KB5007651 se remet à s’installer après chaque redémarrage ? Voici toutes les pistes et correctifs pour sortir durablement de la boucle Windows Update et retrouver un système stable et sécurisé.
Vue d’ensemble du problème
Depuis janvier 2025, de nombreux utilisateurs de Windows 10 22H2 et Windows 11 23H2 constatent que le correctif « Update for Windows Security platform – KB5007651 » s’affiche, s’installe puis réapparaît à chaque recherche de mises à jour. Deux versions successives (10.0.27703.1006 puis 10.0.27777.1008) présentent le même comportement : l’installation semble se dérouler correctement, aucune erreur n’est signalée, mais Windows Update propose immédiatement de réinstaller la même build après le redémarrage. Ce phénomène touche les éditions Familiale, Pro et Entreprise, et entraîne un redémarrage quotidien inutile, une saturation des journaux d’événements et, parfois, un ralentissement perceptible de la protection Defender.
Pourquoi KB5007651 boucle ?
Les retours d’expérience utilisateurs, les réponses publiées par Microsoft et l’analyse des journaux CBS.log et WindowsUpdate.log permettent d’isoler trois déclencheurs principaux :
| Piste | Explications | Indice principal |
|---|---|---|
| Échec d’enregistrement de Defender | Le moteur s’installe mais la clé de registre HKLM\SOFTWARE\Microsoft\Windows Defender\MpPlatform\InstallProductVersion n’est pas mise à jour. Lors du scan suivant, Windows Update croit que la version est absente. | Rapport Windows Update : état « Partially Installed » |
| Conflit avec un antivirus tiers | Certains antivirus (ESET NOD32, Norton 360, McAfee LiveSafe…) verrouillent des DLL ou exécutables Defender pendant l’installation. Le package ne peut pas terminer la phase Commit ; aucune erreur visible n’est remontée. | Événement ID 1001 de Windows Error Reporting |
| Cache Windows Update corrompu | La base de données DataStore.edb contient des métadonnées périmées sur la plate‑forme Defender, d’où une détection incorrecte de la version réelle. | Événement ID 20 « Detections out of date » |
Feuille de route des solutions
Les méthodes ci‑dessous sont classées de la plus rapide à la plus approfondie. Dans la majorité des cas, un simple masquage de la mise à jour ou une désactivation temporaire de l’antivirus tiers suffit ; néanmoins, combinez plusieurs techniques si le symptôme persiste.
Masquer le package KB5007651
- Téléchargez l’utilitaire Afficher ou masquer les mises à jour (
wushowhide.diagcab) depuis le site Microsoft. - Lancez l’outil → Masquer les mises à jour → cochez KB5007651.
- Redémarrez le PC ; la plate‑forme reste installée, mais ne sera plus proposée.
Avantages : réversible, sans impact sur la sécurité.
Limite : ne corrige pas la cause racine, seulement la notification.
Désactiver temporairement l’antivirus tiers
- Désactivez la protection en temps réel (ou déconnectez l’agent) de votre antivirus tiers.
- Ouvrez Paramètres → Windows Update → Rechercher des mises à jour et laissez KB5007651 s’installer.
- Redémarrez. Vérifiez, après un nouveau scan, que la mise à jour n’est plus proposée.
- Réactivez l’antivirus.
Astuce : si vous gérez un parc de PC, poussez une stratégie GPO qui désactive l’agent tiers pendant une fenêtre de maintenance planifiée.
Réinitialiser Windows Update et la plate‑forme Defender
Ouvrez une invite de commandes Exécuter en tant qu’administrateur, puis saisissez :
net stop wuauserv
net stop bits
rd /s /q %windir%\SoftwareDistribution
MpCmdRun.exe -SignatureUpdate
net start wuauserv
net start bitsCela purge le cache, force la redétection de l’état réel de Defender et réapplique les dernières signatures.
Installer manuellement la plate‑forme Microsoft Defender
- Téléchargez le package hors‑ligne approprié (
platformupdate-x64.exeou-arm64.exe). - Fermez toutes les consoles MMC, exécutez l’installeur, puis redémarrez.
- Dans Sécurité Windows → Paramètres → À propos, le numéro de version doit être supérieur ou égal à
4.18.24050.x.
Si ce numéro s’affiche correctement, Windows Update considérera l’installation comme aboutie et cessera les tentatives.
Forcer la régénération des clés Defender via l’interface graphique
Manipulation empirique, mais efficace sur certains postes :
- Ouvrez Sécurité Windows → Sécurité de l’appareil → Détails de l’isolation du noyau.
- Désactivez puis ré‑activez la bascule Microsoft Vulnerable Driver Blocklist.
- Redémarrez le PC. Au prochain boot, Defender recalcule certains GUID et met à jour les clés d’état, interrompant souvent la boucle KB5007651.
Procédures avancées pour les administrateurs
Analyser les journaux CBS et SetupAPI
Pour déterminer précisément le point de blocage, ouvrez C:\Windows\Logs\CBS\CBS.log et recherchez error 0x80070643 ou STATUSREBOOTREQUIRED. Dans Setupapi.dev.log, localisez les lignes contenant MpPlatform. Un bug récurrent – signalé par Microsoft mais non documenté publiquement – montre que, lorsque la variable PnPDriverUpdate reste à NULL après la phase InstallFinalize, l’état PendRem est renvoyé, ce qui déclenche la ré‑offre.
Forcer la resynchronisation WMI
Dans certains environnements virtualisés (Hyper‑V, VMware), la classe Win32_QuickFixEngineering se désynchronise. Lancez :
wmic qfe where HotFixID="KB5007651" call reinstall
gpupdate /force
puis rescannez Windows Update.
Déployer un script PowerShell à grande échelle
Pour les administrateurs Intune, créez un script qui :
- Arrête les services
WinDefend,wuauservetbits. - Supprime les clés
HKLM\SOFTWARE\Microsoft\Windows Defender\MpPlatformet…\SignatureUpdates. - Installe la dernière version hors‑ligne.
- Redémarre la machine et vérifie le hash SHA256 de
mpclient.dll.
Un rapport JSON est envoyé via Microsoft Graph pour confirmer la version.
FAQ – réponses rapides
Masquer KB5007651 réduit‑il la protection en temps réel ?
Non. Les « Update Platform » n’affectent pas le moteur de détection principal MsMpEng.exe ni les signatures. Seules des fonctionnalités annexes (nouveaux algorithmes heuristiques, intégrations cloud) seront différées.
Le correctif cumulatif de juillet 2025 résout‑il la boucle ?
Pas encore. Au 9 juillet 2025, Microsoft reconnaît le bug dans le tableau d’état Windows Release Health, mais aucun Patch Tuesday n’intègre de correctif définitif.
Puis‑je simplement désinstaller KB5007651 ?
Cela supprime toute la plate‑forme Defender et retombe sur la build d’origine Windows 10/11 (4.18.2001.x), ce qui n’est pas recommandé. De plus, Windows Update reproposera immédiatement la dernière version.
Bonnes pratiques pour éviter les boucles futures
- Maintenez un seul moteur antivirus temps réel à la fois.
- Séparez les fenêtres de maintenance : d’abord patch Tuesday OS, puis Defender Platform, puis pilotes.
- Activez l’évaluation de compatibilité Antimalware Microsoft dans Configuration Manager ou Intune pour anticiper les conflits.
- Monitorez la tâche planifiée
MpIdleTasket vérifiez qu’elle s’exécute quotidiennement.
Conclusion
KB5007651 illustre la complexité croissante de la plate‑forme de sécurité Microsoft Defender : moteur, signatures et plateforme forment désormais trois canaux de mise à jour distincts. Lorsque l’un d’eux – ici MpPlatform – ne se réconcilie pas avec Windows Update, une boucle d’installation peut survenir. En suivant la stratégie « masquer, désactiver l’antivirus, réinitialiser Windows Update, installer hors‑ligne », la quasi‑totalité des postes sort de la boucle en moins de 30 minutes, sans perte de protection. Pour les parcs d’entreprise, un script PowerShell et une supervision WMI/WU ciblée évitent le dépannage poste par poste et garantissent un parc homogène.
Si vous avez trouvé ces instructions utiles, partagez‑les avec vos collègues et pensez à planifier un contrôle de cohérence Defender lors de votre prochain cycle de maintenance.