Microsoft Edge (Windows 10) : corriger les erreurs de certificats TLS et l’impossibilité d’ouvrir les pages de connexion

Vous rencontrez des erreurs de certificats TLS dans Microsoft Edge sous Windows 10, avec impossibilité d’ouvrir les pages de connexion ? Voici une méthode éprouvée, reproductible et complète pour diagnostiquer et corriger la cause réelle, même sans vous connecter à votre compte Microsoft.

Vue d’ensemble de la question

Lorsque Edge (et parfois d’autres navigateurs) refuse d’ouvrir la majorité des sites HTTPS avec des messages du type « certificat invalide » ou « connexion non sécurisée », la panne n’est pas nécessairement logicielle dans le navigateur lui‑même. Elle provient très souvent d’un enchaînement de facteurs : interception HTTPS par un logiciel indésirable (PUP/spyware), magasin de certificats racine obsolète ou corrompu, heure système incorrecte, et plus sournois encore, une défaillance réseau matérielle (adaptateur Wi‑Fi USB instable, câble ou port défectueux).

Symptômes observés

• Edge et/ou d’autres navigateurs bloquent la plupart des sites avec des erreurs TLS (ERR_CERT_AUTHORITY_INVALID, ERR_CERT_DATE_INVALID, etc.).
• Les pages « simples » sans authentification s’ouvrent parfois, mais toutes les pages de connexion (Microsoft, Google, banques, messageries, SaaS) échouent.
• Après une déconnexion du compte Microsoft, impossible de se reconnecter car les pages de login ne chargent pas.
• Une mise à jour Windows 10 est en attente (partition système trop pleine, etc.), mais rien ne prouve un lien direct.

Contexte et tentatives déjà effectuées

Vous avez peut‑être déjà épuisé une longue check‑list : réinitialisations réseau/routeur, vidage DNS/cache, changement de DNS public, mode sans échec, nouveau profil utilisateur, pare‑feu/antivirus désactivés, réinstallation des navigateurs, date/heure automatiques, etc. Malgré tout, les erreurs persistent.

Réponse & solution (issue résolue)

1. Éradication massive de malwares

• Détection et suppression de programmes indésirables, dont WebDiscover Browser (spyware connu pour modifier les paramètres réseau et injecter des proxys/certificats).
• Plusieurs analyses successives avec Microsoft Defender (dont une analyse hors ligne) puis un antimalware réputé, jusqu’à disparition totale des détections.
• Effet attendu : fin de l’interception HTTPS, suppression des proxys injectés et des certificats douteux qui provoquent des erreurs TLS globales.

2. Défaillance matérielle réseau mise en évidence

• L’adaptateur Wi‑Fi USB s’est révélé défectueux (micro‑coupures, pertes de paquets, négociation TLS perturbée).
• Après assainissement logiciel, la panne matérielle est devenue visible et reproductible : remplacement de l’adaptateur → connectivité stable, Ethernet de nouveau utilisable de façon fiable, erreurs TLS disparues.

Conclusion : le cumul malwares + carte réseau défaillante provoquait des erreurs « certificat non valide » et bloquait l’accès aux pages nécessitant une session. La désinfection complète puis le remplacement de l’adaptateur ont totalement rétabli la navigation.

---

Comprendre ce qui se passe (pourquoi les certificats « échouent »)

Les erreurs TLS ne signifient pas toujours que « le site est dangereux ». Sur une machine affectée :

• Interception HTTPS : un PUP/spyware installe un certificat racine privé et force le trafic via un proxy local. Le navigateur voit des certificats émis par une autorité inconnue → ERR_CERT_AUTHORITY_INVALID.
• Horloge système fausse : si la date/heure ou le fuseau est incorrect, les certificats apparaissent expirés ou « pas encore valides » → ERR_CERT_DATE_INVALID.
• Magasin de racines obsolète : sans mises à jour, la chaîne de confiance ne peut plus être validée → erreurs répandues.
• Défauts réseau : pertes, retransmissions, MTU incohérent, USB instable… Les handshakes TLS échouent de façon erratique, surtout sur des pages d’authentification qui forcent HSTS, OCSP stapling, ciphers modernes et redirections multiples.

Ce mélange explique pourquoi seules les pages simples chargent : elles exigent moins d’étapes sensibles et tolèrent parfois des reconnections silencieuses, alors qu’une page de login coupe net au moindre écart.

---

Compléments utiles : procédure de dépannage reproductible

Objectif : isoler rapidement si l’origine est logicielle (malware/proxy/certificats) ou matérielle (réseau), sans dépendre d’une connexion au compte Microsoft.

A. Assainir la couche logicielle (avant tout)

1. Désinstaller les PUP/spywares connus : WebDiscover, barres d’outils, « VPN gratuits », « optimiseurs », navigateurs inconnus, injecteurs de publicité (via Applications et fonctionnalités).
2. Analyses AV successives :
   • Microsoft Defender : exécuter une analyse hors ligne pour neutraliser les menaces persistantes.
   • Puis un antimalware réputé (ex. Malwarebytes). Redémarrer et répéter jusqu’à zéro détection.
3. Vérifier et réinitialiser les proxys injectés : Paramètres > Réseau et Internet > Proxy → désactiver la configuration manuelle/auto si vous ne l’utilisez pas.

Ouvrir un invite de commandes en administrateur :
netsh winhttp show proxy
netsh winhttp reset proxy

Si la première commande montre un proxy non souhaité, la seconde le supprime pour la pile WinHTTP (nombre d’applications et services s’y fient).

B. Isoler la couche réseau/matériel

1. Changer de médium immédiatement : débrancher l’adaptateur Wi‑Fi USB, basculer en Ethernet direct sur le routeur. Si les erreurs disparaissent, suspectez l’adaptateur Wi‑Fi.
2. Essai croisé : autre adaptateur Wi‑Fi USB, autre port USB, autre câble Ethernet. Un port USB fatigué ou un dongle instable suffit à casser TLS.
3. Observateur d’événements : Journaux Windows > Système → erreurs/avertissements réseau récurrents (réinitialisations, timeouts, désassociations Wi‑Fi).
4. Tester la stabilité : latence et pertes de paquets peuvent se voir avec des pings prolongés et des téléchargements continus (sans VPN/AV).

C. Corriger l’heure et le magasin de certificats

1. Heure et fuseau : régler manuellement la date/heure, confirmer le fuseau horaire, puis forcer une resynchronisation NTP :

w32tm /resync /force

2. Racines de confiance : une base obsolète + interception HTTPS = erreurs globales. Après rétablissement du réseau, laisser Windows Update s’exécuter et actualiser les racines. Éviter la fonctionnalité « SSL scanning/HTTPS inspection » de certains antivirus : désactivez‑la si présente.

D. Réparer la pile réseau si encore instable

Exécutez ces commandes en invite administrateur :

netsh winsock reset
netsh int ip reset
ipconfig /flushdns
shutdown /r /t 5

Au redémarrage, testez sans extensions ni VPN, avec Edge fraîchement réinitialisé.

E. Finaliser côté Windows/Edge

1. Windows Update : résolvez le blocage de partition (agrandissez la partition réservée si nécessaire), puis appliquez toutes les mises à jour disponibles.
2. Edge : Paramètres > Réinitialiser les paramètres > Restaurer les paramètres par défaut et vider les données de navigation (cookies/cache). Désactivez temporairement toutes les extensions.
3. Pilotes réseau : réinstallez/actualisez le pilote de la carte réseau ou remplacez l’adaptateur en cas de doute.

---

Plan d’action rapide (si vous n’avez que 15 minutes)

1. Désinstallez tout PUP/« navigateur » inconnu (notamment WebDiscover).
2. Débranchez le Wi‑Fi USB → branchez Ethernet → testez les pages de connexion.
3. netsh winhttp reset proxy puis w32tm /resync /force.
4. netsh winsock reset + ipconfig /flushdns puis redémarrez.
5. Edge → réinitialisation des paramètres, cookies/cache vidés.

---

Tableau : symptômes → causes probables → tests → correctifs

Symptôme	Cause probable	Test rapide	Correctif
ERR_CERT_AUTHORITY_INVALID généralisé	Interception HTTPS (proxy/certificat racine injecté)	netsh winhttp show proxy; vérifier Proxy désactivé dans Paramètres	netsh winhttp reset proxy, désactiver le proxy, désinstaller PUP, reset Edge
ERR_CERT_DATE_INVALID	Heure/fuseau incorrect	Comparer l’horloge système à une source fiable	Régler l’heure, w32tm /resync /force
Erreurs surtout sur pages de login	Perte/instabilité réseau (Wi‑Fi USB, MTU, port USB)	Basculer en Ethernet; ping prolongé; autre port/adaptateur	Remplacer l’adaptateur, utiliser Ethernet, mettre à jour pilotes
Quelques sites simples OK, le reste KO	Chaîne TLS sensible brisée (racines obsolètes + proxy)	Essayer après désactivation du proxy; exécuter Windows Update	Mettre à jour Windows/certificats, désinstaller l’AV qui inspecte SSL
Tout navigateur affecté	Problème système/réseau global	Tester avec un autre OS live ou un autre appareil	Confirmer panne matérielle ou configuration réseau

---

Détails pratiques et astuces de diagnostic

Identifier un proxy/certificat indésirable

• Dans Paramètres > Réseau & Internet > Proxy, assurez‑vous que « Utiliser un script » et « Configuration manuelle du proxy » sont désactivés si vous n’en avez pas besoin.
• Dans l’invite administrateur : netsh winhttp show proxy netsh winhttp reset proxy
• Si votre antivirus propose « Analyse HTTPS/SSL » : désactivez explicitement cette fonction.

Mettre en évidence une défaillance d’adaptateur Wi‑Fi USB

• Les erreurs TLS surviennent surtout lors des logins, des pages lourdes ou des redirections multiples.
• Débranchez l’adaptateur et testez immédiatement en Ethernet : si tout fonctionne, l’adaptateur est suspect.
• Essayez un autre port USB (idéalement USB 2.0 vs 3.0) ; désactivez l’option « autoriser l’ordinateur à éteindre ce périphérique pour économiser l’énergie » dans le gestionnaire de périphériques (onglet Alimentation de la carte réseau).

Réparer proprement Edge après assainissement

1. Edge → Paramètres > Réinitialiser les paramètres > Restaurer les paramètres par défaut.
2. Historique → effacer cookies, caches, données de sites.
3. Désactiver toutes les extensions; réactiver une par une si nécessaire.

Magasin de certificats : quand et comment intervenir

• Évitez de supprimer des racines à la main. Préférez la mise à jour Windows pour remettre un état sain.
• Après correction réseau, laissez le système télécharger les mises à jour (certificats inclus).
• Si un éditeur de sécurité a inséré sa propre racine, vérifiez la politique « inspection HTTPS » et désactivez‑la durablement.

---

Étude de cas condensée (ce qui a réellement résolu le problème)

1. Nettoyage agressif : désinstallation de WebDiscover Browser et d’autres PUP, analyses Defender hors ligne puis antimalware via redémarrages successifs jusqu’à 0 détection.
2. Retour à une pile réseau neutre : netsh winhttp reset proxy netsh winsock reset netsh int ip reset ipconfig /flushdns w32tm /resync /force shutdown /r /t 5
3. Diagnostic matériel : dès que le système fut sain, l’instabilité Wi‑Fi est apparue clairement. Remplacement de l’adaptateur USB Wi‑Fi → disparition des erreurs TLS.
4. Finalisation : Windows Update complet (après résolution de la partition), réinitialisation d’Edge, pilotes réseau mis à jour. Navigation rétablie, logins OK.

---

FAQ – Questions fréquentes

Une simple déconnexion du compte Microsoft peut‑elle casser TLS ?

Non. La déconnexion du compte n’engendre pas d’erreurs de certificats à l’échelle du système. Si vous voyez des erreurs TLS généralisées, cherchez plutôt du côté proxy/malware, heure/fuseau, certificats racine et matériel réseau.

Pourquoi les pages de connexion échouent‑elles toutes ?

Ces pages imposent HSTS, redirections vers des domaines d’identité, cookies SameSite, OCSP stapling et ciphers modernes. La moindre anomalie (horloge fausse, proxy MITM, pertes) provoque un échec net, sans possibilité de contournement.

Changer de DNS (1.1.1.1/8.8.8.8) suffit‑il ?

Rarement, si la cause est un proxy malveillant ou un adaptateur défectueux. Le DNS peut améliorer la résolution, mais ne corrige ni l’interception HTTPS ni les pertes au niveau lien/USB.

Faut‑il réinstaller Windows ?

Non, sauf corruption profonde. Dans la majorité des cas, désinfection + remise à zéro réseau + remplacement de l’adaptateur fautif suffit. Une réinstallation est coûteuse et rarement nécessaire.

---

Checklist complète et ordonnée

1. Débrancher le Wi‑Fi USB, brancher Ethernet et retester immédiatement.
2. Désinstaller PUP/spywares (dont WebDiscover), puis analyses Defender hors ligne et antimalware jusqu’à 0 détection.
3. Proxy : netsh winhttp show proxy netsh winhttp reset proxy Vérifier Paramètres > Proxy (tout désactivé si inutile).
4. Heure/fuseau corrects, puis : w32tm /resync /force
5. Réparer la pile réseau : netsh winsock reset netsh int ip reset ipconfig /flushdns shutdown /r /t 5
6. Edge : réinitialiser et vider cookies/cache; extensions désactivées.
7. Mises à jour : résoudre la partition système, exécuter Windows Update jusqu’au bout (certificats racine inclus).
8. Matériel : si le Wi‑Fi reste instable, remplacer l’adaptateur ou rester sur Ethernet.

---

Encadré sécurité

• Les PUP « navigateurs » alternatifs, barres d’outils et « VPN gratuits » sont des sources majeures d’interception HTTPS. Évitez‑les.
• N’activez jamais l’inspection SSL/HTTPS dans un antivirus grand public, sauf impératif professionnel maîtrisé.
• Ne faites confiance qu’aux certificats émis par des autorités reconnues. Un certificat « sécurisé » ne signifie pas « légitime » ; vérifiez l’émetteur.

---

Annexes : commandes utiles (mémo)

Objectif	Commande	Remarque
Afficher/supprimer le proxy WinHTTP	netsh winhttp show proxy netsh winhttp reset proxy	Crucial si un PUP a forcé un proxy système
Resynchroniser l’horloge	w32tm /resync /force	Corrige ERR_CERT_DATE_INVALID
Réinitialiser la pile réseau	netsh winsock reset netsh int ip reset ipconfig /flushdns	À exécuter en administrateur, suivi d’un redémarrage
Redémarrage rapide	shutdown /r /t 5	Relance propre après les resets

---

Résumé exécutable

• Des erreurs TLS partout ne proviennent pas d’une simple déconnexion du compte Microsoft : cherchez malwares (proxy/SSL interception), certificats racine obsolètes ou panne réseau.
• Dans ce cas, la suppression complète des malwares a mis en évidence une panne de l’adaptateur Wi‑Fi USB ; le remplacement + l’assainissement ont totalement rétabli la navigation (y compris les logins).
• Procédure gagnante : assainir → bypasser/tester le matériel → réparer la pile réseau → mettre à jour Windows/certificats → réinitialiser Edge.

---

Checklist imprimable (à coller près du PC)

1. Virer WebDiscover/« navigateurs » inconnus, puis Defender hors ligne + antimalware jusqu’à 0 détection.
2. netsh winhttp reset proxy (et vérifier Proxy dans Paramètres).
3. Débrancher Wi‑Fi USB, passer en Ethernet, retester une page de connexion.
4. w32tm /resync /force puis netsh winsock reset, ipconfig /flushdns, redémarrage.
5. Réinitialiser Edge, vider cookies/cache, extensions off.
6. Résoudre la partition bloquante, Windows Update complet, pilotes réseau à jour.
7. Si le Wi‑Fi reste capricieux, remplacer l’adaptateur (ou rester en Ethernet).

---

Pourquoi cette approche fonctionne réellement

Elle s’attaque au couple de causes le plus fréquent : logiciel parasite + matériel réseau instable. En neutralisant l’interception HTTPS et en rétablissant une couche réseau fiable, on restaure la chaîne TLS (racines à jour, heure synchronisée, handshakes sans pertes). Le navigateur, redevenu neutre, cesse d’alarmer et les portails d’authentification (Microsoft, banques, SaaS) se chargent normalement.

---

En appliquant rigoureusement cette procédure, vous passez de « presque aucun site ne se charge » à une navigation stable et sécurisée, sans réinstallation lourde de Windows, et avec un diagnostic clair et documenté de la cause racine.