Victime d’un PUP Optional.Spigot qui réapparaît dès que la synchronisation Microsoft Edge est remise en service ? Cette procédure pas‑à‑pas explique comment purger le cloud, nettoyer les profils locaux et redémarrer sur une base saine sans réimporter l’infection.
Vue d’ensemble de la question
PUP .Optional.Spigot s’installe souvent via des bundles d’extensions « utilitaires », modifie la page d’accueil ou le moteur de recherche, puis persiste grâce à Edge Sync. Même après un formatage complet, la réactivation de la synchronisation extrait à nouveau des signets, extensions ou paramètres infectés stockés dans le cloud Microsoft Edge. Pour éradiquer durablement la menace, il faut :
- interrompre la synchronisation sur tous les appareils connectés ;
- supprimer les données synchronisées côté serveur ;
- repartir avec un profil local vierge et contrôlé ;
- ne réactiver la synchronisation qu’une fois l’environnement certifié propre.
Étapes détaillées et bonnes pratiques
| Étape | Action | Pourquoi c’est utile |
|---|---|---|
| 1. Couper la synchronisation sur tous les appareils | Ouvrez edge://settings/profiles/sync et désactivez chaque bascule OU tapez edge://sync-internals puis double‑cliquez sur « Stop Sync ». Répétez l’opération sur chaque PC, Mac, smartphone ou VM utilisant votre compte Microsoft. | Bloque toute nouvelle propagation en empêchant l’upload/download d’éléments corrompus pendant le nettoyage. |
| 2. Purger les données du cloud | Toujours dans Synchronisation, choisissez « Réinitialiser la synchronisation » puis confirmez « Effacer les données de synchronisation sur tous les appareils ». | Supprime les signets, extensions, réglages et historiques conservés sur les serveurs Microsoft. Le vidage crée un nouveau Store birthday (identifiant unique visible dans edge://sync-internals). |
| 3. Créer un profil sain | Sur une machine test, ajoutez un Nouveau profil Edge ; connectez‑vous, vérifiez l’absence d’alerte; puis supprimez l’ancien profil local depuis « Gérer les profils ». | Répart d’une configuration sans héritage d’extensions ou préférences infectées. |
| 4. Nettoyer le stockage local | Fermez Edge puis renommez ou effacez :"%LOCALAPPDATA%\Microsoft\Edge\User Data"(Windows) ou le dossier équivalent sous ~/Library/Application Support/Microsoft Edge (macOS) / ~/.config/microsoft‑edge (Linux). | Éradique toute trace résiduelle : bases SQLite History, Favicons, Preferences, extensions et Service Workers persistants. |
| 5. Vider les données de navigation | Accédez à : Paramètres ▸ Confidentialité, recherche et services ▸ Effacer les données de navigation. Sélectionnez « Toutes les périodes » et cochez Historique, Cookies, Cache, etc. | Empêche la ré‑injection via cookies de suivi, moteurs de recherche détournés ou sessions persistantes. |
| 6. Vérifier le démarrage et le moteur de recherche | Dans Paramètres ▸ Au démarrage et Paramètres ▸ Confidentialité, recherche et services ▸ Barre d’adresses & recherche, supprimez toute URL inconnue et définissez un fournisseur de confiance (Bing, DuckDuckGo…). | Spigot remplace fréquemment la page d’accueil et le provider pour rediriger le trafic vers des publicités. |
| 7. Re‑scanner avant de réactiver Sync | Lancez Microsoft Defender hors ligne ou Malwarebytes depuis un média amorçable. N’activez la synchronisation qu’après un rapport 100 % propre. | Évite qu’un fichier ou une clé de registre dormant soit resynchronisé et réenclenche une boucle d’infection. |
Comprendre la mécanique de Edge Sync
Edge Sync repose sur un jeu de « types » : Bookmarks, Settings, Extensions, Preferences, Payments, ReadingList, etc. Chaque type est identifié par un GUID et stocké dans un backend Azure Active Directory lié à votre compte Microsoft. Si un PUP injecte un signet ou une extension, l’objet est répliqué sur tous vos appareils dès qu’ils se reconnectent. C’est pourquoi une simple réinstallation du système ne suffit pas ; le backend doit être purgé.
Diagnostic avancé via edge://sync-internals
- Status : vérifiez que « Transport State » passe de Active à Disabled après l’arrêt de la synchronisation.
- Store birthday : un nouvel identifiant apparaît après la purge du cloud ; s’il ne change pas, réessayez l’étape 2.
- Errors : la présence de SYNC_DATA_FOLDER_ACCESS_DENIED ou DATATYPE_ERROR indique souvent des résidus sur le disque local.
Script PowerShell pour automatiser l’effacement local (Windows)
# Fermer Edge et services associés
Get-Process "msedge","msedgewebview2" -ErrorAction SilentlyContinue | Stop-Process -Force
# Sauvegarde facultative
Copy-Item "$Env:LOCALAPPDATA\Microsoft\Edge\User Data" `
"$Env:USERPROFILE\Desktop\EdgeBackup_$(Get-Date -Format yyyyMMddHHmmss)" `
-Recurse -Force
# Suppression définitive
Remove-Item "$Env:LOCALAPPDATA\Microsoft\Edge\User Data" -Recurse -Force
Cas d’usage en environnement professionnel
Dans les organisations Microsoft 365, les administrateurs peuvent réinitialiser la synchronisation pour un utilisateur sans accès physique à sa machine :
- Ouvrir le Centre d’administration Microsoft 365.
- Parcourir : Paramètres ▸ Services ▸ Microsoft Edge.
- Sélectionner l’utilisateur concerné, puis Réinitialiser la synchronisation.
Il est également possible de déployer une stratégie de groupe ForceSyncAppDataRemoved pour interdire temporairement la synchronisation tant que la machine n’est pas certifiée conforme.
Comment Spigot s’infiltre
Spigot se propage via :
- Installateurs de freeware incluant une case « Assistant de recherche amélioré » cochée par défaut ;
- Extensions proposant des coupons ou des convertisseurs de fichiers ;
- Scripts d’injection dans des pages clonées (typosquatting).
Une fois présent, il crée ou modifie :
- une extension ID fixe (ex.
ndlnekdppkljnefhahlcnnoocnn-xxxx) ; - la clé de Registre
HKCU\Software\Microsoft\Internet Explorer\SearchScopes; - des tâches planifiées pour réinstaller l’extension si supprimée.
Checklist post‑éradication
- La valeur Device Busy = 0 apparaît dans
edge://sync-internals. - Aucun message « Extension désactivée » ni « Moteur de recherche réinitialisé » n’apparaît au redémarrage.
- Microsoft Defender affiche « 0 élément détecté » sur analyse complète.
- Les navigateurs secondaires (Chrome, Brave, Opera) ont été vérifiés pour éviter une ré‑importation croisée.
- SmartScreen est activé dans Paramètres ▸ Confidentialité, recherche et services.
- La liste blanche d’extensions est limitée à celles installées via le Microsoft Store ou votre plateforme interne.
FAQ
La réinitialisation supprime‑t‑elle mes mots de passe ?
Oui, si vous choisissez d’effacer « Mots de passe ». Exportez-les d’abord en CSV (edge://settings/passwords) puis réimportez‑les après contrôle.
Combien de temps le backend conserve‑t‑il mes données après purge ?
Le processus est immédiat côté serveur ; côté client, le jeton est invalidé sous 60 minutes. Le changement de Store birthday confirme l’opération.
Puis‑je supprimer uniquement les extensions et garder mes favoris ?
Non : la commande Réinitialiser la synchronisation est globale. Pour un effacement partiel, désactivez les bascules inutiles, puis nettoyez manuellement.
Mon téléphone Android réinfecte‑t‑il le PC ?
Oui, si Edge est connecté avec la même identité et conserve des éléments synchronisés avant la purge. Répétez les étapes 1 et 2 sur mobile.
Bonnes pratiques de prévention
- Téléchargez vos logiciels depuis les sites éditeurs et non depuis des répertoires tiers.
- Activez l’option Bloquer les applications potentiellement indésirables dans Microsoft Defender.
- Appliquez une stratégie de mot de passe fort et une authentification multifacteur : un compte Microsoft piraté facilite l’ajout d’une extension malveillante à distance.
- Réservez aux administrateurs l’autorisation d’installer des extensions via Microsoft Edge Add‑ons.
- Effectuez un audit de vos signets : supprimez les entrées pointant vers
*mysearch.com,*searchalgo.com, etc.
Conclusion
La clé de la désinfection permanente de Spigot dans Microsoft Edge réside dans l’ordre des opérations : Stopper la synchronisation, Purger le cloud, Nettoyer le profil local, puis Redémarrer sur un environnement validé. Suivre ces étapes, c’est prévenir tout retour intempestif de l’adware, sécuriser vos sessions et retrouver un navigateur pleinement maîtrisé.