Edge/Chrome affichent « Géré par votre organisation » et une extension NebulaNanoel/MetaEllipel revient sans cesse ? Suivez ce guide concret pour supprimer les stratégies forcées, nettoyer la persistance et rétablir un navigateur sain sous Windows 10 Home.
Vue d’ensemble du problème
Sur Windows 10 Home, des extensions indésirables (ex. NebulaNanoel, puis MetaEllipel) s’installent d’elles‑mêmes et résistent à la désinstallation. Dans Edge/Chrome, l’onglet des politiques (edge://policy, chrome://policy) révèle des entrées telles que ExtensionInstallAllowlist et ExtensionInstallForcelist. Les navigateurs affichent « Géré par votre organisation ». Après divers essais infructueux, un scan avec Microsoft Safety Scanner supprime un fichier, l’extension disparaît et tout redevient normal : pas d’exclusions suspectes dans Windows Defender, réinstallation de Chrome possible sans réapparition.
| Symptôme | Indice | Où le vérifier |
|---|---|---|
| Extension revient après suppression | Installation forcée par stratégie | edge://policy / chrome://policy |
| Bandeau « Géré par votre organisation » | Clés de registre Policies présentes | Registre Windows / pages de politique |
| Impossible de Supprimer l’extension | Forcelist/Allowlist active | Stratégies Edge/Chrome |
| Scan supprime un fichier & tout redevient normal | Persistance malveillante neutralisée | Rapport des scanners |
Cause la plus probable
Un logiciel potentiellement indésirable (PUA) a ajouté des stratégies au registre Windows pour forcer l’installation d’une extension. Tant que ces stratégies (policies) et/ou un mécanisme de persistance (tâche planifiée, clé Run, raccourci modifié, etc.) subsistent, l’extension réapparaît même si vous la retirez à la main.
Particularité : même sur Windows 10 Home (sans Éditeur de stratégie de groupe), les navigateurs respectent des clés de registre sous HKCU/HKLM\SOFTWARE\Policies\…. D’où le message « Géré par votre organisation » alors que la machine n’est pas réellement gérée par une organisation.
Procédure recommandée (testée et validée)
Avant de commencer
- Fermez Edge et Chrome.
- Créez un point de restauration système et sauvegardez vos favoris si possible.
- Assurez‑vous d’utiliser un compte Administrateur local.
- Important : si l’ordinateur appartient réellement à une organisation (domaine/compte professionnel), ne supprimez pas ces stratégies ; contactez l’administrateur.
Retirer les stratégies qui forcent les extensions
Ouvrez PowerShell en administrateur puis exécutez :
reg delete HKCU\SOFTWARE\Policies\Microsoft\Edge /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Edge /f
reg delete HKCU\SOFTWARE\Policies\Google\Chrome /f
reg delete HKLM\SOFTWARE\Policies\Google\Chrome /f
- Si vous voyez « Access denied » : relancez PowerShell en Administrateur.
- Si « le chemin n’existe pas » : c’est normal si la clé n’était pas créée.
- Optionnel (selon architecture/logiciels 32 bits) :
reg delete HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome /f reg delete HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge /f
Redémarrer les navigateurs et vérifier les policies
- Rouvrez Edge et tapez
edge://policy(Chrome :chrome://policy). - Cliquez sur Rafraîchir les stratégies si présent.
- Vérifiez qu’il ne reste plus d’entrées ExtensionInstallForcelist / ExtensionInstallAllowlist inconnues.
- Le bandeau « Géré par votre organisation » peut disparaître. S’il reste, il ne doit plus être lié à des extensions imposées.
Éliminer la persistance malveillante
Effectuez un nettoyage robuste. Dans le cas étudié, Microsoft Safety Scanner a supprimé un fichier ; l’extension a cessé de réapparaître.
- Microsoft Safety Scanner : lancez un scan complet jusqu’au message « aucune menace détectée ».
- Malwarebytes (analyse complète). En complément si besoin : ESET Online Scanner.
- Mettez tout en quarantaine ou supprimez selon les recommandations, puis redémarrez.
Vérifier qu’aucune exclusion Windows Defender ne masque une infection
Des exclusions malicieuses peuvent neutraliser la protection. Contrôlez‑les par l’interface ou PowerShell.
- Windows : Sécurité Windows → Protection contre les virus et menaces → Gérer les paramètres → Ajouter ou supprimer des exclusions. Retirez toute entrée inconnue.
Get-MpPreference | fl Excl*, ThreatID*
Si vous détectez une exclusion suspecte, supprimez‑la (exemples) :
# À adapter : remplacez par l'exclusion exacte à retirer
Remove-MpPreference -ExclusionPath "C:\Chemin\SUSPECT"
Remove-MpPreference -ExclusionProcess "C:\Programme\SUSPECT.exe"
Remove-MpPreference -ExclusionExtension ".sus"
Si l’extension revient encore (persistance restante)
Il peut rester une tâche planifiée, une clé Run, un raccourci modifié ou un proxy malveillant.
- Diagnostic avancé : utilisez FRST (Farbar Recovery Scan Tool) pour lister tâches/services/démarrages anormaux. Analysez le rapport avant toute correction.
- Raccourcis Edge/Chrome : clic droit → Propriétés → onglet Raccourci → Cible.
- Attendus :
...\msedge.exeou...\chrome.exesans paramètre additionnel. - Suspects :
--load-extension=...,--auto-launch-at-startup,--disable-features=..., etc.
- Attendus :
- Dossiers d’extensions de profil (navigateurs fermés) :
%LocalAppData%\Microsoft\Edge\User Data\Default\Extensions %LocalAppData%\Google\Chrome\User Data\Default\ExtensionsSupprimez les dossiers dont l’ID ne correspond pas à vos extensions légitimes. - Tâches planifiées et démarrage :
- Planificateur de tâches : scrutez les tâches récentes inconnues.
- Registre :
HKCU\Software\Microsoft\Windows\CurrentVersion\RunetHKLM\...\Run.
# Tâches planifiées contenant "chrome", "edge" ou "extension" Get-ScheduledTask | Where-Object {$_.TaskName -match 'chrome|edge|exten|update|helper'} | Format-Table TaskName,TaskPath,State # Clés Run (démarrage) 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run', 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Run' | ForEach-Object { Write-Host "\`n--- $\_ ---" Get-ItemProperty $\_ | Select-Object \* } - Proxy système : Paramètres → Réseau & Internet → Proxy. Désactivez tout proxy inconnu, et videz les scripts d’auto‑config.
- Fichier hosts : vérifiez qu’il ne redirige pas les boutiques d’extensions.
Remise à zéro (si nécessaire)
- Edge : Paramètres → Réinitialiser les paramètres → Restaurer les paramètres par défaut.
- Chrome :
chrome://settings/reset→ Rétablir les paramètres par défaut. - Réinstallation propre de Chrome (en dernier recours) :
- Désinstallez Chrome.
- Supprimez le profil :
%LocalAppData%\Google\Chrome\User Data. - Réinstallez Chrome et reconnectez‑vous (vos favoris/mots de passe seront récupérés si vous utilisiez la synchronisation).
Contrôles rapides de fin d’intervention
edge://policyetchrome://policyne montrent plus de Forcelist/Allowlist inconnues.- Le bandeau « Géré par votre organisation » n’est plus lié à des extensions imposées.
- La page des extensions ne contient que vos modules, désinstallables normalement.
- Safety Scanner / Defender / Malwarebytes : plus aucune détection.
- Aucune exclusion Windows Defender non voulue.
Tableaux de référence rapide
Clés de registre à contrôler/supprimer
| Produit | Chemin du registre | Valeurs typiques à surveiller |
|---|---|---|
| Microsoft Edge | HKCU\SOFTWARE\Policies\Microsoft\EdgeHKLM\SOFTWARE\Policies\Microsoft\Edge | ExtensionInstallForcelist, ExtensionInstallAllowlist, ExtensionInstallBlocklist |
| Google Chrome | HKCU\SOFTWARE\Policies\Google\ChromeHKLM\SOFTWARE\Policies\Google\Chrome(optionnel) HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome | ExtensionInstallForcelist, ExtensionInstallAllowlist |
Emplacements des extensions (profils locaux)
| Navigateur | Chemin | Que faire |
|---|---|---|
| Edge | %LocalAppData%\Microsoft\Edge\User Data\Default\Extensions | Supprimer les dossiers d’ID inconnus (navigateurs fermés) |
| Chrome | %LocalAppData%\Google\Chrome\User Data\Default\Extensions | Supprimer les dossiers d’ID inconnus (navigateurs fermés) |
Points de persistance Windows à auditer
| Zone | Où vérifier | À surveiller |
|---|---|---|
| Démarrage | HKCU/HKLM\...\Run, shell:startup | Entrées inconnues pointant vers des .exe/scripts |
| Tâches planifiées | Planificateur de tâches | Tâches récentes invisibles d’habitude ou aux noms aléatoires |
| Raccourcis | Bureau, Barre des tâches, Menu Démarrer | --load-extension=…, autres arguments non usuels |
| Proxy | Paramètres → Réseau & Internet → Proxy | Proxy/Script d’auto‑config non autorisés |
| Hosts | %SystemRoot%\System32\drivers\etc\hosts | Redirections douteuses |
FAQ
Pourquoi « Géré par votre organisation » sur Windows 10 Home ?
Parce qu’Edge/Chrome appliquent les policies définies dans le registre, même sans contrôleur de domaine. Une application peut créer ces clés et donner l’illusion d’une gestion « entreprise ».
Supprimer ces clés peut‑il enlever des réglages légitimes ?
Sur un PC personnel non géré, c’est rarement un problème. Si vous utilisez un PC professionnel ou lié à un compte d’organisation, abstenez‑vous et contactez l’IT.
Comment reconnaître l’ID d’une extension imposée ?
Dans la page des extensions, l’ID est une chaîne de 32 caractères. Si elle apparaît dans Forcelist/Allowlist et que l’extension correspond à NebulaNanoel/MetaEllipel ou à un module inconnu, supprimez la stratégie.
Supprimer le dossier d’extension suffit‑il ?
Non. Si une Forcelist existe, l’extension sera réinstallée. Il faut d’abord retirer la stratégie, puis nettoyer la persistance.
Edge vs Chrome : y a‑t‑il une différence ?
Le mécanisme de stratégies et la nomenclature des clés sont très similaires. La procédure décrite fonctionne pour les deux.
Pourquoi utiliser plusieurs scanners ?
Les moteurs ne détectent pas tous les mêmes familles de PUA. Passer deux outils réputés augmente les chances de repérer les résidus.
Et si le problème revient après redémarrage ?
Inspectez plus en profondeur : tâches planifiées, clés Run, raccourcis, proxy, hosts. Utilisez un diagnostic détaillé (FRST) pour identifier l’élément de persistance restant.
Conseils de prévention
- Laissez SmartScreen et la Protection contre les falsifications (Tamper Protection) activés dans Windows Defender.
- Installez des extensions uniquement depuis les boutiques officielles.
- Maintenez Windows, Edge et Chrome à jour.
- N’activez pas « Autoriser les extensions d’autres magasins » dans Edge si ce n’est pas nécessaire.
- Utilisez un compte standard pour l’usage quotidien ; réservez l’administrateur aux installations.
- Évitez les « packagers » gratuits douteux et les cracks qui ajoutent des policies à votre insu.
- Sauvegardez régulièrement et créez un point de restauration avant toute manipulation système.
Annexe : commandes utiles prêtes à copier‑coller
Inventorier les politiques Edge/Chrome
# Edge
reg query HKCU\SOFTWARE\Policies\Microsoft\Edge /s
reg query HKLM\SOFTWARE\Policies\Microsoft\Edge /s
# Chrome
reg query HKCU\SOFTWARE\Policies\Google\Chrome /s
reg query HKLM\SOFTWARE\Policies\Google\Chrome /s
reg query HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome /s Nettoyer les politiques (Edge/Chrome)
reg delete HKCU\SOFTWARE\Policies\Microsoft\Edge /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Edge /f
reg delete HKCU\SOFTWARE\Policies\Google\Chrome /f
reg delete HKLM\SOFTWARE\Policies\Google\Chrome /f
reg delete HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome /f
Rechercher des raccourcis suspects (arguments inattendus)
$paths = @(
"$env:PUBLIC\Desktop",
"$env:USERPROFILE\Desktop",
"$env:APPDATA\Microsoft\Windows\Start Menu\Programs",
"$env:PROGRAMDATA\Microsoft\Windows\Start Menu\Programs"
)
$pattern = '--load-extension|--allow-running-insecure|--disable-features|--proxy-server'
Get-ChildItem -Path $paths -Recurse -Filter *.lnk -ErrorAction SilentlyContinue |
ForEach-Object {
$target = (New-Object -ComObject WScript.Shell).CreateShortcut($_.FullName).TargetPath + ' ' +
(New-Object -ComObject WScript.Shell).CreateShortcut($_.FullName).Arguments
if ($target -match $pattern) {
"{0}`n => {1}" -f $_.FullName, $target
}
}
Lister des tâches planifiées liées aux navigateurs
Get-ScheduledTask |
Where-Object {$_.TaskName -match 'chrome|edge|browser|update|helper|exten'} |
Sort-Object TaskName |
Format-Table TaskName, TaskPath, State
Contrôler le proxy Windows
netsh winhttp show proxy
# Pour réinitialiser si nécessaire :
# netsh winhttp reset proxy
Vérifier et purger des exclusions Defender
Get-MpPreference | Select-Object -ExpandProperty ExclusionPath
Get-MpPreference | Select-Object -ExpandProperty ExclusionProcess
# Suppression ciblée :
# Remove-MpPreference -ExclusionPath "C:\Chemin\SUSPECT"
Conclusion
Les extensions NebulaNanoel/MetaEllipel sont symptomatiques d’une installation forcée via des policies et d’une persistance potentiellement malveillante. La combinaison suppression des stratégies + scan(s) de sécurité + vérifications manuelles des points de persistance règle durablement le problème. Une fois propre, maintenez SmartScreen/Tamper Protection activés, et limitez l’installation d’extensions à leurs boutiques officielles.