Tech & Informatique

Faux positifs Microsoft Defender : comment les diagnostiquer et les corriger en 2026

Les faux positifs de Microsoft Defender en 2026 posent de sérieux défis pour les entreprises. Cet article explore leur impact et propose des solutions pour optimiser la sécurité.

Microsoft Defender détecte un fichier que vous savez sain ? Un installeur métier signé, un script PowerShell maison, un outil sysadmin légitime ? C’est un faux positif. Ce guide explique comment confirmer le diagnostic et débloquer la situation proprement, sans désactiver l’antivirus pour autant.

Méthode en 4 étapes. 1) Confirmer que c’est bien Defender via Event Viewer (et pas un autre EDR), 2) identifier la signature exacte de la détection (Trojan:Win32/X, PUA, etc.), 3) créer une exclusion ciblée par signature ou par chemin, 4) soumettre l’échantillon au Microsoft Malware Protection Center pour un fix de la base de signatures.

Comment confirmer qu’il s’agit d’un faux positif Defender

Avant tout : un fichier suspect doit être suspect jusqu’à preuve du contraire. Confirmez-vous deux choses avant de créer une exclusion :

  • L’éditeur est de confiance. Le binaire est signé numériquement par une entité connue (vérifiez le clic droit → Propriétés → Signatures numériques), il vient d’un canal de distribution officiel (site éditeur en HTTPS, repo signé), pas d’un téléchargement reçu par mail ou Discord.
  • Le verdict est isolé. Uploadez le fichier sur VirusTotal. Si Microsoft est le SEUL des 70+ moteurs à détecter quelque chose, c’est le scénario typique du faux positif. Si 10+ moteurs détectent, traitez-le comme une vraie menace.

Le cas inverse arrive aussi : ce qui ressemble à un faux positif est parfois un vrai malware embarqué dans un outil légitime (typosquatting, supply-chain compromise). Le check VirusTotal règle la question en 30 secondes.

Récupérer la signature exacte de la détection

Le nom de la menace conditionne la suite. Defender utilise une nomenclature standardisée : Catégorie:Plateforme/Famille.Variante!Suffixe. Par exemple Trojan:Win32/Wacatac.B!ml (le suffixe !ml signifie détection par machine learning, plus sujette aux faux positifs) ou PUA:Win32/Presenoker (PUA = Potentially Unwanted Application, souvent un outil de monitoring qu’un sysadmin a installé).

Pour récupérer la signature exacte, deux chemins :

  • GUI Windows Security → Protection contre les virus et menaces → Historique de la protection → cliquez sur l’événement.
  • PowerShell (plus rapide quand vous avez accès admin) : 
    Get-MpThreatDetection | Select-Object DetectionID, ThreatName, Resources, ActionSuccess | Format-Table -AutoSize

Notez précisément la ThreatName et le chemin du fichier (Resources). Vous en aurez besoin à l’étape 3 et pour le rapport au MMPC.

Créer une exclusion ciblée (sans baisser la garde)

Une exclusion mal posée crée un trou de sécurité. Defender propose 4 types d’exclusions ; choisissez le plus restrictif possible :

Type d’exclusion Quand l’utiliser Risque
ThreatID (Allowed Threats) Faux positif sur une signature précise — meilleure option si l’ID est stable Minimal
Hash de fichier Un binaire unique à autoriser, sans dépendre du chemin Faible — caché par modification du fichier
Chemin de fichier Outil métier dans un dossier dédié (C:\Programs\MyTool\) Modéré — n’importe quel fichier dans le dossier passe
Processus Programme parent qui légitime ses fichiers enfants Élevé — à éviter sur les binaires standards (cmd.exe, powershell.exe…)

Commandes PowerShell (admin) — choisissez UNE de ces lignes selon le type d’exclusion :

# 1. Exclusion par ThreatID (récupéré via Get-MpThreatDetection)
Set-MpPreference -ThreatIDDefaultAction_Ids 1234567 -ThreatIDDefaultAction_Actions 6

# 2. Exclusion par chemin (dossier complet ou fichier précis)
Add-MpPreference -ExclusionPath "C:\Programs\MyTool\"
Add-MpPreference -ExclusionPath "C:\Programs\MyTool\custom-script.ps1"

# 3. Exclusion par extension (large — à éviter sauf cas spécifique)
Add-MpPreference -ExclusionExtension ".myext"

# 4. Exclusion par processus (autorise les fichiers créés par ce processus)
Add-MpPreference -ExclusionProcess "C:\Programs\MyTool\engine.exe"

# Vérifier l'état des exclusions actuelles
Get-MpPreference | Select-Object ExclusionPath, ExclusionExtension, ExclusionProcess

Préférez l’exclusion par chemin précis ou par ThreatID. Le hash est utile pour un fichier transmis ponctuellement.

Restaurer un fichier déjà mis en quarantaine

Si Defender a déjà mis le fichier en quarantaine, créer l’exclusion ne suffit pas — il faut aussi le sortir manuellement. Dans Windows Security → Historique de la protection → cliquez sur la détection → bouton ActionsRestaurer.

En CLI, c’est MpCmdRun.exe dans C:\Program Files\Windows Defender\ :

# Lister les fichiers en quarantaine
& "C:\Program Files\Windows Defender\MpCmdRun.exe" -Restore -ListAll

# Restaurer un fichier spécifique par nom de menace
& "C:\Program Files\Windows Defender\MpCmdRun.exe" -Restore -Name "Trojan:Win32/Wacatac.B!ml"

# Restaurer tous les fichiers (à utiliser uniquement après avoir créé les exclusions !)
& "C:\Program Files\Windows Defender\MpCmdRun.exe" -Restore -All

Sans exclusion préalable, le fichier sera re-mis en quarantaine au prochain scan. L’ordre compte : exclusion d’abord, restauration ensuite.

Soumettre l’échantillon au Microsoft Malware Protection Center

L’exclusion résout votre poste, mais le faux positif reste pour tous les utilisateurs Defender du monde. La bonne pratique est de soumettre l’échantillon à Microsoft Security Intelligence — File submission. Si Microsoft confirme le faux positif, la signature est retirée de la base sous 24-72h et tout le monde en profite.

La soumission demande :

  • Le fichier (ou son archive avec mot de passe “infected” si la couche réseau bloque la transmission).
  • La signature détectée (ThreatName).
  • La version du moteur Defender (Get-MpComputerStatus | Select AntimalwareClientVersion, AMEngineVersion, AntivirusSignatureVersion).
  • Une description courte du contexte (éditeur, usage du fichier, pourquoi vous le considérez sain).

Préférez la soumission via votre compte Microsoft Defender for Endpoint si vous l’avez : la réponse arrive sous 24h en moyenne, contre 3-5 jours en file gratuite.

Quand le faux positif vient du Cloud Protection (verdict ML)

Defender renvoie de plus en plus de détections marquées !ml (machine learning) ou .A!cl (cloud), parfois BehaviorAlerts.Win32. Ces verdicts sont calculés en temps réel par les classifieurs Microsoft sur le cloud — ils ne viennent pas de votre base de signatures locale. Conséquence : modifier le binaire d’un seul octet change le hash et fait disparaître la détection, ce qui peut faire croire à un fix alors que le classifieur la re-déclenchera au prochain build.

La seule vraie correction passe par la soumission MMPC. En attendant, si vous compilez ce binaire en CI/CD, ajoutez l’exclusion par chemin sur le runner build pour éviter que la pipeline tombe à chaque exécution.

FAQ : les questions qui reviennent

Pourquoi désactiver Defender complètement n’est pas la solution ?

Désactiver la protection en temps réel rend tout le poste exposé, pas juste le faux positif. Une exclusion ciblée règle le problème sur le seul fichier ou dossier concerné, en gardant le reste protégé. Sur Windows 11, désactiver entièrement Defender via Stratégie de groupe nécessite aussi de désactiver Tamper Protection — un signal pour les attaquants si la machine est compromise par la suite.

Mon exclusion a été ajoutée puis a disparu après quelques jours, pourquoi ?

Sur les machines gérées via Intune ou un GPO, les exclusions locales sont écrasées par la politique d’entreprise au prochain enregistrement. Vous devez créer l’exclusion dans Intune (Endpoint Security → Antivirus → Windows Security Experience) ou demander à votre admin AD de la pousser via GPO.

Existe-t-il un journal central des exclusions Defender ?

Oui. Get-MpPreference | Format-List Exclusion* donne l’état actuel sur la machine. Côté Microsoft Defender for Endpoint, les exclusions appliquées par politique sont consultables dans le portail security.microsoft.com → Endpoints → Policies → Antivirus policies. Pensez à les auditer trimestriellement : une exclusion ajoutée pour un projet pilote et oubliée 18 mois plus tard reste un trou de sécurité.

Mon retour terrain

La majorité des faux positifs que je rencontre sur des postes Windows 11 entreprise tombent sur trois familles : les scripts PowerShell de monitoring maison (Defender les classe en PUA:Win32/Presenoker ou HackTool), les binaires .NET non signés produits par des CI internes (Trojan:Win32/Wacatac.B!ml), et les utilitaires open-source de sysadmin type PsExec, NirSoft, certains outils Sysinternals (verdicts HackTool:Win32/Mimikatz erronés sur des outils proches mais légitimes).

Pour ces trois cas, l’exclusion par chemin du dossier outils + signature du binaire interne avec un certificat de l’entreprise règle 90 % des occurrences. Pour le reste, la soumission MMPC est la seule voie propre — comptez 48h en moyenne avant que la signature soit retirée pour tout le monde.

Pour suivre les évolutions des bases de signatures Defender, le portail Microsoft Defender Security Intelligence Updates publie les changelogs de chaque release.

Vous aimerez aussi

Les outils indispensables pour le télétravail
Astuces pratiques pour optimiser votre espace numérique
Santé mentale et télétravail : enjeux actuels