Après la dernière mise à jour Windows, un avertissement inquiétant s’affiche : « phymem64.sys driver cannot load ». Cet article explique en détail ce que signifie cette alerte, pourquoi elle apparaît et, surtout, comment la faire disparaître définitivement sans compromettre la stabilité de votre système.
Vue d’ensemble de l’erreur « phymem64.sys driver cannot load »
phymem64.sys est un pilote 64 bits hérité qui permettait jadis à certains utilitaires de capturer ou d’écrire directement dans la mémoire physique. Parce qu’il ouvre la porte à des accès privilégiés non autorisés, Microsoft l’a ajouté à la liste des pilotes vulnérables bloqués par Windows Defender Application Control (WDAC), HVCI/Memory Integrity et Smart App Control. Dès qu’un composant de sécurité détecte que ce pilote doit se charger, il l’interdit et génère l’événement système affiché sous forme de toast :
phymem64.sys: driver cannot load (Windows blocked a vulnerable driver)- Composant critique ? Non : Windows ne s’appuie plus sur ce pilote depuis longtemps.
- Dangereux ? Potentiellement : il fournit un accès direct à la mémoire et peut être exploité par des logiciels malveillants.
- Objectif de la suppression : éliminer le binaire, ses clés de registre et toute tâche planifiée ou service qui tente encore de le charger afin de faire disparaître l’alerte et d’empêcher une réinstallation furtive.
Pourquoi le message apparaît‑il après chaque mise à jour ?
Lors d’un Patch Tuesday ou d’un refresh semestriel, Windows réinitialise les politiques de chargement de pilotes et met à jour sa base de données de signatures d’attaques (MSRT et Microsoft Defender). À chaque redémarrage post‑mise à jour, le système vérifie l’ensemble des points d’autorun (services, pilotes, tâches planifiées, clés Run et modules tiers). S’il repère encore une tentative de chargement de phymem64.sys, il le bloque et inscrit l’événement Event ID 225 ou 7000 dans le journal System. Tant que le binaire ou son entrée d’enregistrement persiste, l’alerte réapparaît.
Résumé rapide des risques
- Escalade de privilèges (EoP) : un utilisateur non‑administrateur peut obtenir un accès ring 0.
- Contournement d’EDR : certains malwares utilisent ce pilote pour lire/écrire dans la mémoire noyau et neutraliser les hooks d’outils de sécurité.
- Compatibilité logicielle : aucun composant Windows pris en charge n’a besoin de ce pilote ; sa suppression n’impacte ni le démarrage ni les périphériques.
Procédure en six étapes pour éliminer définitivement phymem64.sys
| Étape | Action détaillée | But / Résultat |
|---|---|---|
| 1 | Identifier le pilote : • Ouvrez PowerShell (Admin). • Exécutez : gp "HKLM:\SYSTEM\CurrentControlSet\Services" | Where-Object { $_.PSChildName -eq "phymem64" }• Cherchez également le fichier dans C:\Windows\System32\drivers.• Vérifiez l’enregistrement du service : sc.exe query phymem64 | Confirmer l’existence du service ou du binaire. |
| 2 | Supprimer les entrées d’autorun : • Téléchargez Autoruns for Windows (Sysinternals). • Exécutez Autoruns64.exe en tant qu’admin.• Dans la zone de recherche, tapez « phymem64.sys ». • Décochez ou supprimez chaque ligne trouvée : Drivers, Services, Scheduled Tasks. | Éviter que Windows ne tente plus de charger le pilote au démarrage. |
| 3 | Retirer le pilote du store : • Installez Driver Store Explorer (RAPR). • Lancez‑le avec privilèges élevés. • Cliquez sur Enumerate puis triez par nom. • Cochez le package contenant phymem64.inf (ou similaire).• Cliquez sur Delete Package. | Bloquer une réinstallation silencieuse à partir du cache. |
| 4 | Désactiver le service (si présent) :sc.exe config phymem64 start= disabled | Forcer Windows à cesser toute tentative de chargement via SCM. |
| 5 | Désinstaller le logiciel source : • Ouvrez Applications et fonctionnalités. • Recherchez d’anciens convertisseurs vidéo (Moyea All‑In‑One Downloader, Odysee Video Grabber, etc.). • Désinstallez‑les. • Contrôlez également vos navigateurs : certaines barres d’outils les installaient encore. | Supprimer la racine du problème pour de bon. |
| 6 | Redémarrer et contrôler : • Ré‑ouvrez l’Observateur d’événements. • Vérifiez qu’aucun nouvel événement 225/7000 n’est généré. • Optionnel : exécutez fltmc filters | find "phymem" pour confirmer l’absence du pilote. | Valider la disparition de l’alerte. |
Illustration pas à pas
Chaque utilitaire cité possède un mode portable : vous pouvez donc travailler depuis un compte standard, puis passer l’élévation UAC uniquement au moment voulu. Conservez les binaires d’Autoruns et de RAPR sur une clé USB ; ainsi, en cas de nouvelle apparition du pilote (par ex. après la réinstallation du logiciel incriminé par un collègue), vous pourrez ré‑appliquer la procédure en quelques minutes.
Analyses complémentaires pour administrateurs et SOC
1) Retrouver l’origine exacte du binaire
Dans un environnement d’entreprise, utilisez votre EDR ou Advanced Hunting (Microsoft Defender XDR) :
DeviceFileEvents
| where FileName == "phymem64.sys"
| project Timestamp, DeviceName, FolderPath, InitiatingProcessFileName, InitiatingProcessCommandLineVous identifierez rapidement la machine et le processus qui ont injecté ou décompressé le pilote.
2) Surveiller la ré‑apparition
- Activez la règle d’attaque Suspicious vulnerable driver loaded dans votre SIEM.
- Créez un déclencheur d’alerte sur l’
EventID 225issu du journal System. - Activez la protection Vulnerable Driver Blocklist dans les GPO (« Turn On Virtualization Based Security » → Secure Boot with DMA Protection).
Questions fréquentes (FAQ)
Puis‑je simplement ignorer l’avertissement ? Techniquement oui ; Windows bloque déjà le pilote. Mais tant que le binaire, le service ou la tâche planifiée restent présents, le pop‑up reviendra à chaque mise à jour. De plus, laisser un composant vulnérable sur le disque est contraire aux bonnes pratiques de sécurité. La suppression peut‑elle casser un logiciel qui en dépend ? Les applications modernes n’utilisent plus phymem64.sys. Si vous avez un vieux ripper DVD ou un téléchargeur de streaming nécessitant ce pilote, il vaut mieux trouver une alternative à jour. Qu’en est‑il de la version 32 bits phymem.sys ? Même combat : elle est également bloquée. Les étapes ci‑dessus s’appliquent, en remplaçant le nom du fichier. Puis‑je bloquer d’autres pilotes vulnérables de la même façon ? Oui. Activez HVCI (Intégrité de la mémoire) dans Paramètres ► Sécurité Windows ► Sécurité des appareils ► Isolation du noyau. Vous pouvez aussi importer la liste recommandée de Microsoft Defender Application Control pour empêcher le chargement de centaines de pilotes dangereux connus.
Prévention : adopter une hygiène logicielle irréprochable
- Sources fiables uniquement : installez vos drivers depuis Windows Update ou le portail OEM.
- Gardez HVCI activé : sur Windows 11, il est activé par défaut sur le matériel récent.
- Mettez Microsoft Defender à jour : définitions et moteur moindrement >1 fois/jour.
- Inventoriez les pilotes : un simple script PowerShell qui extrait
driverquery /FO CSV /NHdans un fichier centralisé suffit à repérer les binaires obsolètes. - Appliquez le principe du « least privilege » : si l’utilisateur courant ne peut pas installer de logiciel, il ne pourra pas déposer un pilote vulnérable.
Conclusion
L’erreur « phymem64.sys driver cannot load » témoigne du bon fonctionnement des mécanismes de défense de Windows. Cependant, pour éliminer l’alerte et supprimer le risque lié à ce composant obsolète, il faut nettoyer le système : repérer, désactiver et effacer le pilote, ses références et le logiciel qui l’a installé. En appliquant la méthode détaillée dans cet article — Autoruns, Driver Store Explorer, désactivation du service puis désinstallation de l’application source — vous faites disparaître le message et renforcez la posture de sécurité de votre machine.
Enfin, restez vigilant : les pilotes vulnérables constituent l’une des principales voies d’escalade utilisées par les attaquants. Maintenir Windows, vos pilotes et vos applications à jour, et activer les protections comme HVCI ou WDAC, est indispensable pour contrer ce vecteur.