Windows Hello et PIN indisponible sur Surface : corriger l’erreur « stack‑based buffer overrun » et débloquer le compte

Impossible de vous connecter à votre Surface ? PIN indisponible, Windows Hello en panne et message « stack‑based buffer overrun » : suivez ce guide pas à pas pour retrouver l’accès, réparer les composants système et, si besoin, réinstaller proprement.

Vue d’ensemble

Ce scénario cumule plusieurs pannes : message « Something happened and your PIN isn’t available », reconnaissance faciale inopérante, ouverture de Paramètres impossible (invite à « installer une application » pour les liens ms-settings:), apparition d’une erreur stack‑based buffer overrun, et parfois un blocage temporaire du compte Microsoft à l’écran de connexion. Le plus probable : corruption des composants Windows Hello (dossier Ngc), fichiers système endommagés (d’où l’overrun), et désynchronisation du compte sur l’appareil.

Plan d’action

Procédez par paliers, du plus rapide au plus engageant :

1. Assainir le compte Microsoft depuis un autre appareil et connecter la Surface au réseau à l’écran de connexion.
2. Accéder à l’environnement de récupération Windows (WinRE) sans ouvrir de session.
3. Réinitialiser Windows Hello en renommant le dossier Ngc depuis l’Invite de commandes de WinRE.
4. Réparer les fichiers système avec SFC et DISM (en ligne ou hors ligne) et réenregistrer l’application Paramètres si nécessaire.
5. Réinitialiser ou réinstaller Windows via WinRE ou clé USB de récupération Surface si les réparations échouent.

Diagnostic express

Symptôme observé	Action immédiate	Objectif
« PIN isn’t available »	Renommer Ngc depuis WinRE	Repartir d’un magasin PIN sain
Windows Hello visage inopérant	Après accès, recréer PIN puis reconfigurer visage	Réinitialiser la confiance Hello
« You need a new app to open this ms-settings »	SFC/DISM, puis réenregistrer Paramètres (PowerShell)	Réparer les URI ms-settings:
Erreur stack‑based buffer overrun	SFC/DISM hors ligne	Corriger fichiers système corrompus
« You can’t sign in to your device right now »	Vérifier le compte sur le web, tester l’ancien mot de passe une fois en ligne	Lever les verrous et resynchroniser

Stabiliser le compte Microsoft

Avant toute manipulation avancée, éliminez les causes liées au compte.

• Depuis un autre appareil, connectez‑vous au portail Microsoft : confirmez votre identité, contrôlez les méthodes de sécurité (téléphone, e‑mail), vérifiez l’absence de verrou temporaire et la validité du mot de passe.
• Sur la Surface, à l’écran de connexion : cliquez sur l’icône réseau (en bas à droite) et connectez‑vous au Wi‑Fi. Sélectionnez Options de connexion → Mot de passe puis essayez l’ancien mot de passe si vous venez d’en changer. Sinon, testez le nouveau une fois la machine en ligne.

Astuce : si vous utilisez l’authentification à deux facteurs, assurez‑vous que le numéro de téléphone et l’adresse e‑mail de secours sont opérationnels. C’est indispensable pour passer d’éventuels contrôles renforcés pendant la reconnexion.

Accéder aux options de récupération Windows

Sans session ouverte, vous pouvez atteindre WinRE de plusieurs façons :

• Méthode des arrêts forcés : démarrez, puis dès l’apparition du logo Windows, maintenez Alimentation pour forcer l’arrêt. Répétez trois fois. Au troisième démarrage, Windows propose Réparation automatique → Options avancées.
• Clé USB d’installation ou de récupération : créez‑la sur un autre PC. Sur Surface, maintenez Volume Bas et appuyez sur Alimentation pour démarrer sur l’USB (relâchez Volume Bas au logo).
• Raccourci depuis l’écran de connexion : si accessible, maintenez Shift et cliquez Redémarrer → Dépannage.

Dans WinRE : Dépannage → Options avancées (Invite de commandes, Paramètres de démarrage, Restauration du système, Réinitialiser ce PC, etc.).

Réparer Windows Hello et le PIN sans session

Le cœur de la panne PIN/Hello se trouve souvent dans le dossier Ngc. Le renommer le fait régénérer proprement.

1. Dans WinRE : Dépannage → Options avancées → Invite de commandes.
2. Identifiez la lettre de la partition Windows (en WinRE, C: n’est pas garanti) :

dir C:\Windows
dir D:\Windows
dir E:\Windows

Retenez la lettre X: pour laquelle X:\Windows existe.

3. Réinitialisez le magasin PIN en renommant Ngc :

takeown /F "X:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc" /R /D Y
icacls "X:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc" /grant administrators:F /T
ren "X:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc" Ngc.old

Remarques :

• Si icacls échoue avec « Utilisateur introuvable », essayez Administrateurs à la place de administrators sur un Windows francisé.
• Si le dossier n’existe pas ou est vide, poursuivez : il sera régénéré.
• Le clavier de WinRE peut être en QWERTY : attention aux caractères spéciaux dans les chemins.

4. Redémarrez, connectez le PC au réseau, puis à l’écran de connexion, choisissez Options de connexion → Mot de passe pour entrer dans la session.
5. Une fois sur le Bureau : Paramètres → Comptes → Options de connexion pour créer un nouveau PIN et reconfigurer la reconnaissance faciale.

Pourquoi ça marche : le dossier Ngc contient les artefacts chiffrés de Windows Hello (clés PIN/biométrie liées au TPM). En cas de corruption, Hello devient indisponible. Le fait de le recréer force un nouveau provisioning sain.

Réparer les fichiers système et l’application Paramètres

Le message stack‑based buffer overrun et l’invite à « installer une appli » pour ms-settings: pointent vers une corruption de fichiers système et/ou du package Paramètres. Procédez comme suit :

Depuis une session ouverte

sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

Ensuite, si les liens ms-settings: restent inopérants, réenregistrez Paramètres en PowerShell (administrateur) :

Get-AppxPackage *windows.immersivecontrolpanel* -AllUsers ^
| Foreach { Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml" }

Si le Microsoft Store semble endommagé, vous pouvez aussi exécuter :

wsreset -i

Sans session, depuis WinRE

1. SFC hors ligne :

sfc /offbootdir=X:\ /offwindir=X:\Windows /scannow

2. DISM hors ligne (en fournissant une source saine depuis le support d’installation monté en E:) :

DISM /Image:X:\ /Cleanup-Image /RestoreHealth /Source:WIM:E:\sources\install.wim:1 /LimitAccess

Conseils :

• Si le support contient install.esd, adaptez : /Source:ESD:E:\sources\install.esd:1.
• Pour identifier l’index correspondant à votre édition, exécutez : DISM /Get-WimInfo /WimFile:E:\sources\install.wim.
• Refaites sfc après DISM pour finaliser les réparations.

Réinitialiser ou réinstaller si nécessaire

Si Windows Hello/Paramètres restent défectueux après réparation, une remise à niveau est plus rapide que des heures d’investigation.

Réinitialiser ce PC

Dans WinRE : Dépannage → Réinitialiser ce PC.

• Conserver mes fichiers : réinstalle Windows en gardant vos données utilisateur (dossier C:\Users\<vous>), mais supprime les applications.
• Supprimer tout : remise à zéro complète.

Récupération spécifique Surface

Créez une clé USB de récupération Surface depuis un autre PC, puis démarrez dessus (Surface éteinte, maintenez Volume Bas et appuyez sur Alimentation). Suivez l’assistant pour réinstaller proprement le système et le firmware adaptés à votre modèle.

BitLocker

Si le disque est chiffré, vous aurez besoin de la clé de récupération (conservez‑la dans votre compte Microsoft ou imprimée). Sans cette clé, l’accès aux données après certaines opérations (réinitialisation, effacement du TPM, changement de carte mère) peut être impossible.

Bonnes pratiques après rétablissement

• Activer plusieurs méthodes de connexion : mot de passe + PIN + clé de sécurité FIDO2. Évitez de dépendre uniquement de la biométrie.
• Exporter et stocker les clés BitLocker dans votre compte.
• Effectuer toutes les mises à jour Windows et firmware Surface avant de réactiver Windows Hello.
• Nettoyer la caméra IR et vérifier l’éclairage lors de la reconfiguration du visage.
• Créer un compte local d’appoint avec droits administrateur pour les situations d’urgence.
• Sauvegarder régulièrement (images système, fichiers utilisateur). Un disque externe + Historique des fichiers ou un outil de sauvegarde image est recommandé.

Foire aux questions

Pourquoi Windows me demande le « dernier mot de passe utilisé sur cet appareil » ?
Parce que la machine n’a pas encore synchronisé le nouveau mot de passe avec les serveurs Microsoft. Connectez‑la au réseau sur l’écran de connexion et essayez l’ancien, sinon le nouveau une fois en ligne.

Le dossier Ngc n’existe pas, que faire ?
C’est acceptable. Après connexion via le mot de passe, la création d’un nouveau PIN régénère automatiquement la structure.

Je vois encore « You need a new app to open this ms-settings »
Exécutez sfc puis DISM. Ensuite, réenregistrez l’application Paramètres via PowerShell (commande ci‑dessus). Un redémarrage est conseillé.

Est‑ce un problème matériel de caméra ?
Rarement. Ici, la simultanéité avec « PIN indisponible » et l’overrun mémoire oriente vers du logiciel. La caméra IR pourra être reconfigurée une fois le PIN régénéré.

Puis‑je effacer le TPM ?
Uniquement si vous avez toutes les clés BitLocker et acceptez le risque. Dans la plupart des cas, renommer Ngc + SFC/DISM suffit.

Scriptothèque utile

But	Commande
Identifier la partition Windows en WinRE	dir C:\Windows  →  dir D:\Windows  →  dir E:\Windows
Prendre possession de Ngc	takeown /F "X:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc" /R /D Y
Donner droits administrateurs	icacls "...\Ngc" /grant administrators:F /T
Renommer Ngc	ren "...\Ngc" Ngc.old
Vérifier et réparer fichiers (session ouverte)	sfc /scannow puis DISM /Online /Cleanup-Image /RestoreHealth
Vérifier et réparer fichiers (hors ligne)	sfc /offbootdir=X:\ /offwindir=X:\Windows /scannow
Réparer l’image hors ligne	DISM /Image:X:\ /Cleanup-Image /RestoreHealth /Source:WIM:E:\sources\install.wim:1 /LimitAccess
Réenregistrer Paramètres	Get-AppxPackage *windows.immersivecontrolpanel* -AllUsers | ForEach { Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml" }

Chemin détaillé pas à pas

Étape une : compte et réseau

• Depuis un navigateur sur un autre appareil, vérifiez que vous pouvez vous authentifier sur votre compte sans avertissement de sécurité.
• Sur la Surface, connectez‑la au Wi‑Fi depuis l’écran de connexion puis testez la connexion par mot de passe.

Étape deux : WinRE

• Accédez à Options avancées via les méthodes listées plus haut.
• Notez la disposition du clavier (souvent US). Si un mot de passe contient @ ou &, tapez l’équivalent QWERTY.

Étape trois : réinitialiser Hello

• Ouvrez l’Invite de commandes en WinRE, identifiez la lettre de Windows, exécutez les commandes takeown, icacls, ren.
• Redémarrez et créez un nouveau PIN puis reconfigurez la reconnaissance faciale.

Étape quatre : SFC/DISM

• Si l’application Paramètres s’ouvre mal ou si l’overrun réapparaît, lancez SFC/DISM (en ligne, sinon hors ligne avec source WIM/ESD).
• Redémarrez et testez ms-settings:. Au besoin, réenregistrez l’application Paramètres.

Étape cinq : remise à zéro

• En dernier recours, utilisez Réinitialiser ce PC (option « Conserver mes fichiers » en priorité).
• Sur Surface, une clé de récupération dédiée assure une réinstallation propre avec le bon firmware.

Pièges fréquents

• Oublier le réseau : sans Internet, l’appareil ne resynchronise pas le compte après un changement de mot de passe.
• BitLocker ignoré : certaines opérations exigent la clé de récupération. Sauvegardez‑la avant toute action invasive.
• Confusion des lettres de lecteur : en WinRE, Windows n’est pas toujours sur C:. Vérifiez avec dir X:\Windows.
• Localisation des groupes : sur un Windows FR, essayez Administrateurs si administrators échoue.

Checklist finale

• [ ] Compte Microsoft vérifié depuis un autre appareil, infos de sécurité à jour
• [ ] PC connecté au réseau à l’écran de connexion, essai via mot de passe
• [ ] Accès WinRE acquis (arrêts forcés ou clé USB)
• [ ] Dossier Ngc renommé depuis WinRE, PIN recréé
• [ ] SFC/DISM exécutés (en ligne ou hors ligne), Paramètres réenregistré au besoin
• [ ] Si nécessaire, Réinitialiser ce PC ou réinstaller via clé Surface
• [ ] Windows Hello reconfiguré, mises à jour Windows et firmware Surface appliquées
• [ ] Clé BitLocker sauvegardée, méthode de connexion alternative configurée

En résumé

Dans la majorité des cas, renommer Ngc puis réparer l’image système avec SFC/DISM suffit à éliminer l’erreur « PIN indisponible », à restaurer Paramètres et à faire disparaître l’overrun. Concluez par une mise à jour complète et la reconfiguration de Windows Hello pour repartir sur des bases saines.