Introduction : Depuis la mise à jour 22H2, Windows 11 active par défaut l’Isolateur de noyau et la fonction « Local Security Authority (LSA) protection ». De nombreux utilisateurs découvrent alors, à chaque redémarrage, une alerte indiquant qu’un pilote non approuvé – le plus souvent mdnsNSP.dll installé avec Bonjour/iTunes – a été bloqué. Cet article explique en détail l’origine du problème, les risques réels, et surtout les solutions techniques — manuelles ou automatisées — pour ramener l’Intégrité de la mémoire au vert sans désinstaller complètement iTunes.
Pourquoi apparaît l’alerte LSA ?
LSA protection place le processus lsass.exe dans une enclave sécurisée (Virtualization‑Based Security). Tout module chargé dans ce contexte doit porter une signature Microsoft Hardware Compatibility Publisher (WHCP) ou être approuvé via la base Azure de Microsoft Defender Application Control.
Les versions de Bonjour antérieures à 3.1.0.0 déploient mdnsNSP.dll signée avant l’introduction du nouveau format de signature (SHA‑2 + EV). Résultat : dès que l’Isolateur de noyau vérifie la bibliothèque au démarrage, il la bloque et signale l’événement 3075 dans le journal Microsoft‑Windows‑CodeIntegrity/Operational.
Symptômes détaillés
- Alerte jaune « Protection de l’Autorité de sécurité locale » ou « La mémoire n’est pas entièrement protégée » dans Sécurité Windows ► Sécurité de l’appareil ► Isolation du noyau.
- Ligne mdnsNSP.dll – Non approuvé dans Détails de l’intégrité de la mémoire.
- Événement
CodeIntegrity 3034ou3075indiquant un refus de chargement. - Fonctionnalité de découverte réseau (AirPlay, AirPrint…) fonctionnelle : Bonjour continue de tourner en espace utilisateur, seule la résolution via fournisseur NSP est bloquée.
Tableau récapitulatif des solutions
| Action | Effet recherché | Détails pratiques |
|---|---|---|
| Mise à jour complète d’iTunes (incluant Bonjour) | Remplacer mdnsNSP.dll par une version signée SHA‑2 | Télécharger le programme d’installation d’iTunes pour Windows 64 bits sur le site d’Apple, exécuter en sur‑installation. La version 12.13.1.3 ou ultérieure embarque Bonjour 3.1.0.1 conforme WHCP. |
| Désinstaller puis réinstaller Bonjour uniquement | Éviter de toucher à la base de données iTunes | Désinstallez « Bonjour » via Paramètres ► Applications. Téléchargez le setup d’iTunes, ouvrez‑le avec 7‑Zip, extrayez Bonjour64.msi. Installez le MSI extrait ; il déploie la version signée sans réinstaller iTunes. |
| Script d’automatisation (Intune / GPO / PowerShell) | Gérer un parc complet sans intervention manuelle | Exécuter un script qui : 1) Télécharge le dernier package AppleSoftwareUpdate.msi ; 2) Vérifie la chaîne de certification SHA‑2 ; 3) Met à jour silencieusement Bonjour64.msi puis redémarre.Exemple d’appel : Start-Process msiexec.exe -ArgumentList '/i Bonjour64.msi /qn /norestart'. |
| Ignorer ou masquer l’alerte | Continuer d’utiliser iTunes tel quel | Pouvez masquer le pilote bloqué via Paramètres ► Confidentialité ► Sécurité Windows ► Paramètres de notification. Non recommandé si votre poste est exposé à du code non approuvé. |
| Désinstallation définitive d’iTunes + Bonjour | Supprimer toute trace de mdnsNSP.dll | Procédure standard de désinstallation, puis nettoyage résiduel :Get-ChildItem "C:\Program Files" -Recurse -Include mdnsNSP.dll | Remove-Item -Force.Redémarrage indispensable pour réactiver l’Intégrité de la mémoire. |
Guide étape par étape pour la mise à jour
1. Identifier la version actuelle de Bonjour
Ouvrez Applications installées, recherchez « Bonjour ». Si la version est < 3.1.0.0, la mise à jour est nécessaire.
2. Sauvegarder les données iTunes (facultatif)
Copiez le contenu du dossier Musique ► iTunes sur un disque externe ou un espace OneDrive pour éviter toute rupture de bibliothèque.
3. Téléchargement et installation silencieuse
winget install --id Apple.iTunes -e --accept-package-agreements --accept-source-agreementsWinget récupère actuellement la version 12.13.2.x, qui installe automatiquement Bonjour 3.1.0.1.
4. Contrôle post‑installation
- Redémarrez Windows.
- Rouvrez Sécurité Windows ► Isolation du noyau.
- Vérifiez que la jauge « Intégrité de la mémoire » est verte et que
mdnsNSP.dlln’apparaît plus dans la liste. - Ouvrez l’Observateur d’événements et confirmez l’absence d’événement CodeIntegrity 3034/3075.
Déploiement en environnement professionnel
Dans un tenant Microsoft Entra/Intune, créez un package Win32 contenant seulement Bonjour64.msi et un script de vérification de version.
# Détection : contrôle du produit Bonjour
(Get-WmiObject -Class Win32_Product -Filter "Name='Bonjour'").Version -ge '3.1.0.1'Assignez la mise à jour au groupe « Postes Windows 11 22H2 ». Programmez un redémarrage forcé hors plage de production pour finaliser la protection LSA.
FAQ
La mise à jour de Bonjour impacte‑t‑elle AirPrint ou AirPlay ?
Non, la version 3.1.x conserve la compatibilité complète avec les protocoles mDNS et DNS‑SD. Vous ne devriez constater aucune régression fonctionnelle.
Puis‑je simplement désactiver l’Isolateur de noyau ?
Oui, mais vous perdez une défense clé contre les attaques par injection de pilotes (BYOVD). Sur un PC personnel isolé, le risque peut sembler faible ; dans un environnement d’entreprise ou pour un ordinateur exposé à Internet, c’est fortement déconseillé.
Comment savoir si d’autres pilotes sont bloqués ?
Ouvrez Windows Security ► Device Security ► Core Isolation ► Memory Integrity Details. Chaque entrée liste le nom du module et le chemin complet. Pensez aussi au filtre PowerShell :Get-WinEvent -LogName Microsoft-Windows-CodeIntegrity/Operational -MaxEvents 50 | ? { $_.Id -eq 3075 }
Bonnes pratiques à retenir
- Maintenir tous les pilotes tiers signés SHA‑2 (ou mieux EV) pour garantir la compatibilité avec les nouvelles exigences de Windows 11.
- Tester les mises à jour Apple sur un anneau pilote avant déploiement large ; iTunes est encore utilisé pour restaurer certains iPhone/iPad.
- Automatiser ! Un script unique qui compare la version Bonjour et télécharge le dernier MSI réduit le coût de support.
- Sur les stations où iTunes n’est plus requis, la suppression définitive supprime aussi
Apple Mobile Device Supportet limite la surface d’attaque.
Conclusion
L’alerte « Local Security Authority protection » liée à mdnsNSP.dll n’est pas une fatalité : une simple mise à jour de Bonjour suffit à rétablir l’Intégrité de la mémoire et à tirer pleinement parti des protections VBS de Windows 11. Pour un parc professionnel, le plus rentable consiste à empaqueter la version signée et à la déployer via Intune ou GPO, garantissant une conformité rapide sans perturber les utilisateurs finaux.