Un exécutable inconnu repéré par votre antivirus peut être angoissant ; cet article passe au crible olkPushNotificationBackgroundTask.exe, un composant d’Outlook, pour vous aider à faire la différence entre un fichier légitime et une menace réelle, puis détaille les actions à entreprendre.
olkPushNotificationBackgroundTask.exe est‑il une application légitime ?
Vue d’ensemble de la question
Depuis 2023, Microsoft a fragmenté Outlook (Microsoft 365 / Office 2016+) : plusieurs fonctions résidant autrefois dans le processus principal sont désormais isolées dans de petits exécutables. olkPushNotificationBackgroundTask.exe est l’un d’eux ; il gère les notifications « push » (mails, rappels, Teams, etc.) même si l’interface Outlook est fermée. Ce design diminue la consommation mémoire, renforce la stabilité et empêche qu’un simple blocage d’interface n’interrompe la réception des messages.
Réponses & solutions
| Point clé | Explication | Actions conseillées |
|---|---|---|
| Nature du fichier | Fait partie intégrante de Microsoft Outlook (Microsoft 365/Office 2016 et versions ultérieures). | — |
| Fonction | Gère les notifications « push » (nouveaux e‑mails, rappels calendrier, etc.) même quand Outlook n’est pas ouvert. | — |
| Signature numérique | Peut apparaître non signé : Outlook distribué via un package MSIX/AppX est signé globalement ; certains exécutables internes ne portent pas leur propre certificat. | L’absence de signature n’est pas forcément suspecte. |
| Chemin normal | C:\Program Files\Microsoft Office\root\OfficeXX\olkPushNotificationBackgroundTask.exe (XX = version). | Si l’exécutable se trouve ailleurs, méfiance. |
| Vérifications d’authenticité | 1. Emplacement conforme 2. Taille/hash identiques à la version officielle 3. Éditeur : Microsoft Corporation 4. Analyse antivirus/VirusTotal propre | 1. Mettre l’antivirus à jour et lancer un scan complet 2. Réparer/mettre à jour Office si nécessaire 3. Supprimer toute copie située hors du dossier Office |
| Trafic réseau | Utilise le service WNS (ports 80 & 443 vers push.office.com). | Trafic sortant, aucun port entrant exposé. |
| Privilèges | S’exécute sous le contexte utilisateur (AppContainer), pas de droits élevés. | — |
| Environnement entreprise | Détecté par Microsoft Defender sous l’ID OutlookPushNotificationBackgroundTask ; peut être placé en liste blanche. | Ajuster les politiques si l’alerte est récurrente. |
Pourquoi Outlook utilise‑t‑il un service de notification « push » dédié ?
Historiquement, Outlook interrogeait régulièrement Exchange/Graph pour savoir si de nouveaux messages étaient disponibles. Cette requête cyclique consommait batterie et bande passante, en particulier sur portables ou tablettes. Le WNS compresse l’information : le serveur n’envoie qu’un court signal, puis Outlook décide quand synchroniser la boîte aux lettres. Grâce à olkPushNotificationBackgroundTask.exe, cette logique s’exécute dans un conteneur léger, réveille Outlook au besoin et se referme aussitôt, réduisant l’empreinte mémoire globale.
Comment reconnaître la véritable application
1. Vérifier le chemin physique
Ouvrez l’Explorateur, localisez le fichier repéré par l’antivirus et observez le chemin complet. Uniquement le dossier Office (souvent Office16, Office17 ou Office19 selon votre canal) est acceptable. Toute copie placée dans %TEMP%, C:\Windows\System32, un partage réseau ou un dossier utilisateur est suspecte.
2. Contrôler l’éditeur et la signature
Un clic droit > Propriétés > Signatures numériques. Dans certains cas le volet est vide ; c’est normal si l’exécutable provient d’un bundle MSIX complet. Confirmez néanmoins que l’onglet Détails indique Microsoft Corporation comme société.
3. Comparer le hash SHA‑256
Sur PowerShell :
Get-FileHash "C:\Program Files\Microsoft Office\root\Office16\olkPushNotificationBackgroundTask.exe" -Algorithm SHA256
Comparez ensuite la valeur au référentiel de Microsoft 365 (docs ou base de connaissance interne). Un écart supérieur à 2 o indique une altération — signe soit d’une infection, soit d’un téléchargement corrompu.
4. Analyser via VirusTotal
Téléchargez le hash, pas le binaire ; la politique de votre organisation peut interdire l’upload de code interne. Si les moteurs grand public renvoient « 0 / 70 » détections, il s’agit très probablement du fichier d’origine.
Étapes de diagnostic détaillées
- Mettre à jour Defender (ou votre EDR) : la plupart des faux positifs sont corrigés en moins de 48 h dans les signatures Cloud.
- Forcer la réparation Office : Paramètres > Applications > Microsoft 365 > Modifier > Réparation en ligne. Cette opération télécharge la dernière build et écrase les exécutables modifiés.
- Redémarrer la machine pour vider les processus AppX persistants.
- Relancer un scan complet. Aucune alerte ne doit réapparaître si le fichier est revenu à l’état d’origine.
- Examiner le trafic réseau : un outil comme Microsoft Network Monitor ou WireShark doit montrer des paquets TLS
ClientHellovers*.notify.windows.cometpush.office.com, rien de plus.
Scénarios d’alertes antivirus courants et leurs causes
1. Heuristique « non signé » Certains moteurs considèrent tout exécutable sans signature authentique comme suspect. Solution : activer la règle Trusted Publisher pour les conteneurs MSIX. 2. Écart de hash après une mise à jour avortée Une coupure réseau peut tronquer le fichier ; Defender détecte une empreinte inconnue. Réparer Office suffit. 3. Conflit avec un agent de sécurité tiers Les EDR qui injectent leurs DLL dans tous les processus peuvent perturber la sandbox AppContainer. Excluez le chemin ou migrez vers le moteur natif.
Que faire en cas de détection persistante ?
Si, après réparation et mise à jour, l’alerte persiste :
- Isoler la machine du réseau d’entreprise.
- Exporter un collecteur Microsoft Defender ou un dump procmon.
- Comparer le binaire à la dernière version disponible sur CDN Microsoft.
- Envisager une restauration complète d’Office ou, en cas de doute, du système.
Dans 99 % des cas, il s’agit d’un false positive. Mais si une charge malveillante se faisait passer pour l’exécutable, vous trouveriez :
- Un hash inconnu de Microsoft ;
- Une taille de fichier sensiblement différente (l’original fait environ 150–300 Ko) ;
- Des connexions sortantes vers des domaines « free hosting » ou IP non Microsoft ;
- Une tentative d’écoute sur un port TCP local.
Meilleures pratiques pour les administrateurs
- Inclure les exécutables Office dans la liste d’autorisation de votre SIEM/EDR, mais uniquement s’ils résident dans
C:\Program Files\Microsoft Office\root. - Surveiller les anomalies : créer une règle d’alerte si
olkPushNotificationBackgroundTask.exes’exécute hors du chemin par défaut. - Mettre en place un canal de test pour pré‑valider chaque build Office avant déploiement massif.
- Documenter la taille, le hash et la version ; tenir à jour un référentiel interne pour automatiser la vérification quotidienne.
FAQ (Foire aux questions)
Q : Puis‑je supprimer ou renommer l’exécutable ?
R : Non ; Outlook risquerait de cesser de recevoir des messages tant que l’application principale est fermée.
Q : Pourquoi l’exécutable tente‑t‑il de se connecter alors que je n’utilise pas Outlook ?
R : Certains services (Teams, SharePoint, Planner) utilisent toujours la boîte aux lettres Exchange sous‑jacente ; Outlook doit recevoir les événements pour maintenir la cohérence du calendrier.
Q : Est‑il présent sur macOS ou Android ?
R : Non ; seuls Windows 10/11 et Windows Server 2019+ utilisent ce binaire spécifique. Les autres plateformes s’appuient sur leurs propres services de notifications (APNs, FCM).
Résumé express (TL ; DR)
Oui, olkPushNotificationBackgroundTask.exe est normalement légitime. Vérifiez qu’il se trouve dans le dossier Office officiel et qu’aucun antivirus à jour ne le signale. S’il est ailleurs, modifié ou toujours détecté, considérez‑le suspect et réparez votre installation Office.