Redoutable car invisible aux antivirus, l’extension Edge « CumulonimbusincusPileus » s’installe comme « Managed by your organization » et résiste à une désinstallation classique. Ce guide vous accompagne, point par point, pour l’éradiquer définitivement et assainir votre navigateur Microsoft Edge.
Problématique
Découverte après l’alerte d’un utilisateur, l’extension CumulonimbusincusPileus se comporte de façon typique :
- signalée comme contrôlée par l’entreprise (Managed by your organization) ;
- non détectée par Microsoft Defender, Malwarebytes, ESET ou Sophos ;
- retirée de Chrome par certains nettoyeurs (Zemana, AdwCleaner) mais toujours présente et active dans Edge ;
- protégée par une stratégie
ExtensionInstallForcelistmasquée dans le Registre ou dans une GPO locale.
Autrement dit : l’extension reste visible dans edge://extensions, impossible à supprimer et revient parfois après redémarrage.
Méthode appliquée (récapitulatif)
| Étape | But | Résultat |
|---|---|---|
Suppression des clés Registre Policies :HKLM\SOFTWARE\Policies\Microsoft\EdgeHKCU\SOFTWARE\Policies\Microsoft\Edge | Désactiver tout déploiement forcé d’extensions | L’extension est désactivée, mais Edge ne propose toujours pas le bouton « Supprimer » |
| Analyses antivirus complètes (Defender, Malwarebytes) | Écarter la présence d’un malware système classique | Aucune détection |
Inspection de %LOCALAPPDATA% | Repérer un dossier d’extension suspect | Aucun dossier clairement lié trouvé |
Recherche des fichiers .json | Identifier le manifeste de l’extension | ≈ 1 900 résultats ; filtrage manuel lourd |
Plan d’action détaillé
1. Localiser et supprimer manuellement le dossier d’extension
- Ouvrez l’Explorateur Windows et collez :
%LOCALAPPDATA%\Microsoft\Edge\User Data\ - Entrez dans votre profil (
Default,Profile 1, …) puis dansExtensions. - Chaque sous‑dossier porte un identifiant de 32 caractères. Laissez l’affichage des dossiers ouverts dans un coin.
- Dans Edge, tapez
edge://extensions, activez le Mode développeur puis relevez l’ID indiqué sous « CumulonimbusincusPileus » ; c’est l’identifiant du dossier à effacer. - Supprimez tout le dossier correspondant à cet ID (navigateur fermé).
- Répétez l’opération pour chaque profil Edge listé.
2. Purger les stratégies persistantes
La présence d’une seule entrée ExtensionInstallForcelist suffit à réinstaller l’extension ou à bloquer son retrait.
| Emplacement | Action |
|---|---|
edge://policy | Cliquez sur Reload Policies. Si une ligne fait référence à l’ID de l’extension, notez le numéro de stratégie. |
Éditeur de stratégie locale (gpedit.msc) | Accédez à Configuration ordinateur → Modèles d’administration → Microsoft Edge → Extensions, puis mettez « Installer les extensions listées dans ExtensionInstallForcelist » sur Non configuré. |
| Registre 64 bits | Supprimez toute valeur sous :HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist |
| Registre classique | Même opération à :HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelistHKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist |
3. Réinitialiser Edge pour nettoyer la base de données du profil
- Dans la barre d’adresse, saisissez
edge://settings/reset. - Cliquez sur Restaurer les paramètres par défaut.
- Redémarrez Edge ; l’extension doit avoir disparu de la liste.
- Si elle réapparaît : créez un nouveau profil Edge. L’absence de l’extension confirmée dans ce profil prouve que l’ancienne base est contaminée.
- Dernier recours : créer un nouvel utilisateur Windows, connecter votre compte Microsoft et importer vos favoris.
4. Vérifications système approfondies
| Tâche | Pourquoi | Outil ou commande |
|---|---|---|
| Analyse Windows Defender hors ligne | Traquer rootkits ou pilotes corrompus | Sécurité Windows → Options d’analyse → Analyse hors ligne |
| Second avis anti‑adware | Repérer restes de PUP/Adware | AdwCleaner, ESET Online Scanner |
| Audit du Planificateur de tâches | Débusquer toute tâche de ré‑installation automatique | taskschd.msc → Bibliothèque du Planificateur |
| Examen d’Autoruns | Lister chaque point de lancement du système | Autoruns64.exe → onglet Scheduled Tasks & Browser Helper Objects |
| Clés d’extensions externes | Edge peut charger une extension depuis le disque | HKLM\SOFTWARE\Google\Chrome\Extensions (Edge hérite parfois de cette clé) |
5. Contrôles réseau et mémoire
Même si l’extension est retirée, vérifier qu’aucun binaire n’écoute encore sur un port local ou n’injecte du code dans les processus Edge :
- TCPView : filtrez les processus « msedge.exe » et vérifiez qu’aucune connexion suspecte n’apparaît (IP non Microsoft).
- Process Explorer : passez le curseur sur le processus principal Edge ; l’onglet DLL ne doit charger aucun exécutable issu d’un chemin temporaire ou inconnu.
- Memory Integrity (VBS/HVCI) : activez‑la dans le Centre de sécurité Windows pour bloquer toute injection future.
6. Bonnes pratiques de prévention
- Laissez SmartScreen activé (navigateur et système).
- Interdisez l’installation d’extensions hors du Microsoft Edge Add‑ons Store via stratégie
ExtensionInstallBlocklist. - Maintenez Windows, Edge et vos signatures antivirus à jour ; activez les mises à jour automatiques.
- Créez des points de restauration et, mieux encore, des images système régulières avant toute modification du Registre.
- Éduquez les utilisateurs : une bannière « Controlled by your organization » sur un PC personnel n’est jamais anodine.
Exemple de séquence PowerShell automatisée
Pour les administrateurs, le script suivant (à exécuter en tant qu’admin) recherche toute politique Forcelist et supprime l’ID incriminé :
<#
.SYNOPSIS
Retire une extension Edge imposée et nettoie la stratégie correspondante.
#>
$extensionID = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" # Remplacez par l’ID réel
$paths = @(
"HKLM:\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist",
"HKCU:\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist",
"HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist"
)
foreach ($p in $paths) {
if (Test-Path $p) {
Get-ItemProperty -Path $p | Get-Member -MemberType NoteProperty | ForEach-Object {
$name = $_.Name
$value = (Get-ItemProperty -Path $p).$name
if ($value -match $extensionID) {
Remove-ItemProperty -Path $p -Name $name
Write-Host "Clé $name supprimée sous $p"
}
}
}
}
Write-Host "Redémarrez Edge pour finaliser la suppression."
Un journal d’exécution peut être redirigé vers un fichier (-OutFile) pour archivage.
Désinfection pas à pas — aide‑mémoire
| # | Action | Validation attendue |
|---|---|---|
| 1 | Supprimer l’ID de dossier dans \Extensions\ | Dossier absent après actualisation |
| 2 | Nettoyer ExtensionInstallForcelist (Registre ou GPO) | edge://policy n’affiche plus l’ID |
| 3 | Réinitialiser Edge | Extension non listée dans edge://extensions |
| 4 | Lancer Defender hors ligne + AdwCleaner | 0 menace détectée |
| 5 | Contrôler Planificateur, Autoruns, TCPView | Aucun exécutable tiers actif |
Conclusion
Une extension qui se déclare « Managed by your organization » alors que vous n’êtes pas en environnement d’entreprise est un signal rouge. CumulonimbusincusPileus s’appuie sur la combinaison « dossier persistant » + « clé Registre forcée » ; la retirer exige donc une approche en trois temps : suppression du dossier, neutralisation des politiques, puis réinitialisation ou création d’un profil vierge. En doublant l’opération d’un scan hors ligne et d’un audit des tâches planifiées, vous bloquez tout mécanisme de ré‑installation. Après redémarrage, Edge reste propre, le message « Managed » disparaît, et votre navigateur retrouve son intégrité.
En appliquant ces étapes minutieusement, vous neutralisez non seulement cette extension mais également toute menace future exploitable via les mêmes vecteurs — et vous consolidez la surface de sécurité de votre environnement Windows.