Comment supprimer le mot de passe au démarrage de Windows 11
• Supprimer le mot de passe de Windows 10 pour démarrer sans mot de passe

Autres valeurs intéressantes

• LegalNoticeCaption / LegalNoticeText → permet d’afficher un message légal ou une alerte à l’ouverture de session (utilisé en entreprise)
• GinaDLL → ancienne DLL pour modifier la gestion du logon (Windows XP/2000)

Clés relatives aux menus contextuels de Windows (clic droit)

Le menu contextuel, accessible via un clic droit sur un fichier, un dossier ou le bureau, est une fonctionnalité essentielle de l’interface Windows. Avec le temps, ce menu peut s’encombrer d’entrées inutiles ajoutées par des logiciels tiers (antivirus, lecteurs multimédias, outils de compression…), ou à l’inverse, certaines options peuvent disparaître à la suite d’un bug ou d’une mauvaise désinstallation. Heureusement, il est possible de personnaliser ou nettoyer ces menus via le registre Windows.

Où se trouvent les clés du menu contextuel dans le registre

Les entrées du clic droit sont réparties à plusieurs emplacements du registre, selon le type d’objet cliqué (fichier, dossier, raccourci…) et le contexte utilisateur ou système.

Entrées générales (tous types de fichiers)

• HKEY_CLASSES_ROOT\*\shell
• HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers

Ces emplacements contrôlent les options qui s’appliquent à tous les fichiers, quel que soit leur type (ex. : « Analyser avec antivirus », « Envoyer vers », « Ajouter à l’archive », etc.).

Entrées spécifiques aux dossiers

• HKEY_CLASSES_ROOT\Directory\shell
• HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers

Modifie le menu contextuel quand on clique sur un dossier.

Entrées propres à certains types de fichiers

Chaque extension de fichier a sa propre clé :

• Exemple pour .txt : HKEY_CLASSES_ROOT\txtfile\shell

Vous pouvez y ajouter ou retirer des options spécifiques (ex. : « Ouvrir avec Notepad++ »).

Menu contextuel du bureau (fond d’écran)

• HKEY_CLASSES_ROOT\Directory\Background\shell : Affecte le clic droit sur le bureau, sans icône sélectionnée.

Pour supprimer une entrée du menu contextuel :

• Ouvre l’une des clés listées ci-dessus (ex. : *\shell).
• Identifie le nom du programme ou de l’action.
• Supprime la sous-clé correspondante (ex. : WinRAR, ScanWithAntivirus, etc.).
• Redémarre l’explorateur (explorer.exe) pour appliquer les changements.

Un programme tel qu’Autoruns, ShellExView ou Right Click Enhancer permet de les gérer très facilement.
Voir ces tutoriels : Résoudre les plantages d’explorer.exe lors d’un clic droit et Personnaliser le menu contextuel (clic droit) de Windows

Programmes installés : les clés de registre à connaître pour désinstaller ou identifier les logiciels

Windows stocke la liste des programmes installés dans le registre, notamment pour l’affichage dans le Panneau de configuration > Programmes et fonctionnalités ou l’application Paramètres > Applications. Ces clés permettent aux utilisateurs ou aux outils de désinstallation de localiser le chemin de désinstallation, d’obtenir le nom exact du programme, sa version, son éditeur, sa date d’installation, etc.

Il est aussi possible de repérer des restes de logiciels mal désinstallés, ou de créer un inventaire manuel sur une machine, directement à partir de ces clés.

Clés du registre à consulter

• Pour tous les utilisateurs (programmes 64 bits ou système) : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
• Pour les programmes 32 bits sur un système 64 bits : HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
• Programmes installés par l’utilisateur courant uniquement : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall

Chaque sous-clé représente un programme (avec un nom de type GUID ou nom lisible). À l’intérieur, on trouve différentes valeurs utiles comme :

Chaque sous-clé représente un programme (avec un nom de type GUID ou nom lisible). À l’intérieur, on trouve différentes valeurs utiles comme :
Nom de valeur	Description
DisplayName	Nom affiché dans la liste des programmes
DisplayVersion	Version du logiciel
InstallDate	Date d’installation
Publisher	Éditeur
UninstallString	Chemin exact vers la commande de désinstallation
QuietUninstallString	Chemin vers une désinstallation silencieuse (si disponible)
InstallLocation	Dossier d’installation du programme

Exemple : désinstaller manuellement un programme

• Repérez dans le registre la clé du programme à supprimer.
• Copiez la valeur UninstallString
• Exécutez manuellement (via Exécuter ou en ligne de commande)
• Facultativement : supprimez la clé si l’entrée reste visible malgré la désinstallation

Clés de registre des services Windows : fonctionnement et modification

Les services Windows sont des composants système essentiels, souvent lancés en arrière-plan au démarrage du système. Ils peuvent assurer des tâches critiques comme les mises à jour, l’impression, la sécurité ou la gestion réseau. Ces services sont gérés par le processus services.exe, mais beaucoup d’entre eux sont hébergés dans des processus partagés nommés svchost.exe (Service Host), afin de mutualiser les ressources et limiter l’empreinte mémoire.

Le registre Windows permet de visualiser, configurer et parfois réparer les services installés. Il est même possible d’ajouter ou de supprimer des services manuellement, bien que cela soit réservé aux utilisateurs expérimentés.

À l’intérieur de chaque service, on trouve de nombreuses valeurs, les plus importantes étant :

• Configuration de Windows : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
• La configuration matérielle : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
• Les profils de configuration matérielle : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles
• La liste des services Windows : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Clé principale des services Windows

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Chaque sous-clé de cette branche représente un service système ou utilisateur. Le nom de la sous-clé correspond au nom court du service (ex. : wuauserv pour Windows Update, WinDefend pour Windows Defender).

À l’intérieur de chaque service, on trouve de nombreuses valeurs, les plus importantes étant :

Nom de valeur	Description
DisplayName	Nom lisible du service
ImagePath	Chemin de l’exécutable ou commande à lancer
Start	Mode de démarrage (voir tableau ci-dessous)
Type	Type de service (interactif, kernel, partage svchost…)
Description	Description du rôle du service
DependOnService	Dépendances (services requis pour démarrer)

Valeurs possibles de Start

Valeur	Mode de démarrage
2	Automatique
3	Manuel
4	Désactivé
0	Démarrage au boot (rare, réservé aux services critiques)
1	Système (avant l’ouverture de session)

Modifier cette valeur permet, par exemple, de désactiver manuellement un service problématique ou au contraire de forcer son démarrage automatique.

Clés Shell Folders : chemins système et redirections de dossiers

Windows utilise des chemins spéciaux appelés « Shell Folders » pour localiser les dossiers système propres à chaque utilisateur ou au système global : Bureau, Documents, Téléchargements, Démarrage, ProgramData, etc. Ces chemins sont utilisés par de nombreuses applications pour enregistrer des fichiers ou charger des ressources. Ils sont définis dans le registre, ce qui permet, entre autres, de personnaliser l’emplacement de certains dossiers, ou de réparer un profil corrompu dont les chemins système ont été modifiés.

Ces clés sont également consultées au démarrage de Windows et par l’Explorateur de fichiers pour afficher les icônes ou les chemins dans les raccourcis (ex. : %USERPROFILE%\Desktop, %APPDATA%, etc.).

Localisation des clés Shell Folders

Il existe deux branches principales dans le registre :

Pour l’utilisateur courant :

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Pour tous les utilisateurs (valeurs système) :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Différence entre Shell Folders et User Shell Folders

• Shell Folders contient des chemins déjà résolus (ex. : C:\Users\Nom\Desktop)
• User Shell Folders contient des variables d’environnement (ex. : %USERPROFILE%\Desktop) — c’est cette clé que Windows utilise en priorité.

Les valeurs présentes dans User Shell Folders peuvent donc être modifiées dynamiquement selon l’utilisateur connecté, ce qui est utile pour la redirection de profils ou la gestion centralisée (ex. en entreprise).

Exemples de valeurs courantes

Nom de la valeur	Chemin par défaut
Desktop	%USERPROFILE%\Desktop
Personal	%USERPROFILE%\Documents
AppData	%USERPROFILE%\AppData\Roaming
Favorites	%USERPROFILE%\Favorites
Startup	%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
My Music	%USERPROFILE%\Music
Local AppData	%USERPROFILE%\AppData\Local

A lire : Restaurer l’emplacement des documents de Windows et Déplacer ses données utilisateurs Windows

Clés AppCompat / Application Compatibility Flags

Depuis Windows XP, Microsoft a intégré un système de compatibilité des applications (AppCompat) pour permettre à d’anciens programmes conçus pour des versions précédentes de Windows de fonctionner correctement. Lorsqu’un programme est identifié comme potentiellement incompatible, ou lorsqu’un utilisateur applique manuellement un mode de compatibilité (ex. : « Windows 7 », « Exécuter en tant qu’administrateur »), Windows enregistre ces préférences dans le registre via des flags AppCompat.

Ces entrées sont stockées dans des clés spécifiques du registre, et peuvent être modifiées pour forcer certains comportements, corriger un dysfonctionnement, ou supprimer des paramètres de compatibilité persistants.

Clés principales à connaître

• Compatibilité utilisateur (User-specific) : HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers ─ Contient les programmes pour lesquels l’utilisateur actuel a défini un mode de compatibilité ou des options spéciales.
• Compatibilité globale (pour tous les utilisateurs) : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers ─ Permet d’appliquer une compatibilité forcée à l’ensemble du système pour une application précise.

Fonctionnement des valeurs

Chaque entrée est une valeur de type chaîne (REG_SZ), où :

• Nom de la valeur = chemin complet vers l’exécutable
• Données = flags de compatibilité appliqués

Exemples :

Chemin de l’exécutable	Données
C:\Program Files\AncienJeu\jeu.exe	WIN7 RUNASADMIN
D:\Utilitaires\app.exe	WINXP256COLOR DISABLETHEMES

Quelques flags courants :

Flag	Effet
WINXPSP3, WIN7, WIN8	Simule un ancien environnement Windows
RUNASADMIN	Lance le programme avec des droits administrateur
DISABLETHEMES	Désactive les thèmes visuels
256COLOR	Force un affichage 256 couleurs
DPIUNAWARE	Ignore les paramètres de mise à l’échelle DPI
DISABLEDXMAXIMIZEDWINDOWEDMODE	Corrige certains jeux plein écran

Ainsi, si un programme se lance toujours en mode administrateur ou avec un comportement étrange, pense à supprimer sa clé dans AppCompatFlags\Layers. Cela réinitialisera les options de compatibilité.

L’article Registre Windows : 12 clés essentielles pour gérer Defender, démarrage, services et plus est apparu en premier sur malekal.com.

Réinstaller Windows pour redonner un coup de fouet à son PC est une vieille pratique que de nombreux utilisateurs continuent d’appliquer presque machinalement. Mais est-ce toujours utile avec Windows 11 et les machines modernes ? Deux tests récents menés par PCWorld et Neowin viennent remettre les choses au clair, chiffres à l’appui.

Des différences très faibles dans les faits

Dans son dossier publié en juin 2024, PCWorld a mis à l’épreuve deux installations de Windows 11 sur la même configuration haut de gamme, équipée d’un Ryzen 9 9950X3D et de 64 Go de RAM. L’une des installations était toute fraîche, « propre », et l’autre était en service depuis un an, avec des mises à jour, des logiciels, des jeux installés, et une utilisation quotidienne typique.

Les résultats montrent que les performances générales entre les deux systèmes sont pratiquement identiques. Que ce soit dans des tests de rendu, d’usage bureautique ou de productivité (Adobe Premiere, export vidéo, multitâche), la version « sale » n’est jamais significativement à la traîne. Dans certains cas, elle fait même mieux, probablement grâce à des caches ou des profils de travail mieux rodés. Par exemple, l’export vidéo via Adobe Premiere s’est avéré 8 % plus rapide sur l’installation ancienne, ce qui est contre-intuitif.

En matière de jeu, les différences sont également très ténues. Cyberpunk 2077, par exemple, affiche un léger avantage pour la version propre lors d’un benchmark en mode qualité, mais c’est l’installation ancienne qui prend le dessus en mode ultra, avec les mêmes pilotes et les mêmes paramètres graphiques

Le verdict est similaire pour des titres comme F1 2024, avec des écarts infimes de l’ordre de 2 ou 3 %, difficilement perceptibles en pratique.

Rainbow Six ou Fornite donne des résultats avec un gain de performance est très minime.

Neowin confirme : pas de vraie supériorité pour l’installation propre

Un autre test mené par Neowin va dans le même sens. Après avoir comparé une version fraîchement installée de Windows 11 avec une autre utilisée régulièrement depuis un an, les performances globales restent dans la même marge d’erreur. Que ce soit dans les tâches lourdes comme le rendu 3D (Cinebench, Blender) ou dans le jeu, aucune des deux installations ne prend réellement le dessus. Là encore, certains jeux semblent un peu plus fluides sur l’installation propre, mais le gain est parfois inverse dans d’autres cas.

Il ressort aussi de ces analyses que la variabilité propre à Windows — les services qui tournent en arrière-plan, les tâches planifiées, les mises à jour actives — peut influencer les résultats d’un test ponctuel, ce qui rend les écarts observés souvent anecdotiques.

Alors, faut-il encore réinstaller Windows régulièrement ?

Ces deux études permettent de tirer une conclusion assez nette : pour les utilisateurs qui entretiennent leur système, évitent d’accumuler les logiciels inutiles, mettent à jour régulièrement Windows et les pilotes, une réinstallation n’apporte aucun gain tangible. L’idée selon laquelle « Windows s’encrasse avec le temps » reste valable, mais surtout dans les cas où l’on installe tout et n’importe quoi sans jamais nettoyer derrière.

En revanche, une réinstallation peut rester utile dans des cas bien précis : si le système est instable, infecté par un malware, ou s’il s’agit d’une vieille installation (plusieurs années) avec de nombreux problèmes non résolus. Dans ces situations, repartir sur une base saine est pertinent.

Mais, dans une logique de maintenance préventive, la meilleure solution reste souvent de faire un nettoyage en profondeur, désactiver les programmes inutiles au démarrage, supprimer les résidus de logiciels désinstallés, et optimiser la gestion des ressources.

Conclusion

Réinstaller Windows pour gagner en performance n’est plus un réflexe aussi utile qu’autrefois. À l’ère de Windows 11, d’un matériel puissant et de SSD rapides, les gains réels sont minimes, voire inexistants. Un système bien entretenu peut fonctionner tout aussi efficacement qu’une installation neuve.

Et si vous ressentez un ralentissement, mieux vaut d’abord chercher la cause réelle : services gourmands, logiciels en arrière-plan, ou surcharge de tâches. Dans bien des cas, un bon nettoyage vaut mieux qu’une réinstallation complète.
À lire : Comment accélérer Windows 11 et Ordinateur lent : 13 choses à faire pour nettoyer et booster son PC

Souhaitez-vous que je vous propose une méthode de nettoyage avancée ou une fiche pratique pour identifier les logiciels inutiles au démarrage ?

L’article Réinstaller Windows 11 pour booster les performances ? Les tests cassent le mythe est apparu en premier sur malekal.com.

Microsoft vient de modifier les notes de version de la mise à jour KB5001716, ajoutée au catalogue des mises à jour Windows. Jusqu’à récemment, cette mise à jour était reconnue pour forcer silencieusement les PC sous Windows 10 ou 11, en les incitant à basculer vers une version plus récente lorsqu’ils approchaient de la fin de leur cycle de support.

La mention correspondante — indiquant que la mise à jour pouvait lancer automatiquement une feature update.
Notamment celle-ci indiquait :

Lorsque cette mise à jour est installée, Windows peut tenter de télécharger et d’installer des mises à jour de fonctionnalités sur votre appareil s’il approche ou a atteint la fin de la prise en charge de la version de Windows actuellement installée.
Après l’installation de cette mise à jour, Windows peut afficher périodiquement une notification vous informant de problèmes susceptibles d’empêcher Windows Update de maintenir votre appareil à jour et de le protéger contre les menaces actuelles. Par exemple, vous pouvez voir une notification vous informant que votre appareil exécute actuellement une version de Windows qui a atteint la fin de son cycle de vie de support, ou que votre appareil ne répond pas aux exigences matérielles minimales pour la version actuellement installée de Windows.

Mais depuis, cette fonctionnalité a été supprimée depuis le 2 juillet 2025. Microsoft précise désormais que KB5001716 se contente de rappeler un système en fin de vie, sans initier de mise à jour forcée . Toutefois, les notifications à l’écran sur l’état de sécurité ou la fin de support restent actives.
La note de Microsoft indique maintenant :

Après l’installation de cette mise à jour, Windows peut afficher périodiquement une notification vous informant de problèmes susceptibles d’empêcher Windows Update de maintenir votre appareil à jour et de le protéger contre les menaces actuelles. Par exemple, vous pouvez voir une notification vous informant que votre appareil exécute actuellement une version de Windows qui a atteint la fin de son cycle de vie de support, ou que votre appareil ne répond pas aux exigences matérielles minimales pour la version de Windows actuellement installée.

Cette décision intervient dans un contexte où la fin du support de Windows 10, prévue pour octobre 2025, suscite des pressions croissantes de la part de groupes comme le PIRG, soulignant le risque de voir des centaines de millions de PC se transformer en « déchets électroniques ». Microsoft tente ainsi d’assouplir sa politique contre les installations automatiques, tout en conservant des rappels visibles pour inciter les utilisateurs à passer à Windows 11 ou une version prise en charge.

Concrètement, après cette mise à jour, les PC recevront uniquement des alertes textuelles ou de bannière, et éventuellement des prompts plein écran, mais sans lancer d’installation en arrière-plan. Cela signifie que seuls des utilisateurs actifs pourront déclencher la mise à jour vers une nouvelle version majeure, au moment de leur choix .

Ce changement marque un tournant dans la politique de mise à jour de Microsoft. Les développeurs et administrateurs IT gagnent ainsi en maîtrise sur le moment de mise à jour, tout en assurant la sécurité par des rappels plus discrets, mais toujours bien présents.

L’article KB5001716 : Microsoft retire la mise à jour silencieuse qui forçait les upgrades de Windows 10/11 est apparu en premier sur malekal.com.

Microsoft continue de faire évoluer Windows 11 avec un changement symbolique, mais important : la fin de l’écran bleu de la mort, aussi connu sous le nom de BSOD (Blue Screen of Death). Désormais, lors d’un plantage critique du système, les utilisateurs verront apparaître un écran noir, rebaptisé officieusement BSoD (Black Screen of Death). Ce changement est introduit dans la mise à jour 24H2, attendue pour l’été 2025.

Pourquoi ce changement visuel ?

L’objectif de Microsoft est de moderniser cet écran d’erreur tristement célèbre, présent depuis les débuts de Windows NT. Le nouvel écran noir adopte un style plus sobre, plus rapide à afficher, et surtout plus en phase avec l’identité visuelle actuelle de Windows 11. L’émoticône et le QR code ont été retirés, remplacés par une interface minimale, centrée sur l’essentiel : le code d’erreur et, le cas échéant, le pilote incriminé.

• La nouvelle interface noire, épurée, ressemble davantage à l’écran de mise à jour de Windows, avec un affichage simplifié (stop code + driver fautif).
• Microsoft souhaite améliorer la lisibilité et la rapidité d’identification du problème, en supprimant l’émoticône triste, le QR code et le texte trop long.
• Résultat : le diagnostic est montré en quelques secondes avant un redémarrage automatique, ce qui évite d’encombrer visuellement l’utilisateur.

Performance et résilience accrues

• La collecte du dump mémoire est désormais ultrarapide, ce qui permet à Windows de redémarrer environ en 2 secondes après le crash.
• Ce redesign fait partie de l’appelée Quick Machine Recovery, qui accélère la récupération après un crash, notamment dans les environnements entreprise.

Ergonomie vs Confusion ?

• L’affichage noir épuré peut être trompeur, certaines équipes IT ou utilisateurs occasionnels pourraient confondre la BSoD avec un simple écran de mise à jour.
• L’absence de l’émoticône célèbre et la sobriété accrue pourraient rendre l’écran moins identifiable notamment pour les utilisateurs occasionnels ou plus âgés.

Un changement pas forcément apprécié

Mais, ce changement n’est pas qu’esthétique. Il s’inscrit dans une stratégie plus large de fiabilité appelée Windows Resiliency Initiative, amorcée après les incidents critiques de 2024, notamment le crash massif causé par une mise à jour CrowdStrike. Désormais, le système est capable de redémarrer plus vite après un plantage, grâce à une collecte optimisée du crash dump et à la nouvelle fonctionnalité Quick Machine Recovery, prévue pour être activée sur certains appareils professionnels.

Cette transition vers un BSOD noir pourrait toutefois créer de la confusion. L’écran noir partage en effet, une apparence visuelle proche des phases de mise à jour de Windows, ce qui risque de déstabiliser certains utilisateurs peu expérimentés ou les équipes de support habituées aux anciens codes visuels.

Malgré cela, Microsoft semble déterminé à rompre avec l’image anxiogène de l’écran bleu. Ce nouveau visage de l’erreur système reflète une volonté de tourner la page, sans toutefois renoncer à fournir les informations essentielles pour diagnostiquer un problème.

L’article Windows 11 abandonne l’écran bleu de la mort au profit d’un BSOD noir est apparu en premier sur malekal.com.

Parmi les nombreuses menaces qui circulent sur Internet, le Trojan Downloader se distingue par sa discrétion et sa dangerosité indirecte. À lui seul, ce malware n’endommage pas immédiatement votre système ni vos fichiers. Pourtant, il joue un rôle crucial dans les attaques informatiques modernes : il est chargé de télécharger et d’installer d’autres malwares plus destructeurs, comme des ransomwares, chevaux de Troie bancaires, spyware ou logiciels d’accès à distance.

Souvent diffusé par pièces jointes piégées, logiciels piratés ou publicités malveillantes, le Trojan Downloader s’exécute silencieusement en arrière-plan, établit une connexion avec un serveur distant, et livre les charges malveillantes choisies par les cybercriminels. Il constitue ainsi le premier maillon d’une chaîne d’infection, et l’un des plus critiques.

Dans cet article, vous allez découvrir :

• Ce qu’est un Trojan Downloader et comment il fonctionne,
• Les exemples les plus connus ayant marqué l’actualité,
• Pourquoi il est si redouté par les spécialistes en cybersécurité,
• Et surtout, comment s’en protéger efficacement.

Qu’est-ce qu’un Trojan Downloader ?

Un Trojan Downloader (ou cheval de Troie téléchargeur) est un type de malware spécialisé dans le téléchargement et l’installation d’autres logiciels malveillants sur l’ordinateur infecté. Contrairement à un cheval de Troie classique qui peut être conçu pour voler des données ou contrôler la machine directement, le downloader agit comme un “agent de livraison” silencieux. Son rôle principal est de préparer le terrain pour des menaces plus graves, comme des ransomwares, des spywares, des chevaux de Troie bancaires ou des logiciels d’accès à distance (RAT).

Souvent de petite taille, il passe inaperçu à l’installation et reste actif en arrière-plan. Une fois lancé, il établit une connexion avec un serveur distant (C2) pour récupérer les charges utiles, qui seront ensuite exécutées automatiquement sur le système, sans intervention de l’utilisateur.

Il fait partie des malwares les plus utilisés dans les campagnes de phishing ou dans les chaînes d’infection complexes. Le Trojan Downloader est souvent le premier maillon d’une attaque plus large, et c’est pourquoi il est particulièrement redouté : il ne fait “rien de visible” à première vue, mais ouvre la porte à tout le reste.

Fonctionnement technique d’un Trojan Downloader

Le Trojan Downloader agit de manière furtive et méthodique. Son objectif principal est de télécharger puis exécuter d’autres malwares sur la machine infectée, le plus souvent à l’insu de l’utilisateur. Voici les principales étapes de son fonctionnement :

Infection initiale

Le Trojan Downloader est généralement distribué via des vecteurs classiques :

• Phishing : pièce jointe malveillante (les virus Office, archive ZIP),
• Téléchargement de logiciels piratés (cracks, keygens),
• Publicités piégées (malvertising) ou faux installateurs,
• Exécutables déguisés (fichier invoice.exe présenté comme une facture, par exemple).

→ Les Virus et Trojan : comment ils infectent les PC

Une fois que l’utilisateur ouvre le fichier, le trojan s’exécute discrètement en arrière-plan.

Connexion au serveur distant

Après s’être lancé, le Trojan Downloader établit une connexion sortante avec un serveur de commande (C2) contrôlé par l’attaquant. Cette communication peut se faire :

• en HTTP/HTTPS (requêtes classiques vers des URLs codées ou dynamiques),
• en protocole personnalisé (plus difficile à détecter),
• parfois via réseaux P2P pour éviter les coupures de serveur.

Le trojan peut récupérer une liste de malwares à télécharger depuis son serveur C2, avec les URLs, signatures ou instructions associées. Dans certains cas, l’adresse du fichier à télécharger est déjà contenue dans le code du trojan : elle peut être codée en dur ou générée dynamiquement à l’exécution, par exemple via une fonction de construction d’URL.

Téléchargement de la charge utile (payload)

Le Trojan Downloader télécharge ensuite un ou plusieurs fichiers malveillants depuis le serveur distant :

• ransomware,
• spyware,
• keylogger,
• cheval de Troie bancaire,
• outil d’accès à distance (RAT),
• ou une nouvelle version de lui-même (mise à jour).

Ces fichiers sont souvent chiffrés ou compressés pour éviter la détection par les antivirus.

Exécution et installation

Une fois les fichiers récupérés, le downloader les exécute immédiatement ou les installe via :

• des scripts temporaires (PowerShell, VBS…),
• l’injection dans un processus système,
• ou en copiant les fichiers dans des dossiers système avec un point de chargement (autorun) pour la persistance (Run/RunOnce, services, tâches planifiées…).

Le downloader peut ensuite s’effacer lui-même pour masquer son rôle dans la chaîne d’infection.

Exemples concrets de Trojan Downloaders connus

Plusieurs Trojan Downloaders célèbres ont été massivement utilisés dans des attaques à grande échelle, souvent comme première étape avant le déploiement d’un ransomware ou d’un malware bancaire.

Upatre (2013–2016)

L’un des premiers Trojan Downloaders largement utilisés dans des campagnes de malspam. Il était souvent distribué via des pièces jointes .ZIP contenant des exécutables déguisés, et servait principalement à télécharger le cheval de Troie bancaire Zeus ou le ransomware CryptoLocker.

Gamarue / Andromeda (2011–2017)

Utilisé dans des kits d’exploitation ou campagnes de spam, Gamarue était un downloader modulaire qui pouvait installer divers malwares selon le profil de la victime. Il a été démantelé en 2017 lors d’une opération conjointe entre Microsoft et le FBI.

Kovter (2014–2020)

Évoluant du simple adware au trojan downloader furtif, Kovter utilisait des techniques de persistance dans le registre Windows uniquement (sans fichier sur disque), rendant sa détection complexe. Il servait à télécharger des ransomwares ou des logiciels publicitaires à grande échelle.

Smoke Loader (depuis 2011 – actif en 2025)

Toujours en activité, Smoke Loader est utilisé dans des campagnes massives de malspam, souvent couplé à d’autres malwares. Il se distingue par sa légèreté et sa capacité à enchaîner les téléchargements de charges utiles (ransomware, RAT, miner…).

Emotet (2014–2021, réapparu brièvement en 2022)

Initialement un trojan bancaire, Emotet est rapidement devenu l’un des downloaders les plus puissants et distribués au monde. Il infectait les victimes via des documents Word piégés, et téléchargeait des malwares comme TrickBot, Qbot, ou des ransomwares comme Ryuk. Son infrastructure a été démantelée début 2021 par Europol, mais des variantes ont refait surface.

Trojan JavaScript / VBS : simple, discret, efficace

En parallèle des exécutables .exe ou des fichiers macro, les trojans écrits en JavaScript (.js) ou en VBScript (.vbs) sont encore aujourd’hui très utilisés dans les campagnes de phishing. Leur force réside dans leur simplicité d’exécution et leur capacité à contourner certains filtres de messagerie, surtout quand ils sont compressés dans des archives .ZIP.

Comment ils fonctionnent :

• L’utilisateur reçoit un e-mail avec un objet générique du type « Facture », « Document important », ou « Relance de paiement ».
• La pièce jointe est souvent une archive .zip contenant un fichier document.js ou fichier.vbs.
• Dès l’ouverture, le script télécharge en arrière-plan un exécutable depuis un serveur distant (fréquemment via wget, bitsadmin, ou powershell Invoke-WebRequest).
• Il lance ensuite automatiquement l’exécutable téléchargé, qui peut être un ransomware, un RAT ou un autre downloader.

Ces scripts ne nécessitent aucune élévation de privilèges et s’exécutent simplement si l’utilisateur double-clique, ce qui les rend extrêmement efficaces, notamment dans des environnements peu protégés.

Pourquoi un Trojan Downloader est-il dangereux ?

Le Trojan Downloader est souvent sous-estimé, car, à lui seul, il ne vole pas directement vos données, ne chiffre pas vos fichiers et ne prend pas le contrôle de votre webcam. Pourtant, il représente une menace majeure dans la chaîne d’infection, comme il ouvre la porte à des malwares bien plus destructeurs.

Voici pourquoi il est particulièrement dangereux.

Il agit en toute discrétion :

Un Trojan Downloader est généralement léger, silencieux, et sans effets visibles immédiats. Il peut s’exécuter en arrière-plan sans ralentir le système ni provoquer d’alerte. De nombreux utilisateurs ne se rendent compte de sa présence qu’après l’installation du vrai malware (ransomware, cheval de Troie bancaire, etc.).

Il installe des menaces bien plus graves :

Son rôle est de télécharger et exécuter d’autres malwares, ce qui signifie qu’une seule infection peut entraîner en cascade :

• le vol de données confidentielles (mots de passe, fichiers),
• l’installation d’un ransomware qui chiffre tout le système,
• l’espionnage via un RAT (Remote Access Trojan),
• ou l’intégration à un botnet utilisé pour des attaques DDoS ou du spam massif.

Il peut réinjecter des malwares après nettoyage :

Certains downloaders restent résidents ou se réinstallent via une tâche planifiée ou un point de démarrage. Résultat : même après avoir supprimé les malwares visibles, le downloader peut réinstaller la menace au redémarrage suivant.

Il est difficile à détecter :

• Il utilise souvent des techniques de dissimulation : noms de fichiers trompeurs, répertoires système, extensions masquées…
• Il peut employer un chiffrement ou une obfuscation de son code ou de ses communications avec le serveur.
• Les antivirus ne le détectent pas toujours s’il est scripté (JavaScript, VBS) ou personnalisé pour une campagne ciblée.

Il peut adapter son comportement à la cible :

Certains Trojan Downloaders avancés sont capables de collecter des informations sur la machine infectée (langue, localisation, type de système, présence d’un antivirus…) avant de choisir quelle charge malveillante installer. Cette approche dynamique rend leur action plus efficace et ciblée.

Comment se protéger d’un Trojan Downloader

Comme le Trojan Downloader agit en amont de l’infection principale, le bloquer à temps permet souvent d’éviter tout le reste de la chaîne d’attaque : ransomware, espionnage, vol de données… Voici les meilleures pratiques à adopter pour s’en protéger efficacement.

• Vigilance face aux e-mails et pièces jointes :
  • Ne jamais ouvrir de pièce jointe inattendue, même si l’expéditeur semble connu.
  • Se méfier des fichiers .zip, .js, .vbs, .lnk, .docm, .xlsm : ce sont des formats classiques pour les malwares.
  • Désactiver l’exécution automatique des macros dans Microsoft Office.
  • Toujours afficher les extensions de fichiers dans l’Explorateur Windows pour repérer les noms trompeurs (Facture.pdf.exe, etc.).
• Filtrer les connexions sortantes suspectes :
  • Activer et configurer un pare-feu efficace (Windows Firewall ou solution tierce).
  • Surveiller les connexions sortantes anormales vers des domaines inconnus (à l’aide de logiciels comme GlassWire, TCPView ou Wireshark).
  • En entreprise : utiliser un proxy ou un filtre DNS (ex. NextDNS, Quad9, OpenDNS avec filtrage) pour bloquer les domaines C2 connus.
• Utiliser une protection antivirus/EDR à jour
• Maintenir le système et les logiciels à jour pour combler failles logicielles
• Faire une analyse complète du système avec votre antivirus une fois par semaine.

L’article Comprendre le Trojan Downloader : rôle, fonctionnement, exemples, protection est apparu en premier sur malekal.com.

En juillet 2024, une mise à jour défectueuse du logiciel CrowdStrike a déclenché des crashes BSOD sur 8,5 millions de machines Windows, affectant notamment des aéroports, des banques et des hôpitaux. Ce blocage massif a entraîné une refonte des politiques de stabilité et de sécurité de Windows.

Le Windows Resiliency Initiative (WRI)

Microsoft a ainsi lancé en 2024 son initiative Windows Resiliency Initiative (WRI), avec pour objectif :

• restreindre l’accès direct au noyau,
• renforcer les contrôles de sécurité pour les drivers et les apps sensibles.

Désormais, la société annonce un virage majeur : les antivirus et solutions EDR (Endpoint Detection and Response) ne pourront plus s’exécuter en mode noyau, mais devront fonctionner en mode utilisateur.

Comment cela va-t-il se passer ?

Pour amorcer cette transition, Microsoft a déjà lancé une préversion privée de sa nouvelle architecture de sécurité, actuellement testée par plusieurs éditeurs majeurs d’antivirus comme CrowdStrike, Bitdefender, ESET, Trend Micro ou encore SentinelOne. Ces partenaires participent à un programme baptisé Microsoft Virus Initiative 3.0, qui vise à co-développer une nouvelle série d’APIs dédiées à l’exécution des antivirus en mode utilisateur. Microsoft leur fournit une documentation technique, des outils de test et un accompagnement pour adapter leurs moteurs de détection à cette nouvelle structure, sans accès direct au noyau du système. L’objectif est de permettre à ces solutions de continuer à offrir un haut niveau de protection, tout en éliminant les risques liés à l’exécution de code tiers dans les couches les plus sensibles de Windows. Une fois les retours consolidés et les ajustements effectués, cette architecture sera intégrée progressivement aux futures versions de Windows, notamment via Windows 11 24H2.

Quelles conséquences ?

Avantages :

• Stabilité renforcée : réduire le risque de plantages en noyau, comme celui constaté avec CrowdStrike.
• Reprise rapide : grâce à la future fonctionnalité Quick Machine Recovery, un système non démarrable pourra se répararer automatiquement depuis Windows RE, bientôt incluse dans la version 24H2 de Windows 11.
• Diagnostic plus clair : l’équipe Windows a retravaillé le BSOD — nouveau « Black Screen », épuré, lisible, avec les codes et les drivers listés directement.

Inconvénients et défis :

• Performance : exécuter des antivirus en mode utilisateur pourrait affecter les performances ou la vitesse d’analyse.
• Contre‑attaques : certains anti‑cheat jeux, encore très ancrés dans le noyau, devront migrer et repenser leur architecture.
• Sécurité à repenser : les AV en mode utilisateur seront plus isolés, mais aussi plus vulnérables à des interférences par d’autres apps — un équilibre à atteindre.

Vers une refonte complète des systèmes anti-triche

En parallèle du retrait des antivirus du noyau, Microsoft ambitionne de revoir en profondeur les systèmes anti-triche intégrés aux jeux sous Windows. Actuellement, de nombreuses solutions anti-triche (comme Vanguard de Riot ou BattlEye) s’exécutent au niveau noyau, ce qui leur permet de surveiller l’intégrité du système pour détecter les manipulations les plus avancées. Mais cette approche pose un double problème : risque élevé pour la stabilité, et failles de sécurité potentielles si ces outils sont mal conçus. Microsoft souhaite donc fournir une nouvelle plateforme sécurisée en mode utilisateur qui offrirait aux développeurs d’anti-triche les mêmes capacités de détection, sans accès direct au noyau. Ce changement obligera les éditeurs à adapter leur technologie, mais pourrait à terme limiter les plantages liés aux drivers mal codés et réduire les abus d’accès système au nom de la sécurité.

Ce qui arrive bientôt

• Préversion de la plateforme Endpoint Security aux partenaires, attendue dans les tout prochains mois .
• Windows 11 version 24H2, prévue cet été, intégrera le « Black Screen of Death » et la fonctionnalité Quick Machine Recovery par défaut.
• Les logiciels anti‑cheat devront eux aussi s’adapter ou migrer vers des architectures en mode utilisateur à la future API sécurisée .

Verdict

Microsoft fait un choix stratégique : priorité à la stabilité et à la fiabilité. En plaçant les antivirus en espace utilisateur, les risques de crashs à grande échelle devraient être drastiquement atténués. Cependant, cela nécessite des révisions techniques importantes pour les éditeurs d’AV et d’anti-cheat, ainsi qu’un équilibre subtil entre performance et sécurité.

L’article Microsoft écarte les antivirus du noyau de Windows — un tournant pour la stabilité système est apparu en premier sur malekal.com.

Vous tentez d’utiliser l’outil DISM (Deployment Imaging Service and Management Tool) pour réparer Windows, mais vous êtes bloqué par l’erreur 5 – « Accès refusé » ? Ce message frustrant est courant, mais heureusement, il existe plusieurs méthodes simples et efficaces pour le résoudre.
Dans cet article, nous allons vous expliquer en détail les causes possibles de cette erreur et vous guider pas à pas vers les solutions adaptées. Découvrez comment exécuter DISM correctement et retrouver un système Windows pleinement fonctionnel.

Quelles sont les sources de l’erreur 5 sur DISM

Voici les raisons qui peuvent expliquer pourquoi DISM ne fonctionne pas correctement :

• Commande non exécutée en tant qu’administrateur : C’est la cause la plus fréquente. DISM nécessite des privilèges élevés pour fonctionner. Notez que dans certains cas, cela peut venir d’un bug de l’UAC
• Problèmes de permissions sur les fichiers système ou les dossiers utilisés : Si DISM tente d’accéder à un répertoire ou à un fichier protégé, il échouera sans les droits nécessaires.
• Logiciel antivirus ou de sécurité : Certains antivirus peuvent bloquer les opérations système sensibles, comme celles de DISM.
• Corruption du profil utilisateur : Un profil utilisateur endommagé peut empêcher l’exécution correcte de DISM.
• Service ou dépendance non démarré(e) : Certains services Windows doivent être actifs pour que DISM fonctionne, comme le service « Windows Modules Installer ».
• Système de fichiers endommagé : Des erreurs dans le système de fichiers peuvent bloquer l’accès à des composants nécessaires.

Comment corriger l’erreur 5 sur DISM

Exécuter l’invite de commandes en tant qu’administrateur :

• Dans la recherche Windows, saisissez « Invite de commandes« 
• Puis à droite, cliquez sur « Exécuter en tant qu’administrateur« 

• Le contrôle des comptes utilisateurs (UAC) doit se déclencher et vous devez répondre Oui. Si ce dernier n’apparaît pas, il y a un problème.

Plus de détails, comment ouvrir une invite de commandes en administrateur :

• Comment ouvrir une invite de commandes sur Windows 10
• Comment ouvrir Windows Terminal sur Windows 11

Vérifier les autorisations du dossier de destination

Une autre cause fréquente de l’erreur DISM 5 est un problème de permissions sur le dossier ou le fichier utilisé pendant l’opération. DISM peut tenter d’accéder à une ressource système protégée ou à un dossier dont les autorisations sont insuffisantes.

Quand ce problème se pose :

• Vous utilisez l’option /ApplyImage, /CaptureImage ou /Mount-Image.
• Vous spécifiez un chemin de destination personnalisé.
• Le fichier .wim ou .esd se trouve sur un disque externe ou dans un dossier restreint.

Étapes de vérification et de correction :

• Assurez-vous que vous avez les droits administrateur sur le dossier : Onglet Sécurité > Modifier > ajoutez votre compte utilisateur avec Contrôle total.
• Évitez les dossiers système protégés : N’utilisez pas de chemins comme C:\Windows ou C:\Program Files. Préférez un dossier simple comme C:\DISM.
• Exécutez CMD en tant qu’administrateur (même si vous avez accès au dossier).

Désactiver temporairement l’antivirus

Certains logiciels antivirus peuvent interférer avec les opérations de DISM.
Dans ce cas, désactivez temporairement votre antivirus et réessayez la commande.
Autre solution, tentez la commande depuis le mode sans échec : Comment démarrer Windows en mode sans échec.
Si cela fonctionne en mode sans échec, une application est la source de problèmes d’autorisations pour DISM.

Tentez la commande DISM depuis le compte administrateur intégré

Le compte administrateur intégré n’est pas soumis à l’UAC.
Si ce dernier pose un problème, vous pouvez contourner l’erreur 5 de DISM de cette manière.

• Activez le compte administrateur intégré :
  • Comment activer le compte administrateur intégré de Windows 11
  • Comment activer le compte administrateur intégré sur Windows 10
• Puis, connectez-vous à ce dernier
• Ouvrez une invite de commandes puis lancez votre commande DISM pour tester si cela permet de contourner l’erreur 5

Utiliser DISM depuis les options de récupération avancées (WinRE)

Si l’erreur DISM 5 persiste malgré l’exécution en tant qu’administrateur, il est conseillé d’exécuter DISM depuis l’environnement de récupération Windows (WinRE), où le système est moins chargé et les fichiers système ne sont pas verrouillés.
Étapes à suivre :

• Redémarrer en mode de récupération :
• Cliquez sur le menu Démarrer, maintenez Shift (Maj) enfoncé et sélectionnez Redémarrer.
• Ou allez dans Paramètres > Mise à jour et sécurité > Récupération > Redémarrer maintenant sous « Démarrage avancé« .
• Plus d’aide : Comment démarrer Windows dans les options de récupération
• Accéder à l’invite de commandes : Dans les options de récupération, cliquez sur Dépannage > Options avancées > Invite de commandes.
• Identifier la lettre de lecteur Windows :Tapez diskpart, puis list volume pour identifier la lettre de la partition contenant Windows (souvent D: au lieu de C:).
• Tapez exit pour quitter diskpart.
• Lancer DISM depuis WinRE avec l’option /Image. Par exemple :

dism /Image:D:\ /Cleanup-Image /RestoreHealth

• Ou encore pour nettoyer le magasin WinSxS (répertoire de composants)

DISM /Image:D:\ /Cleanup-Image /StartComponentCleanup

Réparer Windows

Tout d’abord, vous pouvez tenter de réparer les composants de Windows à l’aide de l’excellent utilitaire Windows Repair.
Si certains services ne démarrent pas ou sont corrompus, cela peut les réparer. De même si des permissions et autorisations de fichiers sont erronées.
Aidez-vous de ce guide complet : Windows Repair – outil de réparation de Windows.

Lorsque Windows est totalement endommagé et que les problèmes sont trop nombreux, vous pouvez tenter de réparer Windows 10, 11 sans perte de données et en conservant les programmes installés.
Cela permet de rétablir un système fonctionnel à partir des fichiers ISO et images de Windows.
La procédure est décrite pas à pas dans cet article :

• Comment réparer Windows 10 sans perte de données
• Comment réparer Windows 11 sans perte de données

Il s’agit d’une opération de réinitialisation et de remise à zéro qui supprime les applications et remet le système à son état d’origine.
C’est la solution radicale pour retrouver un système fonctionnel.
Pour cela :

• Allez dans Paramètres > Mise à jour et sécurité > Récupération
• Sous la section Réinitialiser ce PC, clique sur Commencer et choisis si tu veux conserver ou supprimer tes fichiers personnels

Les tutoriels :

• Comment réinitialiser Windows 10
• Comment réinitialiser Windows 11

Consulter les journaux pour plus d’informations :

Les fichiers journaux de DISM peuvent fournir des détails supplémentaires sur l’erreur.

Vérifiez le fichier C:\Windows\Logs\DISM\dism.log pour des informations spécifiques.

Voici un exemple d’entrée de log :

2025-05-24 20:50:33, Info DISM DISM Package Manager: PID=13920 TID=12144 Error in operation: (null) (CBS HRESULT=0x80070005) - CCbsConUIHandler::Error
2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed finalizing changes. - CDISMPackageManager::Internal_Finalize(hr:0x80070005)
2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed processing package changes - CDISMPackageManager::StartComponentCleanupEx(hr:0x80070005)
2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed to start component cleanup. - CPackageManagerCLIHandler::ProcessCmdLine_CleanupImage(hr:0x80070005)
2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed while processing command cleanup-image. - CPackageManagerCLIHandler::ExecuteCmdLine(hr:0x80070005)
2025-05-24 20:50:33, Info DISM DISM Package Manager: PID=13920 TID=5276 Further logs for online package and feature related operations can be found at %WINDIR%\logs\CBS\cbs.log - CPackageManagerCLIHandler::ExecuteCmdLine
2025-05-24 20:50:33, Error DISM DISM.EXE: DISM Package Manager processed the command line but failed. HRESULT=80070005

Ici, 0x80070005 = Access Denied (Accès refusé). Cela indique que DISM n’a pas les droits nécessaires pour finaliser les opérations de nettoyage d’image.

L’article DISM erreur 5 (accès refusé) : Les solutions est apparu en premier sur malekal.com.