Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 15 juillet 2025Flux principal
Hier — 14 juillet 2025Flux principal
À partir d’avant-hierFlux principal

Windows Defender : optimiser les réglages pour de meilleures performances

Par : malekalmorte
11 juillet 2025 à 08:23

Windows Defender, l’antivirus intégré à Windows 10 et 11, offre aujourd’hui une protection efficace et discrète pour la majorité des utilisateurs.
Mais par défaut, ses réglages ne sont pas toujours optimisés : analyses trop fréquentes, consommation CPU excessive, notifications envahissantes…

Que vous souhaitiez gagner en performances, éviter les ralentissements pendant le jeu, ou simplement personnaliser la protection selon vos besoins, il est possible d’ajuster plusieurs paramètres clés de Windows Defender.

Dans ce guide complet, nous vous montrons comment optimiser les réglages de Windows Defender étape par étape : limiter l’usage du processeur, ajouter des exclusions, désactiver les alertes superflues, surveiller l’impact sur le système, et bien plus encore.
Tout cela, en conservant une protection efficace sans sacrifier les performances de votre PC.

Vérifier si Windows Defender est actif et bien configuré

Avant d’optimiser les réglages de Windows Defender, il est essentiel de vérifier qu’il est bien activé et fonctionne correctement. En effet, certains paramètres ne sont disponibles que si le moteur de protection en temps réel est actif.

  • Ouvrez le Centre de sécurité Windows : Appuyez sur + I > Confidentialité et sécurité > Sécurité Windows, puis cliquez sur Ouvrir Sécurité Windows.
  • Allez dans la section Protection contre les virus et menaces.
  • Vérifiez que le message “aucune action nécessaire” est affiché, et que la protection en temps réel est activée.
Si un autre antivirus est installé, il se peut que Windows Defender soit désactivé automatiquement. Windows ne permet pas la coexistence de deux moteurs de protection en temps réel actifs.

Réduire la consommation CPU de Windows Defender

Windows Defender peut parfois consommer une quantité importante de ressources, notamment lors des analyses automatiques en arrière-plan. Cela peut impacter les performances, en particulier sur les PC plus anciens ou peu puissants.
Heureusement, il est possible de limiter l’utilisation du processeur (CPU) par Defender grâce à une clé de registre spécifique ou via le Planificateur de tâches.

  • Appuyez sur le raccourci clavier  + X ou cliquez avec le bouton droit de la souris sur le menu Démarrer puis sélectionnez : « Terminal Windows (admin)« . Plus d’informations : Comment ouvrir Windows Terminal
Get-MpPreference | select ScanAvgCPULoadFactor
  • La commande ci-dessus affiche le pourcentage actuel d’utilisation du processeur par Microsoft Defender
Comment visualiser la valeur de l'utilisation processeur (CPU) pour les analyses Windows Defender
  • Pour passer à une nouvelle valeur, exécutez le format de commande ci-dessous en spécifiant la valeur :
Set-MpPreference -ScanAvgCPULoadFactor <Utilisation maximal processeur>
  • Remplacez par un nombre réel. La valeur par défaut est 50. Toutefois, vous pouvez utiliser une valeur comprise entre 0 et 100. Par exemple, pour allouer 30% du processeur au maximum durant une analyse Windows Defender :
Set-MpPreference -ScanAvgCPULoadFactor 30

👉Configurer l’utilisation processeur (CPU) de Windows Defender

Ajuster les tâches planifiées de Defender

Par défaut, Windows Defender lance automatiquement des analyses planifiées (généralement lors des périodes d’inactivité). Il est possible de les modifier ou de les désactiver temporairement si elles ralentissent le système.

Voici comment faire :

  • Sur votre clavier, utilisez le raccourci clavier + R
  • puis saisir taskschd.msc et cliquez sur OK. Pour plus de détails, suivez ce tutoriel : Comment ouvrir les tâches planifiées, planificateur de tâches sur Windows 10, 11
  • Accédez à :
    Bibliothèque du Planificateur de tâches > Microsoft > Windows > Windows Defender
  • Double-cliquez sur la tâche nommée Windows Defender Scheduled Scan.
  • Dans l’onglet Déclencheurs, vous pouvez :
    • Modifier l’heure de l’analyse.
    • La désactiver si elle n’est pas nécessaire.
  • Dans l’onglet Conditions, décochez si nécessaire :
    • « Démarrer la tâche uniquement si l’ordinateur est inactif… »
    • « Arrêter si l’ordinateur cesse d’être inactif… »
Windows Defender : Désactiver l'analyse automatique

Cela permet de mieux contrôler quand Windows Defender lance ses analyses.

👉Windows Defender : Désactiver l’analyse automatique

Ajouter des exclusions à Windows Defender pour améliorer les performances

Windows Defender analyse en permanence les fichiers, dossiers et processus en arrière-plan. Si vous utilisez des logiciels gourmands ou manipulez des fichiers volumineux (jeux, machines virtuelles, développement…), ces analyses peuvent ralentir votre système.

Heureusement, il est possible d’ajouter des exclusions pour empêcher Defender de scanner certains dossiers ou fichiers, ce qui réduit la charge sur le CPU et accélère leur exécution.

Voici les types de fichiers ou répertoires à exclure pour gagner en performances sans compromettre la sécurité :

  • Répertoires de jeux (Steam, Battle.net, etc.)
  • Machines virtuelles (VMware, VirtualBox, Hyper-V)
  • Environnements de développement (Node.js, Python, compilateurs)
  • Dossiers contenant des fichiers volumineux ou fréquemment modifiés
  • Outils d’administration système ou scripts personnalisés
Évitez d’exclure tout le disque ou des emplacements système critiques, cela créerait une faille de sécurité importante.

Pour cela :

  • Ouvrez le Centre de sécurité Windows : Paramètres > Confidentialité et sécurité > Sécurité Windows
  • Cliquez sur Protection contre les virus et menaces
  • Descendez jusqu’à Paramètres de protection contre les virus et menaces, puis cliquez sur Gérer les paramètres
  • En bas, ouvrez Ajouter ou supprimer des exclusions
  • Cliquez sur Ajouter une exclusion, puis choisissez :
    • Dossier
    • Fichier
    • Type de fichier
    • Processus
  • Par exemple : Exclure le dossier C:\Jeux\Steam ou le processus vmware-vmx.exe

👉 Windows Defender : comment ajouter une exception

Windows Defender : ajouter une exception

Désactiver les notifications inutiles de Windows Defender

Windows Defender peut générer de nombreuses notifications : alertes de sécurité, rappels de scan, rapports de maintenance…
Certaines sont utiles, mais d’autres peuvent vite devenir envahissantes, surtout si vous utilisez un antivirus tiers ou gérez manuellement votre protection.

Heureusement, vous pouvez désactiver les notifications non essentielles sans compromettre la sécurité de votre système.

  • Faites un clic droit sur le menu Démarrer puis Paramètres. Pour aller plus vite, vous pouvez aussi utiliser le raccourci clavier + I. Sinon d’autres méthodes dans le tutoriel suivant : Comment ouvrir les paramètres de Windows 11
  • Accédez à : Confidentialité et sécurité > Sécurité Windows > Ouvrir Sécurité Windows
  • Allez dans Protection contre les virus et menaces
  • Descendez jusqu’à Paramètres de notification
  • Cliquez sur Modifier les paramètres de notification

Vous pouvez alors désactiver :

  • Les notifications liées à la protection en temps réel
  • Les rapports de maintenance
  • Les résumés après analyse

👉Comment supprimer les notifications de sécurité Windows dans Windows 10, 11

Configurer les notifications des sécurités de Windows

Configurer la protection en temps réel et cloud de Defender

Windows Defender propose plusieurs niveaux de protection, dont deux particulièrement importants :

  • la protection en temps réel, qui surveille les fichiers et processus à la volée
  • la protection cloud, qui s’appuie sur les serveurs de Microsoft pour détecter plus rapidement les menaces émergentes.

Bien configurées, ces options offrent une protection renforcée, mais peuvent aussi consommer des ressources ou poser des problèmes de compatibilité dans certains cas spécifiques.

  • Ouvrir Sécurité Windows : Paramètres > Confidentialité et sécurité > Sécurité Windows > Protection contre les virus et menaces
  • Cliquez sur Gérer les paramètres sous Paramètres de protection contre les virus et menaces.
  • Activez ou désactivez :
    • Protection en temps réel
    • Protection fournie par le cloud
    • Envoi automatique d’échantillons
La désactivation de la protection en temps réel est temporaire. Elle sera automatiquement réactivée après un certain temps pour garantir un niveau de sécurité minimal.

👉Désactiver la protection en temps réel de Windows Defender

Activer la protection de Windows Defender de Windows 10

Surveiller l’impact de Windows Defender sur les performances système

Même bien configuré, Windows Defender peut parfois avoir un impact notable sur les performances du système : consommation CPU excessive, ralentissements, usage disque élevé…
Il est donc utile de surveiller son activité pour identifier d’éventuels problèmes ou ajuster certains réglages.

Utiliser le Gestionnaire des tâches pour surveiller l’utilisation des ressources

  • Ouvrez le gestionnaire de tâches par un clic droit sur le menu Démarrer ou utilisez le raccourci clavier + X
  • puis Gestionnaire des tâches. Vous pouvez aussi utiliser le raccourci clavier CTRL+MAJ+ESC
  • Dans l’onglet Processus, recherchez :
  • Observez les colonnes Processeur, Mémoire et Disque.
[su_warningSi MsMpEng.exe utilise de manière prolongée plus de 30–40 % de CPU en arrière-plan, cela peut indiquer une analyse en cours ou un conflit logiciel.[/su_warning]
Forte activité mémoire et disque par AntiMalware Service Execution dans Windows 11/10

Vérifier si une analyse est en cours :

Windows Defender peut exécuter automatiquement des analyses planifiées.
Pour savoir si une analyse est active :

  • Ouvrez Sécurité Windows
  • Allez dans Protection contre les virus et menaces
  • Regardez la ligne Analyse en cours

Si vous observez un pic de consommation CPU au même moment, vous pouvez envisager de modifier l’horaire ou la fréquence des analyses (voir section planificateur de tâches).

Utiliser l’Observateur d’événements pour détecter les anomalies

L’Observateur d’événements permet de repérer des erreurs ou comportements anormaux liés à Windows Defender.

  • Sur votre clavier, appuyez sur les touches + [sug_rclavier]R[/su_rclavier]
  • Saisissez eventvwr.msc et validez.
  • Accédez à : Journaux des applications et services > Microsoft > Windows > Windows Defender > Operational
  • Recherchez les événements :
    • ID 1000–3004 : démarrage/fin d’analyse
    • ID 1116–1118 : détection de menaces
    • ID 5001–5007 : erreurs ou interruptions

Que faire si Defender ralentit le PC ?

Problème constatéSolution recommandée
Utilisation CPU élevéeAjuster la clé AvgCPULoadFactor
Pics de performanceModifier ou désactiver la tâche planifiée
Fausses alertes fréquentesAjouter des exclusions pertinentes
Ralentissements pendant le jeuActiver le mode jeu de Windows, exclure le dossier du jeu

Utiliser DefenderUI pour accéder à des réglages avancés

L’interface native de Windows Defender limite l’accès à certains paramètres avancés. Pour aller plus loin dans la personnalisation (désactivation de modules précis, réglages fins de comportement, gestion de l’interface cloud…), il est possible d’utiliser des outils tiers comme DefenderUI.

Ce logiciel gratuit offre une interface plus complète et conviviale pour gérer Defender.

  • Rendez-vous sur le site officiel :
  • Téléchargez la version stable et lancez l’installation (aucun adware).
  • Une fois installé, ouvrez l’application.
    Vous verrez apparaître une interface organisée par onglets :
    • Real-Time Protection
    • Scan Options
    • Exclusions
    • Advanced Settings

👉DefenderUI : Interface pour gérer Windows Defender

Utiliser les fonctionnalités de Windows Defender avec WindowsDefenderUI

Exemples de réglages utiles avec DefenderUI

FonctionUtilité
Désactiver les notifications non critiquesMoins d’interruptions
Régler l’agressivité des protections cloudAdapter selon votre usage
Activer le mode « high performance »Moins de scans en arrière-plan
Gérer finement les exclusions par typeExclusion précise de processus

Vous pouvez également sauvegarder ou restaurer vos paramètres, ce qui est pratique pour les administrateurs ou les utilisateurs avancés.

Précautions à prendre

  • DefenderUI modifie des paramètres sensibles : évitez d’utiliser le profil « Max Security » sans savoir ce qu’il active.
  • Ne désactivez jamais toutes les protections en production sans bonne raison.
  • Vérifiez régulièrement les mises à jour de DefenderUI pour rester compatible avec les évolutions de Windows Defender.

Quand utiliser DefenderUI ?

Cas d’usagePourquoi utiliser DefenderUI
Optimisation pousséeRéglages invisibles dans Windows
Environnement professionnelConfiguration fine pour serveurs ou dev
Réduction des alertes/faux positifsExclusions ciblées, réglages comportementaux
Automatisation de profilsSauvegarde et restauration rapide de paramètres

Conclusion : Windows Defender est-il suffisant ? Nos conseils finaux

Windows Defender, intégré nativement à Windows 10 et 11, a largement évolué ces dernières années. Longtemps considéré comme une solution de secours, il offre désormais un niveau de protection solide, certifié par de nombreux laboratoires de tests indépendants (AV-Test, AV-Comparatives).

Pour une grande majorité d’utilisateurs — navigation web, bureautique, jeux, multimédia — Windows Defender est amplement suffisant, à condition d’être bien configuré.
👉Est ce que Windows Defender suffit pour protéger son PC : mon avis

En suivant ce tutoriel, vous avez pu optimiser les paramètres de l’antivirus intégré pour de meilleures performances.

Pour aller plus loin :

Ressources utiles et articles liés

L’article Windows Defender : optimiser les réglages pour de meilleures performances est apparu en premier sur malekal.com.

Windows 10 : comment rejoindre le programme Windows Insider de Microsoft ?

Par : Pierre Caer
10 juillet 2025 à 16:00
Le programme Windows Insider est un programme gratuit lancé par Microsoft en 2014, qui permet aux utilisateurs volontaires de tester en avant-première les futures versions de Windows. Une fois inscrit, vous recevrez régulièrement (via Windows Update) des builds Insider Preview sur votre ordinateur — des versions préliminaires contenant de nouvelles fonctionnalités, des améliorations en cours … Lire la suite

Source

Windows 10 : la mise à jour de juillet 2025 (KB5062554) est disponible, quoi de neuf ?

Par : Pierre Caer
9 juillet 2025 à 15:58
Ce 8 juillet 2025, Microsoft a publié la mise à jour KB5062554 pour Windows 10 dans le cadre de ces mises à jour mensuelles obligatoires. Cette nouvelle mise à jour inclut des correctifs de sécurité – 136 vulnérabilités dont 1 faille zero-day ont été corrigées – mais aussi des améliorations et des corrections de bugs. Cette … Lire la suite

Source

Registre Windows : 12 clés essentielles pour gérer Defender, démarrage, services et plus

Par : malekalmorte
9 juillet 2025 à 07:27

Le registre Windows est un composant central du système, dans lequel sont stockés les paramètres de configuration de Windows, des pilotes et de la plupart des logiciels installés. Si vous êtes à l’aise avec cet outil, certaines clés du registre peuvent vous permettre de personnaliser en profondeur votre système, de désactiver des fonctionnalités comme Windows Defender, de bloquer la télémétrie, ou encore de gérer les programmes au démarrage sans passer par des outils tiers.

Dans cet article, nous vous présentons une sélection de clés de registre importantes et couramment utilisées pour la configuration, le dépannage ou l’optimisation de Windows. Que vous soyez technicien, administrateur ou simple utilisateur avancé, ces clés vous permettront de mieux comprendre et maîtriser les coulisses du système d’exploitation.

⚠ Avant toute modification du registre, pensez à sauvegarder les clés concernées ou à créer un point de restauration système, afin d’éviter tout dysfonctionnement.

Désactiver Windows Defender via le registre : les clés à connaître

Windows Defender est l’antivirus intégré à Windows 10 et 11. Bien qu’il offre une protection efficace et discrète, certains utilisateurs avancés ou administrateurs système souhaitent parfois le désactiver, temporairement ou définitivement. Si l’option est grisée dans les paramètres ou bloquée par la stratégie de groupe, il est possible de désactiver Defender directement via le registre Windows.

Clé principale à modifier

Pour désactiver complètement Windows Defender, il faut créer (ou modifier) la valeur suivante :

  • Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  • Valeur DWORD à créer :
    DisableAntiSpyware1

Cela désactive le service principal de Windows Defender à condition que Microsoft Defender Antivirus ne soit pas géré par une solution de sécurité tierce ou par une politique de sécurité système (GPO).

Désactiver la protection en temps réel

Si vous ne souhaitez pas désactiver Defender totalement, mais uniquement sa protection en temps réel, vous pouvez aussi agir sur cette clé :

  • Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection
  • Valeurs DWORD à créer ou modifier :
    • DisableRealtimeMonitoring1
    • DisableBehaviorMonitoring1
    • DisableOnAccessProtection1
    • DisableScanOnRealtimeEnable1

Cela permet de désactiver différentes composantes actives de la surveillance Defender sans couper complètement le moteur antivirus.

Précautions

  • Après avoir modifié ces clés, redémarrez le système pour que les changements prennent effet.
  • Certaines versions de Windows peuvent réactiver automatiquement Defender, surtout après une mise à jour majeure. Il peut être nécessaire de répéter l’opération.
  • Sur Windows 11, Tamper Protection (protection contre les modifications non autorisées) doit être désactivée au préalable depuis les paramètres de sécurité Windows, sinon les modifications du registre seront ignorées.

Sur ce sujet : Désactiver Windows Defender de Windows 10 ou Windows 11 (Antivirus)

Programmes au démarrage : les clés de registre à surveiller (Run, RunOnce, etc.)

Le registre Windows contient plusieurs clés dédiées à l’exécution automatique de programmes au démarrage du système ou lors de la connexion d’un utilisateur. Ces clés sont fréquemment utilisées par les applications légitimes (ex. : antivirus, pilotes, assistants logiciels), mais aussi par les malwares et adwares, qui les exploitent pour s’exécuter en arrière-plan sans être détectés.

Clés les plus courantes à connaître

Les clés suivantes sont utilisées pour lancer des programmes automatiquement. Certaines s’appliquent à tous les utilisateurs du système (HKLM), d’autres uniquement à l’utilisateur actuellement connecté (HKCU) :

Démarrage automatique standard

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Ces clés contiennent les programmes à exécuter à chaque démarrage. Chaque entrée correspond à un exécutable ou un script qui s’exécutera après le chargement d’Explorer.exe (le bureau Windows).

À lire :

Exécution unique

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Les clés RunOnce permettent d’exécuter un programme une seule fois au prochain démarrage. Elles sont souvent utilisées lors d’installations logicielles pour effectuer des tâches post-redémarrage (ex. : suppression de fichiers temporaires ou finalisation d’une configuration).

Démarrage en tant que service (anciens systèmes)

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

Ces clés étaient principalement utilisées sous Windows 9x/Me. Elles ont aujourd’hui peu d’effet sur Windows 10/11, mais peuvent encore être explorées par des malwares à des fins de compatibilité ou de contournement des outils de sécurité modernes.

Scripts d’ouverture de session

Outre les clés Run, Windows permet également de lancer des scripts lors de la connexion utilisateur, via des clés de stratégie de groupe :

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Scripts\Logon
  • HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Scripts\Logon

Ces scripts sont généralement définis par des administrateurs de domaine ou via des GPO locales, notamment dans les environnements professionnels. Ils permettent d’exécuter des commandes, de mapper des lecteurs réseaux, ou d’appliquer des configurations personnalisées.

Désactiver la télémétrie et la collecte de données via le registre

Depuis Windows 10, Microsoft collecte automatiquement diverses données système via la télémétrie, dans le but officiel d’améliorer la stabilité, la sécurité et les performances du système. Toutefois, cette collecte soulève des préoccupations en matière de confidentialité, notamment dans les environnements sensibles ou pour les utilisateurs soucieux de maîtriser les échanges avec Microsoft.

Même si certains paramètres peuvent être désactivés via l’interface graphique ou les stratégies de groupe (GPO), il est aussi possible de désactiver partiellement la télémétrie via le registre.

Limiter la télémétrie avec la clé « AllowTelemetry »

L’une des principales clés à modifier est :

  • Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection
  • Valeur DWORD : AllowTelemetry
  • Valeurs possibles :
    • 0 = Sécurité (seulement pour Windows Enterprise, Education ou LTSC)
    • 1 = De base
    • 2 = Amélioré (supprimé depuis Windows 10 2004)
    • 3 = Complet

Sur les éditions Famille et Professionnel, la valeur 0 n’est pas appliquée, même si elle est définie. Le niveau minimum reste 1.

Plusieurs services Windows sont responsables de la collecte et de l’envoi de données. Tu peux les désactiver ou les neutraliser via le registre (ou via l’utilitaire services.msc si tu préfères une interface graphique).

Diagnostic Execution Service :

  • Clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DiagTrack
  • Modifier la valeur Start → passer de 2 (automatique) à 4 (désactivé)

dmwappushservice :

  • Clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice
  • Même principe : Start4

Autres clés utiles à connaître

Tu peux également renforcer la désactivation de la télémétrie avec les clés suivantes :

  • Désactiver le programme CEIP (Customer Experience Improvement Program) : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQMClient\Windows\CEIPEnable0
  • Désactiver les diagnostics connectés : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen0 (optionnel, pour l’intégration avec SmartScreen)
  • Désactiver le service DiagTrack (Tracking Service) : Même si cela ne passe pas uniquement par le registre, tu peux arrêter et désactiver ce service via commande :
sc stop DiagTrack
sc config DiagTrack start= disabled

À lire :

Clés pour bloquer l’exécution automatique des périphériques USB/CD/DVD

L’exécution automatique (AutoRun / AutoPlay) permet à Windows d’ouvrir automatiquement un programme, un menu ou une notification dès qu’un périphérique de stockage est connecté (clé USB, CD/DVD, disque dur externe, etc.). Si cette fonctionnalité est pratique, elle représente aussi une faille de sécurité potentielle, souvent exploitée par des malwares pour s’installer silencieusement à partir d’un support amovible.

Heureusement, il est possible de désactiver totalement l’exécution automatique des périphériques via le registre Windows.

  • Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    (ou HKEY_LOCAL_MACHINE pour l’ensemble des utilisateurs)
  • Valeur DWORD : NoDriveTypeAutoRun
  • Valeur recommandée : 0xFF (hexadécimal) → désactive AutoRun sur tous les types de lecteurs

Valeurs possibles :

HexadécimalDécimalEffet
0x011Désactive AutoRun sur les lecteurs non définis
0x044Désactive AutoRun sur les lecteurs amovibles
0x088Désactive AutoRun sur les lecteurs fixes (disques durs internes)
0x1016CD/DVD
0x2032Réseaux
0x80128Lecteurs inconnus
0xFF255Désactive AutoRun sur tous les types de lecteurs

Conseil : Utilisez 0xFF pour un blocage total, idéal en contexte professionnel ou pour sécuriser un poste sensible.

À lire : Comment désactiver l’exécution automatique de Windows 11/10 (AutoRun/AutoPlay)

Autres clés complémentaires

  • Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers
  • Valeur DWORD à créer : DisableAutoplay1

Pour appliquer la même politique à tous les utilisateurs, utilisez HKEY_LOCAL_MACHINE.

Gérer Windows Update depuis le registre (clés importantes)

Le comportement de Windows Update peut être modifié ou personnalisé via le registre, notamment pour différer les mises à jour, désactiver les redémarrages automatiques, ou forcer des paramètres spécifiques sur des éditions qui ne donnent pas accès à toutes les options dans l’interface graphique. Cela est particulièrement utile en environnement professionnel ou pour les utilisateurs souhaitant un contrôle plus fin sur les mises à jour de leur système.

Comme ces paramètres sont répartis sur plusieurs emplacements du registre (WUSettings, AU, Policies…), nous avons rédigé un article complet dédié aux différentes clés disponibles et à leur rôle :

👉 Voir la liste complète des clés de registre Windows Update

Clés liées à la stratégie de mot de passe / verrouillage

La stratégie de mot de passe et de verrouillage automatique de l’écran est essentielle pour garantir la sécurité d’un poste Windows, notamment en entreprise ou sur un ordinateur partagé. Si ces paramètres sont généralement configurables via les stratégies de sécurité locales (secpol.msc) ou les paramètres système, il est aussi possible de les modifier directement dans le registre Windows, en particulier sur les éditions Familiale qui n’ont pas accès à certaines interfaces avancées.

Délai d’inactivité avant verrouillage automatique

  • Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  • Valeur DWORD à créer : InactivityTimeoutSecs
  • Type : DWORD (32 bits)
  • Valeur : en secondes (ex. : 600 = 10 minutes)

Cette clé permet de verrouiller automatiquement la session après un certain temps d’inactivité. Cela fonctionne même si l’utilisateur n’a pas défini explicitement d’écran de veille avec mot de passe.

Forcer l’exigence du mot de passe après l’écran de veille

  • Clé : HKEY_CURRENT_USER\Control Panel\Desktop
  • Valeur chaîne à modifier : ScreenSaverIsSecure
    • 1 = demander le mot de passe après la reprise
    • 0 = ne pas le demander
  • Autre valeur utile : ScreenSaveTimeOut → définit le délai avant activation de l’écran de veille (en secondes)

Ces paramètres fonctionnent ensemble : tu peux configurer l’écran de veille pour qu’il apparaisse après 5 ou 10 minutes, puis exiger un mot de passe à la reprise.

Clés Shell et Winlogon : ce qui se lance à la connexion Windows

Au démarrage de Windows, plusieurs processus sont automatiquement chargés avant que l’utilisateur accède pleinement à sa session. Parmi les clés du registre les plus critiques à ce niveau, les clés associées à Winlogon et Shell contrôlent ce qui se lance juste après la connexion (ou même avant, pour les scripts système). Comprendre ces clés est essentiel pour diagnostiquer des problèmes de démarrage, détecter des infections, ou personnaliser des comportements système.

Les clés Shell et Userinit sont très surveillées par les antivirus, car elles sont souvent détournées par des logiciels malveillants pour se lancer avant tout autre processus. Modifier ces clés à la main sans précaution peut empêcher le chargement correct du bureau Windows ou conduire à un écran noir après la connexion.
Celle-ci est très utilisée par les Trojan Winlock.

  • Clé principale : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Cette clé contient plusieurs valeurs importantes utilisées lors du logon (connexion de session). Les plus connues sont :

Shell

  • Définit le programme chargé après connexion.
  • Par défaut : explorer.exe
  • Si cette valeur est modifiée (ex. : cmd.exe, malware.exe, etc.), cela remplace complètement l’Explorateur Windows. Certains malwares exploitent cette clé pour bloquer l’interface graphique et afficher leur propre charge utile.

Userinit

  • Valeur par défaut : C:\Windows\System32\userinit.exe,
  • Ce programme initialise le profil utilisateur et exécute certains scripts de logon.
  • Si un malware est ajouté ici, il peut s’exécuter juste avant l’ouverture du bureau, en toute discrétion.

Connexion automatique : activer l’ouverture de session sans mot de passe

La clé Winlogon permet également de configurer une connexion automatique, sans demander de mot de passe à l’ouverture de session. C’est une option parfois utilisée sur des machines personnelles, des bornes publiques, des environnements de test, ou des systèmes embarqués.

Pour cela, il faut renseigner plusieurs valeurs dans cette même clé :

  • AutoAdminLogon1 (active la connexion auto)
  • DefaultUserName → nom du compte utilisateur à ouvrir
  • DefaultPassword → mot de passe associé (stocké en clair dans le registre)
  • DefaultDomainName → nom de la machine locale ou domaine AD

Sur ce sujet :

Autres valeurs intéressantes

  • LegalNoticeCaption / LegalNoticeText → permet d’afficher un message légal ou une alerte à l’ouverture de session (utilisé en entreprise)
  • GinaDLL → ancienne DLL pour modifier la gestion du logon (Windows XP/2000)

Clés relatives aux menus contextuels de Windows (clic droit)

Le menu contextuel, accessible via un clic droit sur un fichier, un dossier ou le bureau, est une fonctionnalité essentielle de l’interface Windows. Avec le temps, ce menu peut s’encombrer d’entrées inutiles ajoutées par des logiciels tiers (antivirus, lecteurs multimédias, outils de compression…), ou à l’inverse, certaines options peuvent disparaître à la suite d’un bug ou d’une mauvaise désinstallation. Heureusement, il est possible de personnaliser ou nettoyer ces menus via le registre Windows.

Où se trouvent les clés du menu contextuel dans le registre

Les entrées du clic droit sont réparties à plusieurs emplacements du registre, selon le type d’objet cliqué (fichier, dossier, raccourci…) et le contexte utilisateur ou système.

Entrées générales (tous types de fichiers)

  • HKEY_CLASSES_ROOT\*\shell
  • HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers

Ces emplacements contrôlent les options qui s’appliquent à tous les fichiers, quel que soit leur type (ex. : « Analyser avec antivirus », « Envoyer vers », « Ajouter à l’archive », etc.).

Entrées spécifiques aux dossiers

  • HKEY_CLASSES_ROOT\Directory\shell
  • HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers

Modifie le menu contextuel quand on clique sur un dossier.

Entrées propres à certains types de fichiers

Chaque extension de fichier a sa propre clé :

  • Exemple pour .txt : HKEY_CLASSES_ROOT\txtfile\shell

Vous pouvez y ajouter ou retirer des options spécifiques (ex. : « Ouvrir avec Notepad++ »).

Menu contextuel du bureau (fond d’écran)

  • HKEY_CLASSES_ROOT\Directory\Background\shell : Affecte le clic droit sur le bureau, sans icône sélectionnée.

Pour supprimer une entrée du menu contextuel :

  • Ouvre l’une des clés listées ci-dessus (ex. : *\shell).
  • Identifie le nom du programme ou de l’action.
  • Supprime la sous-clé correspondante (ex. : WinRAR, ScanWithAntivirus, etc.).
  • Redémarre l’explorateur (explorer.exe) pour appliquer les changements.

Un programme tel qu’Autoruns, ShellExView ou Right Click Enhancer permet de les gérer très facilement.
Voir ces tutoriels : Résoudre les plantages d’explorer.exe lors d’un clic droit et Personnaliser le menu contextuel (clic droit) de Windows

Programmes installés : les clés de registre à connaître pour désinstaller ou identifier les logiciels

Windows stocke la liste des programmes installés dans le registre, notamment pour l’affichage dans le Panneau de configuration > Programmes et fonctionnalités ou l’application Paramètres > Applications. Ces clés permettent aux utilisateurs ou aux outils de désinstallation de localiser le chemin de désinstallation, d’obtenir le nom exact du programme, sa version, son éditeur, sa date d’installation, etc.

Il est aussi possible de repérer des restes de logiciels mal désinstallés, ou de créer un inventaire manuel sur une machine, directement à partir de ces clés.

Clés du registre à consulter

  • Pour tous les utilisateurs (programmes 64 bits ou système) : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
  • Pour les programmes 32 bits sur un système 64 bits : HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
  • Programmes installés par l’utilisateur courant uniquement : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall

Chaque sous-clé représente un programme (avec un nom de type GUID ou nom lisible). À l’intérieur, on trouve différentes valeurs utiles comme :

Chaque sous-clé représente un programme (avec un nom de type GUID ou nom lisible). À l’intérieur, on trouve différentes valeurs utiles comme :
Nom de valeurDescription
DisplayNameNom affiché dans la liste des programmes
DisplayVersionVersion du logiciel
InstallDateDate d’installation
PublisherÉditeur
UninstallStringChemin exact vers la commande de désinstallation
QuietUninstallStringChemin vers une désinstallation silencieuse (si disponible)
InstallLocationDossier d’installation du programme

Exemple : désinstaller manuellement un programme

  • Repérez dans le registre la clé du programme à supprimer.
  • Copiez la valeur UninstallString
  • Exécutez manuellement (via Exécuter ou en ligne de commande)
  • Facultativement : supprimez la clé si l’entrée reste visible malgré la désinstallation

Clés de registre des services Windows : fonctionnement et modification

Les services Windows sont des composants système essentiels, souvent lancés en arrière-plan au démarrage du système. Ils peuvent assurer des tâches critiques comme les mises à jour, l’impression, la sécurité ou la gestion réseau. Ces services sont gérés par le processus services.exe, mais beaucoup d’entre eux sont hébergés dans des processus partagés nommés svchost.exe (Service Host), afin de mutualiser les ressources et limiter l’empreinte mémoire.

Le registre Windows permet de visualiser, configurer et parfois réparer les services installés. Il est même possible d’ajouter ou de supprimer des services manuellement, bien que cela soit réservé aux utilisateurs expérimentés.

À l’intérieur de chaque service, on trouve de nombreuses valeurs, les plus importantes étant :

  • Configuration de Windows : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
  • La configuration matérielle : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
  • Les profils de configuration matérielle : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles
  • La liste des services WindowsHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Clés SYSTEM de la base de registre Windows ou du registre Windows

Clé principale des services Windows

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Chaque sous-clé de cette branche représente un service système ou utilisateur. Le nom de la sous-clé correspond au nom court du service (ex. : wuauserv pour Windows Update, WinDefend pour Windows Defender).

À l’intérieur de chaque service, on trouve de nombreuses valeurs, les plus importantes étant :

Nom de valeurDescription
DisplayNameNom lisible du service
ImagePathChemin de l’exécutable ou commande à lancer
StartMode de démarrage (voir tableau ci-dessous)
TypeType de service (interactif, kernel, partage svchost…)
DescriptionDescription du rôle du service
DependOnServiceDépendances (services requis pour démarrer)

Valeurs possibles de Start

ValeurMode de démarrage
2Automatique
3Manuel
4Désactivé
0Démarrage au boot (rare, réservé aux services critiques)
1Système (avant l’ouverture de session)

Modifier cette valeur permet, par exemple, de désactiver manuellement un service problématique ou au contraire de forcer son démarrage automatique.

Clés Shell Folders : chemins système et redirections de dossiers

Windows utilise des chemins spéciaux appelés « Shell Folders » pour localiser les dossiers système propres à chaque utilisateur ou au système global : Bureau, Documents, Téléchargements, Démarrage, ProgramData, etc. Ces chemins sont utilisés par de nombreuses applications pour enregistrer des fichiers ou charger des ressources. Ils sont définis dans le registre, ce qui permet, entre autres, de personnaliser l’emplacement de certains dossiers, ou de réparer un profil corrompu dont les chemins système ont été modifiés.

Ces clés sont également consultées au démarrage de Windows et par l’Explorateur de fichiers pour afficher les icônes ou les chemins dans les raccourcis (ex. : %USERPROFILE%\Desktop, %APPDATA%, etc.).

Localisation des clés Shell Folders

Il existe deux branches principales dans le registre :

Pour l’utilisateur courant :

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Pour tous les utilisateurs (valeurs système) :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Différence entre Shell Folders et User Shell Folders

  • Shell Folders contient des chemins déjà résolus (ex. : C:\Users\Nom\Desktop)
  • User Shell Folders contient des variables d’environnement (ex. : %USERPROFILE%\Desktop) — c’est cette clé que Windows utilise en priorité.

Les valeurs présentes dans User Shell Folders peuvent donc être modifiées dynamiquement selon l’utilisateur connecté, ce qui est utile pour la redirection de profils ou la gestion centralisée (ex. en entreprise).

Exemples de valeurs courantes

Nom de la valeurChemin par défaut
Desktop%USERPROFILE%\Desktop
Personal%USERPROFILE%\Documents
AppData%USERPROFILE%\AppData\Roaming
Favorites%USERPROFILE%\Favorites
Startup%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
My Music%USERPROFILE%\Music
Local AppData%USERPROFILE%\AppData\Local

A lire : Restaurer l’emplacement des documents de Windows et Déplacer ses données utilisateurs Windows

Clés AppCompat / Application Compatibility Flags

Depuis Windows XP, Microsoft a intégré un système de compatibilité des applications (AppCompat) pour permettre à d’anciens programmes conçus pour des versions précédentes de Windows de fonctionner correctement. Lorsqu’un programme est identifié comme potentiellement incompatible, ou lorsqu’un utilisateur applique manuellement un mode de compatibilité (ex. : « Windows 7 », « Exécuter en tant qu’administrateur »), Windows enregistre ces préférences dans le registre via des flags AppCompat.

Ces entrées sont stockées dans des clés spécifiques du registre, et peuvent être modifiées pour forcer certains comportements, corriger un dysfonctionnement, ou supprimer des paramètres de compatibilité persistants.

Clés principales à connaître

  • Compatibilité utilisateur (User-specific) : HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers ─ Contient les programmes pour lesquels l’utilisateur actuel a défini un mode de compatibilité ou des options spéciales.
  • Compatibilité globale (pour tous les utilisateurs) : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers ─ Permet d’appliquer une compatibilité forcée à l’ensemble du système pour une application précise.

Fonctionnement des valeurs

Chaque entrée est une valeur de type chaîne (REG_SZ), où :

  • Nom de la valeur = chemin complet vers l’exécutable
  • Données = flags de compatibilité appliqués

Exemples :

Chemin de l’exécutableDonnées
C:\Program Files\AncienJeu\jeu.exeWIN7 RUNASADMIN
D:\Utilitaires\app.exeWINXP256COLOR DISABLETHEMES

Quelques flags courants :

FlagEffet
WINXPSP3, WIN7, WIN8Simule un ancien environnement Windows
RUNASADMINLance le programme avec des droits administrateur
DISABLETHEMESDésactive les thèmes visuels
256COLORForce un affichage 256 couleurs
DPIUNAWAREIgnore les paramètres de mise à l’échelle DPI
DISABLEDXMAXIMIZEDWINDOWEDMODECorrige certains jeux plein écran

Ainsi, si un programme se lance toujours en mode administrateur ou avec un comportement étrange, pense à supprimer sa clé dans AppCompatFlags\Layers. Cela réinitialisera les options de compatibilité.

Ressources utiles et articles liés

L’article Registre Windows : 12 clés essentielles pour gérer Defender, démarrage, services et plus est apparu en premier sur malekal.com.

Windows 10 KB5062554 : que contient la mise à jour de juillet 2025 ?

9 juillet 2025 à 07:09

Quels sont les changements apportés par la mise à jour de juillet 2025 pour Windows 10 et associée à la référence KB5062554 ? Voici un récapitulatif.

The post Windows 10 KB5062554 : que contient la mise à jour de juillet 2025 ? first appeared on IT-Connect.

Windows 10 : comment s’inscrire au programme ESU (mises à jour de sécurité étendues) ?

Par : Pierre Caer
4 juillet 2025 à 15:21
Même si la fin du support de Windows 10 est prévue pour le 14 octobre 2025, tout n’est pas perdu si vous souhaitez continuer à utiliser Windows 10. Microsoft propose en effet un programme baptisé ESU (Extended Security Updates), qui permet de continuer à recevoir des mises à jour de sécurité après la date fatidique. … Lire la suite

Source

Windows Sandbox sur Windows 11 : effectuez vos tests en toute sécurité dans un bac à sable

3 juillet 2025 à 17:56

Découvrez comment activer, configurer et utiliser Windows Sandbox sur Windows 11 pour tester des logiciels en toute sécurité, sans impacter votre système.

The post Windows Sandbox sur Windows 11 : effectuez vos tests en toute sécurité dans un bac à sable first appeared on IT-Connect.

Windows 10 : tout savoir sur le programme ESU (Extended Security Updates)

Par : Pierre Caer
3 juillet 2025 à 15:21
Le support officiel de Windows 10 prendra fin le 14 octobre 2025. Passée cette date, votre PC continuera de fonctionner, mais il ne recevra plus de mises à jour de sécurité ni de support technique de la part de Microsoft. Pour laisser plus de temps aux utilisateurs pour migrer vers Windows 11 ou acquérir un … Lire la suite

Source

DISM erreur 5 (accès refusé) : Les solutions

Par : malekalmorte
1 juillet 2025 à 07:00

Vous tentez d’utiliser l’outil DISM (Deployment Imaging Service and Management Tool) pour réparer Windows, mais vous êtes bloqué par l’erreur 5 – « Accès refusé » ? Ce message frustrant est courant, mais heureusement, il existe plusieurs méthodes simples et efficaces pour le résoudre.
Dans cet article, nous allons vous expliquer en détail les causes possibles de cette erreur et vous guider pas à pas vers les solutions adaptées. Découvrez comment exécuter DISM correctement et retrouver un système Windows pleinement fonctionnel.

Quelles sont les sources de l’erreur 5 sur DISM

Voici les raisons qui peuvent expliquer pourquoi DISM ne fonctionne pas correctement :

  • Commande non exécutée en tant qu’administrateur : C’est la cause la plus fréquente. DISM nécessite des privilèges élevés pour fonctionner. Notez que dans certains cas, cela peut venir d’un bug de l’UAC
  • Problèmes de permissions sur les fichiers système ou les dossiers utilisés : Si DISM tente d’accéder à un répertoire ou à un fichier protégé, il échouera sans les droits nécessaires.
  • Logiciel antivirus ou de sécurité : Certains antivirus peuvent bloquer les opérations système sensibles, comme celles de DISM.
  • Corruption du profil utilisateur : Un profil utilisateur endommagé peut empêcher l’exécution correcte de DISM.
  • Service ou dépendance non démarré(e) : Certains services Windows doivent être actifs pour que DISM fonctionne, comme le service « Windows Modules Installer ».
  • Système de fichiers endommagé : Des erreurs dans le système de fichiers peuvent bloquer l’accès à des composants nécessaires.

Comment corriger l’erreur 5 sur DISM

Exécuter l’invite de commandes en tant qu’administrateur :

  • Dans la recherche Windows, saisissez « Invite de commandes« 
  • Puis à droite, cliquez sur « Exécuter en tant qu’administrateur« 
Ouvrir invite de commandes en administrateur
  • Le contrôle des comptes utilisateurs (UAC) doit se déclencher et vous devez répondre Oui. Si ce dernier n’apparaît pas, il y a un problème.
UAC (contrôle de compte utilisateur) sur l'interpréteur de commandes

Plus de détails, comment ouvrir une invite de commandes en administrateur :

Vérifier les autorisations du dossier de destination

Une autre cause fréquente de l’erreur DISM 5 est un problème de permissions sur le dossier ou le fichier utilisé pendant l’opération. DISM peut tenter d’accéder à une ressource système protégée ou à un dossier dont les autorisations sont insuffisantes.

Quand ce problème se pose :

  • Vous utilisez l’option /ApplyImage, /CaptureImage ou /Mount-Image.
  • Vous spécifiez un chemin de destination personnalisé.
  • Le fichier .wim ou .esd se trouve sur un disque externe ou dans un dossier restreint.

Étapes de vérification et de correction :

  • Assurez-vous que vous avez les droits administrateur sur le dossier : Onglet Sécurité > Modifier > ajoutez votre compte utilisateur avec Contrôle total.
  • Évitez les dossiers système protégés : N’utilisez pas de chemins comme C:\Windows ou C:\Program Files. Préférez un dossier simple comme C:\DISM.
  • Exécutez CMD en tant qu’administrateur (même si vous avez accès au dossier).
Pour être sûr, créez un nouveau dossier à la racine de C:\, par exemple C:\DISM, et utilisez ce chemin dans vos commandes DISM.

Désactiver temporairement l’antivirus

Certains logiciels antivirus peuvent interférer avec les opérations de DISM.
Dans ce cas, désactivez temporairement votre antivirus et réessayez la commande.
Autre solution, tentez la commande depuis le mode sans échec : Comment démarrer Windows en mode sans échec.
Si cela fonctionne en mode sans échec, une application est la source de problèmes d’autorisations pour DISM.

Tentez la commande DISM depuis le compte administrateur intégré

Le compte administrateur intégré n’est pas soumis à l’UAC.
Si ce dernier pose un problème, vous pouvez contourner l’erreur 5 de DISM de cette manière.

Utiliser DISM depuis les options de récupération avancées (WinRE)

Si l’erreur DISM 5 persiste malgré l’exécution en tant qu’administrateur, il est conseillé d’exécuter DISM depuis l’environnement de récupération Windows (WinRE), où le système est moins chargé et les fichiers système ne sont pas verrouillés.
Étapes à suivre :

  • Redémarrer en mode de récupération :
  • Cliquez sur le menu Démarrer, maintenez Shift (Maj) enfoncé et sélectionnez Redémarrer.
  • Ou allez dans Paramètres > Mise à jour et sécurité > Récupération > Redémarrer maintenant sous « Démarrage avancé« .
  • Plus d’aide : Comment démarrer Windows dans les options de récupération
  • Accéder à l’invite de commandes : Dans les options de récupération, cliquez sur Dépannage > Options avancées > Invite de commandes.
  • Identifier la lettre de lecteur Windows :Tapez diskpart, puis list volume pour identifier la lettre de la partition contenant Windows (souvent D: au lieu de C:).
  • Tapez exit pour quitter diskpart.
  • Lancer DISM depuis WinRE avec l’option /Image. Par exemple :
dism /Image:D:\ /Cleanup-Image /RestoreHealth
DISM /Image:D:\ /Cleanup-Image /StartComponentCleanup

Réparer Windows

Tout d’abord, vous pouvez tenter de réparer les composants de Windows à l’aide de l’excellent utilitaire Windows Repair.
Si certains services ne démarrent pas ou sont corrompus, cela peut les réparer. De même si des permissions et autorisations de fichiers sont erronées.
Aidez-vous de ce guide complet : Windows Repair – outil de réparation de Windows.

Lorsque Windows est totalement endommagé et que les problèmes sont trop nombreux, vous pouvez tenter de réparer Windows 10, 11 sans perte de données et en conservant les programmes installés.
Cela permet de rétablir un système fonctionnel à partir des fichiers ISO et images de Windows.
La procédure est décrite pas à pas dans cet article :

Il s’agit d’une opération de réinitialisation et de remise à zéro qui supprime les applications et remet le système à son état d’origine.
C’est la solution radicale pour retrouver un système fonctionnel.
Pour cela :

  • Allez dans Paramètres > Mise à jour et sécurité > Récupération
  • Sous la section Réinitialiser ce PC, clique sur Commencer et choisis si tu veux conserver ou supprimer tes fichiers personnels

Les tutoriels :

Réinitialiser Windows

Consulter les journaux pour plus d’informations :

Les fichiers journaux de DISM peuvent fournir des détails supplémentaires sur l’erreur.

Vérifiez le fichier C:\Windows\Logs\DISM\dism.log pour des informations spécifiques.

Voici un exemple d’entrée de log :

2025-05-24 20:50:33, Info DISM DISM Package Manager: PID=13920 TID=12144 Error in operation: (null) (CBS HRESULT=0x80070005) - CCbsConUIHandler::Error
2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed finalizing changes. - CDISMPackageManager::Internal_Finalize(hr:0x80070005)
2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed processing package changes - CDISMPackageManager::StartComponentCleanupEx(hr:0x80070005)
2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed to start component cleanup. - CPackageManagerCLIHandler::ProcessCmdLine_CleanupImage(hr:0x80070005)
2025-05-24 20:50:33, Error DISM DISM Package Manager: PID=13920 TID=5276 Failed while processing command cleanup-image. - CPackageManagerCLIHandler::ExecuteCmdLine(hr:0x80070005)
2025-05-24 20:50:33, Info DISM DISM Package Manager: PID=13920 TID=5276 Further logs for online package and feature related operations can be found at %WINDIR%\logs\CBS\cbs.log - CPackageManagerCLIHandler::ExecuteCmdLine
2025-05-24 20:50:33, Error DISM DISM.EXE: DISM Package Manager processed the command line but failed. HRESULT=80070005

Ici, 0x80070005 = Access Denied (Accès refusé). Cela indique que DISM n’a pas les droits nécessaires pour finaliser les opérations de nettoyage d’image.

L’article DISM erreur 5 (accès refusé) : Les solutions est apparu en premier sur malekal.com.

Bootkit : malware du démarrage, comment il fonctionne et comment s’en protéger

Par : malekalmorte
29 juin 2025 à 11:59

Parmi les menaces les plus avancées et les plus difficiles à détecter, le bootkit occupe une place à part. Ce type de malware s’attaque à une phase critique du système : le démarrage de l’ordinateur, avant même que Windows ne soit chargé. En infectant le MBR (Master Boot Record) ou le firmware UEFI, un bootkit peut prendre le contrôle du PC dès l’allumage, cacher d’autres malwares et désactiver les protections de sécurité, tout en restant pratiquement invisible pour les antivirus classiques.

Dans cet article, nous allons vous expliquer :

  • ce qu’est un bootkit et comment il fonctionne,
  • pourquoi il est si difficile à détecter et à supprimer,
  • quels sont les exemples les plus connus (TDL4, BlackLotus, Petya…),
  • et comment vous protéger efficacement, notamment grâce au Secure Boot et à l’UEFI.

J’ai donc synthétisé pour vous tout ce qu’il faut savoir dans ce guide complet qui vous donnera une vue complète sur cette menace extrêmement furtive, mais bien réelle.

Qu’est-ce qu’un bootkit ?

Un bootkit (contraction de bootloader et rootkit) est un type de malware qui s’infiltre dans la phase de démarrage du système, bien avant que Windows ou tout autre OS ne soit complètement chargé. Il cible généralement :

Une fois installé, le bootkit peut dissimuler d’autres malwares, prendre le contrôle total du système, et intercepter des fonctions système critiques, tout en restant pratiquement invisible.

Comment fonctionne un bootkit et pourquoi sont-ils si difficiles à détecter ?

Un bootkit agit dès le démarrage de l’ordinateur, avant même que l’antivirus ou le noyau de Windows ne soient actifs. Il s’insère dans la chaîne de démarrage et charge un code malveillant en mémoire, qui peut ensuite :

  • injecter des composants malveillants dans le noyau (kernel),
  • contourner les contrôles d’intégrité,
  • cacher des fichiers, processus ou connexions réseau.

Ce fonctionnement bas-niveau permet au bootkit de prendre la main avant que les protections du système ne soient en mesure de le détecter. Il est donc très difficile à repérer et encore plus compliqué à supprimer sans un accès direct au firmware ou un environnement de secours.

Schéma de fonctionnement d'un bootkit

Ainsi, les bootkits ne s’exécutent pas dans le cadre normal du système d’exploitation. Cela signifie que :

  • les outils antivirus classiques ne peuvent pas les analyser, puisqu’ils sont actifs avant leur propre lancement,
  • certains bootkits utilisent des signatures numériques valides, leur permettant de contourner Secure Boot,
  • ils peuvent survivre à un formatage ou à une réinstallation de l’OS, si le secteur de démarrage ou le firmware n’est pas réinitialisé.

Que peut faire un bootkit ?

Les capacités d’un bootkit varient selon les cas, mais elles incluent généralement :

  • l’espionnage (keylogger, interception de trafic, vol d’identifiants),
  • le contrôle total du système, y compris l’élévation de privilèges,
  • la persistance extrême, même après un formatage classique,
  • l’installation silencieuse d’autres malwares (trojans, ransomwares…),
  • la manipulation de fonctions système, rendant la machine instable ou totalement compromise.

Certains de ces bootkits visaient le vol d’informations (TDL4, Rovnix), d’autres étaient conçus pour un impact destructif (Petya, NotPetya), tandis que les plus récents (BlackLotus, CosmicStrand) visent à cacher leur présence tout en servant de base à d’autres malwares (ransomware, spyware, etc.).

Exemples de bootkits connus

En MBR

Le MBR (Master Boot Record) était historiquement plus vulnérable aux attaques de bootkits pour plusieurs raisons techniques et structurelles :

  • Absence de vérification d’intégrité : Le BIOS (ancien firmware des PC) chargeait le MBR sans vérifier sa légitimité. Il n’existait ni signature cryptographique, ni système de validation par le constructeur
  • Facilité d’écriture pour un malware : Un malware pouvait utiliser des commandes système simples (\\.\PhysicalDrive0) pour écrire directement dans le MBR, sans besoin de privilèges élevés, ni alerte sécurité
  • Pas de Secure Boot à l’époque du MBR

De ce fait, de nombreux boookits ont vu le jour à partir de 2010.

TDL4 (Alureon) est un des bootkits les plus répandus dans les années 2010. Il infectait le MBR pour charger un rootkit au démarrage, permettant de cacher des fichiers, détourner le trafic réseau et désactiver les protections système. TDL4 représentait une menace durable sur Windows XP et Windows 7.

Rovnix est une autre menace de ce type modulaire découvert vers 2012. Il injectait du code dans le MBR et utilisait des techniques de persistance avancées. Il ciblait principalement les données bancaires, en interceptant les sessions de navigation.

Un cas très particulier : Petya est avant tout un ransomware, mais sa particularité est qu’il modifiait le MBR pour bloquer l’accès au système dès le démarrage. Plutôt que de chiffrer les fichiers individuellement, il remplaçait le bootloader Windows par un faux écran de vérification de disque, puis chiffrer la table MFT (Master File Table) du disque.
Même si ce n’est pas un bootkit classique (car il ne se cache pas et ne cherche pas à persister), Petya utilise les techniques des bootkits pour prendre le contrôle avant Windows, et en cela, il représente un cas hybride.

En UEFI

L’UEFI ajoute des mécanismes de sécurité qui visent à rendre l’installation de bootkit plus difficile.
Toutefois, des bootkits UEFI existent.

LoJax a été découvert en 2018 par les chercheurs d’ESET. Il s’agit du premier malware UEFI observé à l’état sauvage, utilisé dans une campagne ciblée d’espionnage attribuée au groupe de cyberespionnage APT28 (Fancy Bear), lié à la Russie.
LoJax ne s’attaquait pas au système Windows directement, mais au firmware UEFI, en modifiant le contenu de la partition système EFI (ESP).

Processus d'infection du rootkit UEFI Lojak
source https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf

Le bootkit CosmicStrand, découvert dans le firmware de cartes mères modifiées, ce bootkit UEFI injecte un malware en mémoire lors du boot. Il prouve que les pirates peuvent compromettre un PC dès le firmware, même si le disque est remplacé ou Windows réinstallé.

Puis BlackLotus , l’un des bootkits UEFI les plus redoutés. Il exploite une faille (CVE-2022-21894) pour désactiver Secure Boot, bypasser BitLocker, et installer une charge persistante dès le démarrage. Il fonctionne même sur des machines modernes entièrement à jour. Il s’agit d’un malware vendu à l’origine sur les forums underground, signalant un tournant dans la sophistication des bootkits UEFI.

Comment s’en protéger ?

La meilleure défense contre les bootkits repose sur une combinaison de bonnes pratiques, de paramétrage firmware et de technologies modernes.

Activer Secure Boot

Les bootkits tirent leur force du fait qu’ils s’exécutent avant le système d’exploitation, en s’insérant dans le processus de démarrage (MBR ou UEFI). Pour contrer cette menace, Microsoft a introduit, à partir de Windows 8, deux mécanismes complémentaires : Secure Boot et ELAM (Early Launch Anti-Malware). Ensemble, ils forment une chaîne de confiance conçue pour empêcher tout code non autorisé de s’exécuter au démarrage.

Secure Boot est une fonctionnalité de l’UEFI qui vérifie, au moment du démarrage, que chaque composant chargé (bootloader, noyau, drivers critiques) est signé numériquement par un éditeur approuvé (Microsoft ou OEM).
Si un fichier EFI a été modifié ou s’il ne possède pas de signature valide, le firmware bloque son exécution (Security Violated).
Cela vise notamment à corriger le problème d’absence de vérification d’intégrité présent dans MBR.

Voilà pourquoi il est totalement contre-indiqué de désactiver le Secure boot

ELAM (Early Launch Anti-Malware) est un pilote antivirus spécial lancé avant les pilotes tiers lors du démarrage de Windows.
Son rôle est de scanner les pilotes qui se chargent très tôt (y compris ceux injectés par un bootkit) et de bloquer ceux qui sont malveillants ou suspects.
Même si un bootkit contourne Secure Boot ou s’insère plus loin dans la chaîne de démarrage, ELAM peut intercepter son action au moment où il tente d’injecter un composant malveillant dans le noyau de Windows.

C’est une défense essentielle pour empêcher le chargement de code non autorisé au démarrage.
Cela fait partie de la stratégie de Microsoft pour rendre son OS plus sûr.
Plus de détails : Windows 11 et 10 : évolutions des protections de sécurité intégrées contre les virus et malwares
Enfin, à lire : Qu’est-ce que le Secure boot la protection des PC UEFI et comment ça marche ?

Trusted Boot Architecture dans Windows

Maintenir le firmware à jour

Les fabricants de cartes mères publient régulièrement des mises à jour UEFI/BIOS pour corriger des failles exploitables par des bootkits.

Il est donc recommandé de :

  • Maintenir à jour le BIOS est donc essentiel
  • Installez les mises à jour de sécurité de Windows. Microsoft peut publier des mises à jour du firmware EFI via Windows Update
  • Installez les mises à jour proposées dans les outils des fabricants de PC OEM

Utiliser un antivirus avec protection UEFI

Certains antivirus avancés (comme ESET, Kaspersky, Bitdefender ou Windows Defender sur machines compatibles) scannent le firmware UEFI pour détecter d’éventuelles modifications.

Éviter les ISO ou installeurs non vérifiés

Les bootkits peuvent être installés via des supports compromis : clés USB modifiées, ISO piégés, ou systèmes pré-infectés.
Le risque notamment est lorsque l’on installe une version modifiée de Windows.
Vous n’êtes pas certains que l’auteur y a inséré un malware et notamment un bootkit.

Toujours utiliser des sources officielles.

Utiliser des outils spécialisés de détection

Des outils comme UEFItool, CHIPSEC, ou des antivirus à démarrage sécurisé (bootables) peuvent analyser l’intégrité du firmware.

Comment supprimer un bootkit ?

La suppression d’un bootkit est complexe et dépend du type de système infecté :

  • Pour les anciens systèmes MBR : réinitialiser le MBR, puis formater complètement le disque.
  • Pour les systèmes UEFI : réinitialiser le BIOS/UEFI aux paramètres d’usine, flasher le firmware si nécessaire, puis réinstaller l’OS avec Secure Boot actif.

Dans certains cas, utilisez des outils de secours bootables, comme :

  • Microsoft Defender Offline,
  • ESET SysRescue Live,
  • ou un LiveCD Linux spécialisé dans l’analyse firmware.

Rootkit et bootkit : quelle est la différence ?

Un rootkit est un malware furtif qui s’exécute dans le système d’exploitation, souvent au niveau noyau (kernel mode), et qui sert à masquer d’autres fichiers, processus ou connexions. Il se charge après Windows.
Au tour des années 2007, il fallait utiliser des outils comme GMER ou TDSKiller de Kaspersky pour détecter ce type de malware.
De son côté, un bootkit, lui, est une extension du rootkit, mais encore plus bas niveau : il s’infiltre dans le processus de démarrage, avant Windows, ce qui lui donne un contrôle total sur la machine dès l’allumage.

CritèreRootkitBootkit
EmplacementNoyau de Windows, pilotes, services, registreMBR, secteur de démarrage, firmware UEFI
Moment d’exécutionAprès le démarrage du système (post-boot)Avant ou pendant le démarrage du système (pre-boot)
Objectif principalCacher d’autres malwares, manipuler le systèmeContrôler la phase de boot, injecter du code très tôt
Mode d’actionInjection dans des processus ou des pilotesRemplacement ou modification du bootloader
FurtivitéTrès élevée, mais dépend de la version de l’OSExtrême : le malware agit avant que le système ne se charge
PersistancePersistant jusqu’à nettoyage ou désactivationPeut survivre à un formatage de disque
DétectionPossible avec outils avancés (antirootkits, EDR)Très difficile sans analyse firmware ou scan UEFI

Liens

L’article Bootkit : malware du démarrage, comment il fonctionne et comment s’en protéger est apparu en premier sur malekal.com.

ESU Windows : comment continuer à recevoir des mises à jour de sécurité après la fin de support

Par : malekalmorte
28 juin 2025 à 07:49

Lorsque Microsoft met fin au support d’une version de Windows, cela signifie que le système ne recevra plus de mises à jour de sécurité, exposant les utilisateurs à de potentielles vulnérabilités. Pour répondre à cette problématique, Microsoft propose un programme appelé ESU (Extended Security Updates), ou mises à jour de sécurité étendues.

Ce dispositif permet de prolonger la durée de vie d’un système d’exploitation au-delà de sa fin de support officielle, en continuant à livrer des correctifs critiques, sous certaines conditions. Il est particulièrement utile pour les entreprises, les organisations, ou les particuliers qui ne peuvent pas migrer immédiatement vers une version plus récente de Windows.

Dans cet article, nous vous expliquons ce que sont les ESU, à quoi elles servent, qui peut en bénéficier, dans quels cas elles sont gratuites ou payantes, et comment les activer si vous utilisez encore Windows 10 après 2025.

Qu’est-ce que les mises à jour de sécurité étendues (ESU) de Microsoft ?

Lorsqu’un système d’exploitation Microsoft arrive en fin de support, il ne reçoit plus de mises à jour, ce qui expose ses utilisateurs à des vulnérabilités non corrigées. Pour pallier cette situation, Microsoft propose un programme appelé ESU – Extended Security Updates (mises à jour de sécurité étendues).

Ce programme permet aux utilisateurs et aux entreprises de continuer à recevoir des correctifs de sécurité critiques pendant une période définie après la fin du support officiel, tout en leur laissant plus de temps pour préparer une migration vers une version plus récente de Windows.

La page de Microsoft : https://learn.microsoft.com/fr-fr/windows/whats-new/extended-security-updates

Pourquoi les ESU existent-ils ?

Dans les faits, des millions de machines continuent d’utiliser des versions de Windows qui ne sont plus supportées officiellement (comme ce fut le cas pour Windows 7, puis bientôt Windows 10). Or, ces systèmes restent souvent connectés à Internet et donc vulnérables à des attaques si aucune mise à jour de sécurité n’est appliquée.

Les ESU sont donc un compromis proposé par Microsoft pour :

  • prolonger la durée de vie de l’OS, de façon sécurisée,
  • donner plus de temps aux entreprises pour migrer (équipements critiques, logiciels non compatibles, etc.),
  • éviter une vague massive de machines non protégées, notamment dans les infrastructures sensibles (éducation, santé, collectivités).

Que couvrent les ESU ?

Les mises à jour ESU se concentrent uniquement sur les mises à jour de sécurité critiques et importantes, selon la classification CVSS de Microsoft. Elles ne contiennent :

  • aucune nouvelle fonctionnalité,
  • aucune mise à jour esthétique ou ergonomique,
  • et aucune évolution des composants système non critiques.

Elles corrigent toutefois les failles de sécurité graves, notamment :

  • les vulnérabilités de type exécution de code à distance (RCE),
  • les failles d’escalade de privilèges,
  • ou les attaques réseau exploitables à distance.

Comment bénéficier du programme ESU et comment l’activer ?

Pour bénéficier des mises à jour de sécurité étendues (ESU) sur un système Windows arrivé en fin de support, il est nécessaire d’activer le programme ESU sur la machine concernée. Cela se fait en installant une clé d’activation spécifique, fournie par Microsoft via les canaux appropriés (abonnement Microsoft 365 pour les particuliers, ou Volume Licensing/Intune pour les entreprises).

Le fonctionnement dépend du type d’utilisateur mais les pré-requis sont les mêmes.

  • S’assurer que l’appareil exécute une version éligible de Windows (ex : Windows 10, édition Professionnelle ou Entreprise, version 22H2).
  • Installer les mises à jour préparatoires ESU, disponibles via Windows Update ou le Microsoft Update Catalog. Ces correctifs sont nécessaires pour permettre à la machine de reconnaître la clé ESU.

Pour les particuliers avec Microsoft 365, cela se fait automatiquement via leur compte Microsoft connecté à l’appareil.

Pour les particuliers :

  • Microsoft n’avait pas proposé d’ESU pour les particuliers avec Windows 7.
  • Mais pour Windows 10, les ESU seront gratuits jusqu’en 2028 pour les utilisateurs disposant d’un abonnement Microsoft 365 Personnel ou Famille (à partir d’octobre 2025).
  • Il suffira d’être connecté avec son compte Microsoft lié à l’abonnement pour recevoir les mises à jour automatiquement via Windows Update.

Pour les entreprises :

  • Les ESU sont disponibles via des programmes payants, accessibles via :
    • Microsoft Volume Licensing
    • Microsoft Intune (via Endpoint Manager)
    • Azure Arc ou Windows Autopatch
  • L’abonnement ESU est annuel, avec des tarifs progressifs chaque année (souvent +100 % par an).
  • L’entreprise doit activer une clé spéciale ESU sur chaque machine concernée pour recevoir les mises à jour.
  • Pour activer la licence ESU en entreprises, il faut utiliser la commande slmgr pour activer la clé ESU (clé MAK) :
slmgr /ipk
slmgr /ato
  • Redémarrez l’ordinateur, puis vérifiez que le système accepte désormais les mises à jour ESU via Windows Update.
  • Microsoft propose également une activation automatique via Azure Arc, Intune, ou Windows Autopatch dans les environnements professionnels, pour simplifier le déploiement à grande échelle.

La page de Microsoft : https://learn.microsoft.com/fr-fr/windows/whats-new/enable-extended-security-updates

Quelles versions de Windows ont été concernées par l’ESU ?

Voici les systèmes qui ont bénéficié (ou vont bénéficier) du programme ESU :

Version de WindowsFin de support officielleESU disponible ?Durée supplémentaire
Windows 701/01/20Oui (payant)Jusqu’en janvier 2023
Windows Server 2008 / R201/01/20Oui (payant)Jusqu’en janvier 2023
Windows 1001/10/25Oui (gratuit via Microsoft 365 pour particuliers, payant pour entreprises)Jusqu’en octobre 2028

Que se passe-t-il si je ne prends pas l’ESU ?

Si vous continuez d’utiliser un système sans ESU après sa fin de support :

  • Vous ne recevrez plus aucune mise à jour de sécurité,
  • Vous serez plus exposé aux attaques (exploitations de failles connues),
  • Certaines applications (navigateurs, outils bancaires, logiciels tiers) refuseront progressivement de s’exécuter sur une version obsolète de Windows.

FAQ – Mises à jour de sécurité prolongées pour Windows 10 (ESU)

Que sont les mises à jour de sécurité étendues (ESU) ?

Les ESU permettent de continuer à recevoir des correctifs de sécurité critiques même après la fin de support officielle du système. Ce programme a déjà été utilisé pour Windows 7.

Les mises à jour ESU sont-elles gratuites ?

Oui, pour les particuliers : les utilisateurs de Windows 10 ayant un abonnement Microsoft 365 Personnel ou Famille recevront gratuitement les mises à jour de sécurité ESU jusqu’en octobre 2028.
En revanche, les entreprises devront payer un abonnement annuel ESU.

Je suis une entreprise : comment obtenir les mises à jour après 2025 ?

Les entreprises devront souscrire aux ESU via Microsoft Volume Licensing ou une gestion de parc via Intune ou Windows Autopatch. Le tarif n’a pas encore été officiellement communiqué, mais il devrait être progressif (plus élevé chaque année).

Faut-il réinstaller ou faire une manipulation pour activer les ESU ?

Non. Pour les particuliers avec Microsoft 365, les mises à jour continueront via Windows Update, à condition d’être connecté à un compte Microsoft valide. Aucune manipulation complexe n’est nécessaire.

Fin de support de Windows 10 et ESU (Extened Security Updates)

L’article ESU Windows : comment continuer à recevoir des mises à jour de sécurité après la fin de support est apparu en premier sur malekal.com.

Fin de Windows 10 : comment obtenir les mises à jour gratuitement ou pour 30 $ ?

26 juin 2025 à 07:52

Windows 10 de MicrosoftLa fin de Windows 10 est programmée pour octobre 2025. Microsoft propose cependant des options gratuites pour continuer à recevoir les mises à jour jusqu’en 2026.

Cet article Fin de Windows 10 : comment obtenir les mises à jour gratuitement ou pour 30 $ ? a été publié en premier par GinjFo.

❌
❌