Sous Windows 7, Microsoft Security Essentials (MSE) peut encore recevoir des signatures en 2025 malgré la disparition du paquet KB2310138 dans Windows Update. Ce guide complet explique le contexte, liste les pré‑requis SHA‑2/TLS 1.2, fournit une procédure pas‑à‑pas et explore les solutions de repli pour sécuriser durablement votre système.
Contexte : pourquoi les signatures ne viennent plus via Windows Update
Depuis le 21 février 2025, le canal Windows Update ne publie plus la mise à jour cumulative de définitions KB2310138. La situation résulte de facteurs techniques et stratégiques :
- Fin de support de Windows 7 : la maintenance générale est terminée depuis janvier 2020, et l’ESU (Extended Security Updates) a pris fin en janvier 2023.
- Migration vers les standards modernes : Microsoft signe désormais tout son catalogue uniquement en SHA‑2 et impose TLS 1.2 sur l’ensemble des points de distribution. Sans correctifs adaptés, un Windows 7 « vanilla » ne valide plus les certificats ni n’établit de tunnel sécurisé.
- Rationalisation interne : l’infrastructure Defender for Endpoint héberge maintenant les signatures, laissant MSE et Windows 7 en « best‑effort ». Les endpoints non conformes sont servis en priorité basse, voire pas du tout.
État des lieux des méthodes de mise à jour en juillet 2025
| Méthode | Description | Résultat (juillet 2025) |
|---|---|---|
| Mise à jour manuelle | Télécharger le fichier mpam‑fe.exe (x86) ou mpam‑feX64.exe (x64) sur la page « Security Intelligence Updates » puis l’exécuter. | Fonctionne fiablement ; la signature quotidienne est toujours publiée. |
| Interface interne de MSE | Ouvrir MSE → Mettre à jour → Mettre à jour les définitions. | Succès intermittent : dépend fortement de la configuration TLS 1.2. |
| Windows Update | Canal historique de KB2310138. | Plus de publications depuis le 21 février 2025. |
| Correctif « Easy Fix » + KB3140245 | Installe KB3140245 (TLS 1.1/1.2) puis applique le script qui force WinHTTP à TLS 1.2. | Réactive parfois l’interface interne ; stabilité aléatoire. |
Prérequis indispensables pour rétablir la connexion aux serveurs Microsoft
| Composant | Rôle | Comment vérifier ? |
|---|---|---|
KB4474419 | Ajoute la prise en charge des signatures SHA‑2. | Présent dans l’historique des mises à jour ou installable via le Catalogue Microsoft. |
KB4490628 | Service Stack Update nécessaire pour accepter de nouveaux paquets. | Identique à KB4474419 ; se trouve souvent déjà installé. |
KB3140245 | Introduit TLS 1.1/1.2 dans WinHTTP. | Disponible depuis 2016 ; vérifier dans « Programmes installés ». |
| Activation TLS 1.2 | Obligatoire pour chiffrer la session MSE ↔ serveur. | Internet Explorer → Options Internet → Avancé : cocher « TLS 1.2 ». |
Procédure pas‑à‑pas recommandée
- Installer ou vérifier les correctifs :
KB4474419,KB4490628etKB3140245doivent apparaître dans la liste des mises à jour installées. - Forcer TLS 1.2 :
- Manuellement : Internet Explorer → Options Internet → Avancé → sélectionner « TLS 1.2 » et désactiver SSL 3.0/TLS 1.0 si possible.
- Automatiquement : exécuter le fichier « Easy Fix 50395 » de Microsoft, lequel crée les clés de registre
SchUseStrongCryptodansHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp.
- Redémarrer afin que WinHTTP charge les nouvelles préférences.
- Tester la mise à jour interne : lancer MSE, cliquer sur Mettre à jour. Si le téléchargement démarre (barre de progression qui atteint 100 %), vos réglages sont corrects.
- Plan B : si l’étape 4 échoue (code d’erreur 0x8024402C ou 0x80072F8F), récupérer le binaire
mpam‑feX64.exe/mpam‑fe.exedepuis un poste sain, le copier localement et l’exécuter. MSE détecte automatiquement la signature après quelques secondes.
Bonnes pratiques pour automatiser la méthode manuelle
Comme Microsoft ne garantit plus la disponibilité du canal, il peut être judicieux de script :
> schtasks /Create /SC DAILY /TN "MSEManualDefs" ^ /TR "powershell -ExecutionPolicy Bypass -File C:\Scripts\Get-Mpam.ps1" ^ /RU SYSTEM /RL HIGHEST
Le script Get‑Mpam.ps1 se charge de :
- Vérifier l’architecture (32/64 bits).
- Télécharger le lien du jour.
- Exécuter silencieusement le fichier (
/q). - Écrire un log horodaté dans
%ProgramData%\MSELogs.
Une solution tierce (Task Scheduler + PowerShell) offre donc une expérience « presque » automatique tout en restant compatible avec l’environnement restreint de Windows 7.
Limites et risques à garder à l’esprit
- Absence de correctifs système : même avec une base virale à jour, les failles kernel, SMB, ou RDP découvertes après janvier 2020 demeurent exploitées.
- Arrêt soudain du service : Microsoft peut retirer la signature MSE sans préavis. Le risque augmente à mesure que Defender et Windows 10 / 11 s’imposent.
- Réduction de la détection proactive : MSE n’intègre plus les dernières techniques cloud comme l’analyse comportementale ou l’apprentissage automatique employées par Defender.
Solutions alternatives pour continuer à protéger Windows 7
Migrer vers un OS pris en charge
La solution la plus pérenne reste la mise à niveau vers Windows 10 ou 11 (ou une distribution Linux) : vous bénéficiez alors de Microsoft Defender Antivirus, de patches mensuels et d’un écosystème logiciel moderne.
Choisir un antivirus tiers « legacy »
Plusieurs éditeurs proposent encore une branche de leur produit destinée aux systèmes hérités :
- Avast Free Antivirus 23.x (support « maintenance » jusqu’à fin 2026)
- Bitdefender Endpoint Security Legacy (base virale commune avec la version moderne)
- Kaspersky Security Cloud — Legacy Edition (mises à jour garanties tant que Windows 7 conserve un parc significatif)
Vérifiez toutefois la consommation mémoire et l’impact sur un matériel ancien.
Segmenter ou isoler la machine
- Limiter la navigation Web (navigateur ESR à jour, mode sans‑échec Web, sandboxing).
- Désactiver SMB v1, RDP et services non indispensables.
- Mettre en place une solution de sauvegarde : image système sur disque USB, ou sauvegarde différentielle quotidienne.
FAQ (Questions fréquemment posées)
Les signatures quotidiennes sont‑elles différentes de celles de Defender ?
Oui et non. Microsoft conserve un socle commun (« Security Intelligence »), mais les moteurs diffèrent. MSE reçoit un sous‑ensemble compatible avec son moteur antimalware de 2016.
Mon horloge système influence‑t‑elle TLS 1.2 ?
Absolument. Un certificat TLS s’appuie sur l’heure locale pour la validation. Une dérive de plus de 5 minutes entraîne souvent le code 0x80072F8F.
Peut‑on utiliser MSE et un antivirus tiers simultanément ?
Non recommandé. Deux moteurs temps‑réel peuvent se bloquer mutuellement et dégrader les performances. Désactivez la protection en temps réel de l’un des deux.
Conclusion
En juillet 2025, il reste possible de maintenir Microsoft Security Essentials opérationnel sous Windows 7, mais au prix d’un effort manuel régulier et de la mise en conformité du protocole TLS 1.2/SHA‑2. Pour un usage ponctuel ou hors ligne, la combinaison « scripts de téléchargement + mises à jour manuelles » suffit. Néanmoins, pour une machine exposée à Internet, seule une migration vers un système pris en charge ou l’emploi d’une suite de sécurité tierce garantit une protection véritablement durable.