Supprimer l’extension malveillante Findquest « gérée par votre organisation » (Edge/Chrome)

Impossible de retirer l’extension « Findquest » dans Edge/Chrome car elle est « gérée par votre organisation » ? Suivez ce guide pas à pas : on supprime les stratégies forcées, on nettoie le système et on empêche toute réinstallation.

Vue d’ensemble du problème

Des utilisateurs signalent une extension malveillante nommée Findquest (souvent associée au domaine boyu.com) qui se réinstalle systématiquement dans Microsoft Edge et parfois Google Chrome. Le retrait manuel est bloqué car l’extension est marquée « Ajoutée par une stratégie / Managed by your organization ». Même une réinitialisation du navigateur, voire une réinstallation complète, ne change rien tant que la stratégie demeure en place.

Racine du problème : un programme potentiellement indésirable (PUP) a créé des stratégies de navigateur dans le Registre Windows pour imposer l’installation de l’extension. La solution consiste à supprimer ces clés de stratégie, redémarrer, puis finaliser le nettoyage.

---

Plan d’action express

• Fermez Edge et Chrome.
• Supprimez les stratégies dans le Registre pour Edge et, si nécessaire, pour Chrome (clés Policies en HKLM/HKCU, et WOW6432Node).
• Redémarrez le PC (redémarrage complet).
• Vérifiez dans edge://policy et chrome://policy que les entrées suspectes ont disparu ; retirez l’extension dans edge://extensions / chrome://extensions.
• Réinitialisez les paramètres du navigateur si besoin.
• Nettoyez les tâches planifiées, démarrages automatiques, programmes récents, proxy, et faites une analyse hors ligne avec Microsoft Defender.

---

Étapes rapides pour Microsoft Edge

1. Fermez totalement Edge.
2. Ouvrez l’Éditeur du Registre (en administrateur).
   Windows + R → tapez regedit → Entrée.
3. Supprimez les clés de stratégie Edge si elles existent :
   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Edge HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge Astuce : ciblez surtout la sous-clé ExtensionInstallForcelist si elle est présente. Le plus simple est de supprimer la clé Edge entière sous Policies.
4. Redémarrez le PC (redémarrage réel, pas simple arrêt/veille).
5. Contrôlez Edge :
   • Ouvrez edge://policy → cliquez Reload policies : la page doit être vide ou ne contenir que des stratégies légitimes (aucune ligne « ExtensionInstallForcelist » imposant Findquest).
   • Ouvrez edge://extensions → supprimez l’extension si elle est encore visible.
   • Si nécessaire : Paramètres → Réinitialiser les paramètres → Restaurer les paramètres par défaut.

---

Étapes rapides pour Google Chrome

1. Fermez totalement Chrome.
2. Dans Regedit (admin), supprimez les clés de stratégie Chrome :
   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome HKEY_CURRENT_USER\SOFTWARE\Policies\Google\Chrome HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome Comme pour Edge, supprimez en particulier ExtensionInstallForcelist si elle est présente (ou la clé Chrome entière sous Policies).
3. Redémarrez le PC.
4. Contrôlez Chrome :
   • chrome://policy → bouton Rafraîchir.
   • chrome://extensions → Supprimer l’extension.
   • Si besoin → Paramètres → Réinitialiser les paramètres → Restaurer les paramètres par défaut.

Important : ne supprimez pas les clés Extensions qui se trouvent en dehors des branches Policies si vous n’êtes pas sûr de vous. L’objectif est d’ôter uniquement les stratégies qui forcent l’extension.

---

Quand le Registre refuse la suppression

Si un message du type « Error while deleting key » apparaît, utilisez l’une des approches suivantes :

• Lancez Regedit en administrateur (clic droit → Exécuter en tant qu’admin).
• Reprenez la propriété de la clé : clic droit sur la clé → Autorisations → Avancé → Modifier le propriétaire (sélectionnez votre compte admin) → cochez Remplacer toutes les entrées d’autorisations… → donnez-vous Contrôle total → OK → supprimez.
• Mode sans échec : redémarrez Windows en mode sans échec puis refaites la suppression.
• Invite de commandes (admin) : exécutez ces commandes pour forcer la suppression : reg delete "HKLM\SOFTWARE\Policies\Microsoft\Edge" /f reg delete "HKCU\SOFTWARE\Policies\Microsoft\Edge" /f reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge" /f reg delete "HKLM\SOFTWARE\Policies\Google\Chrome" /f reg delete "HKCU\SOFTWARE\Policies\Google\Chrome" /f reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome" /f

---

Nettoyage complémentaire pour éviter la réinfection

1. Tâches planifiées & démarrage automatique
   • Ouvrez Planificateur de tâches et Gestionnaire des tâches → Démarrage. Supprimez ou désactivez toute entrée douteuse (findquest, boyu, noms aléatoires, etc.).
   • Vérifiez les clés Run du Registre : HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. Programmes installés
   • Dans Applications et fonctionnalités / Programmes et fonctionnalités, désinstallez les logiciels récemment installés, inconnus ou inutiles.
3. Paramètres réseau
   • Vérifiez qu’aucun proxy non désiré n’est activé (Paramètres Windows → Réseau & Internet → Proxy). Supprimez tout script PAC ou proxy manuel que vous n’avez pas configuré.
4. Profils des navigateurs
   • Une fois les policies supprimées, vous pouvez effacer à la main d’éventuels restes d’extensions : %LocalAppData%\Google\Chrome\User Data\Default\Extensions\ %LocalAppData%\Microsoft\Edge\User Data\Default\Extensions\ Chaque dossier correspond à l’ID d’une extension (32 caractères). Supprimez uniquement ce qui est lié à Findquest.
5. Analyse de sécurité
   • Lancez Microsoft Defender → Analyse hors ligne (Offline) pour supprimer d’éventuels restes. Un second avis avec un antimalware réputé peut aider.

---

Pourquoi « Géré par votre organisation » s’affiche

Edge et Chrome affichent ce message quand au moins une stratégie (policy) est définie pour le navigateur. En entreprise, c’est normal : l’IT pousse des configurations via GPO, MDM ou des fichiers de stratégie. Sur un PC personnel, l’apparition soudaine de ce message, combinée à une extension non supprimable, est un indicateur fort qu’un logiciel indésirable a déployé des clés de stratégie pour imposer un moteur de recherche, une page d’accueil ou une extension.

---

Vérifications rapides dans le navigateur

• Edge : edge://policy, puis Reload policies. Consultez aussi edge://extensions et edge://management (indique si le navigateur est managé).
• Chrome : chrome://policy (bouton Rafraîchir), chrome://extensions et chrome://management.

Si la page des policies cite ExtensionInstallForcelist avec une entrée pointant vers Findquest (ou un identifiant d’extension suspect), c’est bien une installation forcée. La suppression de la clé côté Registre doit faire disparaître cette ligne après redémarrage.

---

Tableau récapitulatif des emplacements de stratégie

Emplacement	Produit	À faire	Remarques
HKLM\SOFTWARE\Policies\Microsoft\Edge	Edge (machine entière)	Supprimer la clé Edge	Clés machine appliquées à tous les comptes
HKCU\SOFTWARE\Policies\Microsoft\Edge	Edge (profil utilisateur)	Supprimer la clé Edge	Clés appliquées à l’utilisateur courant
HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge	Edge 32 bits sur Windows 64 bits	Supprimer la clé Edge	Présent uniquement sur OS 64 bits
HKLM\SOFTWARE\Policies\Google\Chrome	Chrome (machine entière)	Supprimer la clé Chrome	Clés machine appliquées à tous les comptes
HKCU\SOFTWARE\Policies\Google\Chrome	Chrome (profil utilisateur)	Supprimer la clé Chrome	Clés appliquées à l’utilisateur courant
HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome	Chrome 32 bits sur Windows 64 bits	Supprimer la clé Chrome	Présent uniquement sur OS 64 bits

---

Alternative en PowerShell

Si vous préférez PowerShell (administrateur), exécutez ces commandes :

# Edge
Remove-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "HKCU:\SOFTWARE\Policies\Microsoft\Edge" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge" -Recurse -Force -ErrorAction SilentlyContinue

# Chrome

Remove-Item -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "HKCU:\SOFTWARE\Policies\Google\Chrome" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "HKLM:\SOFTWARE\WOW6432Node\Policies\Google\Chrome" -Recurse -Force -ErrorAction SilentlyContinue 

Ensuite, redémarrez le PC, puis contrôlez edge://policy et chrome://policy.

---

Identifier l’ID de l’extension et la retirer du profil

Même après suppression des policies, un reste de l’extension peut subsister dans le profil. Voici comment procéder de façon sûre :

1. Ouvrez edge://extensions ou chrome://extensions et activez le mode développeur (Chrome) si disponible : l’ID de l’extension (suite de 32 caractères) s’affiche.
2. Fermez le navigateur.
3. Dans l’Explorateur de fichiers, rendez-vous dans le dossier des extensions : %LocalAppData%\Microsoft\Edge\User Data\Default\Extensions\ %LocalAppData%\Google\Chrome\User Data\Default\Extensions\
4. Supprimez le dossier correspondant à l’ID de Findquest uniquement.
5. Rouvrez le navigateur et vérifiez que l’extension a disparu.

---

Cas particulier : poste d’entreprise

Si votre PC appartient à une organisation (compte Azure AD, domaine AD, MDM, etc.), vos navigateurs peuvent être volontairement managés. Dans ce cas :

• Ne supprimez pas des stratégies sans l’accord de l’IT ; vous pourriez enfreindre une politique de sécurité.
• Si l’extension Findquest est réellement malveillante, prévenez immédiatement l’équipe sécurité afin qu’elle révoque le déploiement côté GPO/MDM.

---

Bonnes pratiques et prévention

• Point de restauration : créez un point avant toute modification du Registre.
• Mises à jour : tenez Windows, Edge et Chrome à jour.
• Extensions : n’installez que depuis les stores officiels ; évitez les installateurs tiers « bundlés ».
• Prudence à l’installation : choisissez systématiquement l’installation personnalisée pour décocher les composants indésirables.
• Sauvegardes : conservez des sauvegardes régulières (disque externe, cloud).
• Comptes Windows : utilisez un compte standard au quotidien, réservez l’admin aux opérations ponctuelles.

---

FAQ utile

Une réinitialisation d’Edge/Chrome suffit-elle ?

Non, pas tant que la stratégie qui force l’extension existe dans le Registre. La réinitialisation remettra certains paramètres, mais la stratégie réimposera l’extension au prochain démarrage.

Pourquoi l’extension réapparaît-elle après suppression ?

Parce qu’une clé ExtensionInstallForcelist (ou équivalent) ordonne au navigateur d’installer l’extension à chaque lancement. Tant que cette clé existe, la réinstallation est automatique.

Dois-je supprimer la clé entière ou seulement la sous-clé de l’extension ?

Le plus sûr et le plus rapide est de supprimer la clé produit (Edge ou Chrome) sous Policies. Cela retire toutes les stratégies malicieuses d’un coup. Si vous êtes expert, vous pouvez enlever uniquement les valeurs qui imposent l’extension.

Que faire si le dossier d’extension revient malgré tout ?

Reprenez les étapes de nettoyage complémentaire : tâches planifiées, démarrages, programmes récents, proxy. Exécutez une analyse hors ligne avec Microsoft Defender et, en second avis, un antimalware réputé. Vérifiez également que vous avez bien redémarré après la suppression des clés.

Comment savoir si mon navigateur est encore managé ?

Ouvrez edge://management ou chrome://management. S’il est indiqué « Ce navigateur est géré », consultez edge://policy / chrome://policy pour voir quelles stratégies s’appliquent. Sur un PC personnel, l’apparition de stratégies inconnues est suspecte.

---

Diagnostic rapide en ligne de commande

Pour lister les stratégies présentes (Invite de commandes en admin) :

reg query "HKLM\SOFTWARE\Policies\Microsoft\Edge" /s
reg query "HKCU\SOFTWARE\Policies\Microsoft\Edge" /s
reg query "HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge" /s

reg query "HKLM\SOFTWARE\Policies\Google\Chrome" /s
reg query "HKCU\SOFTWARE\Policies\Google\Chrome" /s
reg query "HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome" /s 

Recherchez des valeurs du type 1 = <ID extension> ; <URL> dans ExtensionInstallForcelist : cela révèle l’installation forcée de l’extension.

---

Erreurs courantes et correctifs

Symptôme	Cause probable	Solution
« Managed by your organization » s’affiche	Au moins une stratégie active	Supprimer les clés Policies correspondantes, redémarrer
Impossible de supprimer la clé (erreur d’accès)	Propriété/permissions modifiées	Reprendre la propriété, donner Contrôle total, supprimer en mode sans échec ou via reg delete
L’extension revient après redémarrage	Tâche planifiée/service réinstalle la clé	Nettoyer tâches/services/Run, analyser avec Defender Offline
Page d’accueil/moteur de recherche changés	Stratégies imposant startpage/search	Supprimer les Policies, réinitialiser le navigateur
Trafic web détourné	Proxy ou script PAC forcé	Désactiver le proxy dans Paramètres → Réseau & Internet → Proxy

---

Bonnes pratiques après remédiation

• Surveillez pendant quelques jours que l’extension ne réapparaît pas.
• Changez vos mots de passe si vous avez saisi des identifiants pendant l’infection (privilégiez l’authentification multi‑facteurs).
• Activez la protection SmartScreen et la réputation des applications sur Windows.
• Limitez les droits : évitez d’utiliser un compte admin pour votre session quotidienne.

---

Récapitulatif

• Le blocage provient de policies dans le Registre qui forcent l’extension Findquest.
• Supprimez les clés de stratégie pour Edge/Chrome (HKLM/HKCU/WOW6432Node), redémarrez, puis retirez l’extension et réinitialisez si nécessaire.
• Si la suppression échoue, reprenez les permissions, passez en Mode sans échec ou utilisez reg delete.
• Effectuez un nettoyage complémentaire (tâches, démarrages, programmes, proxy) et lancez une analyse Defender hors ligne pour éviter toute réapparition.

---

Procédure complète détaillée

Pour les utilisateurs qui souhaitent une approche pas à pas exhaustive :

1. Préparation
   • Créez un point de restauration.
   • Notez vos favoris / mots de passe si vous envisagez une réinitialisation des navigateurs.
   • Téléchargez/ouvrez les outils de sécurité nécessaires (Microsoft Defender étant intégré à Windows).
2. Arrêt des navigateurs
   • Fermez Edge/Chrome. Vérifiez dans le Gestionnaire des tâches qu’aucun processus msedge.exe ou chrome.exe ne tourne encore.
3. Suppression des stratégies
   • Regedit (admin) → supprimez les clés Policies\Microsoft\Edge et Policies\Google\Chrome (HKLM/HKCU, et WOW6432Node en 64 bits).
   • En cas d’échec, utilisez la reprise de propriété, le Mode sans échec ou reg delete.
4. Redémarrage complet
   • Redémarrez le système (pas d’hibernation ni veille).
5. Contrôle dans le navigateur
   • edge://policy / chrome://policy → rechargez la page et vérifiez l’absence d’entrées suspectes.
   • Supprimez l’extension dans la page des extensions si elle figure encore.
   • Réinitialisez les paramètres si vous constatez des pages d’accueil ou moteurs non désirés.
6. Assainissement Windows
   • Programmes récents → désinstallez tout logiciel douteux.
   • Tâches planifiées/démarrages → supprimez les éléments liés.
   • Proxy → vérifiez qu’aucun proxy ni script PAC n’est configuré à votre insu.
   • Profils → supprimez manuellement les dossiers d’extension résiduels.
7. Analyse de sécurité
   • Microsoft Defender → Analyse hors ligne pour terminer le nettoyage.
8. Suivi
   • Surveillez le système pendant quelques jours. Si les symptômes reviennent, répétez la vérification des policies et des tâches planifiées.

---

Conclusion

Le marquage « géré par votre organisation » n’est pas en soi un signe d’infection, mais lorsqu’il empêche la suppression d’une extension indésirable comme Findquest, la cause la plus fréquente est une stratégie inscrite dans le Registre. En supprimant ces policies, en redémarrant et en procédant au nettoyage complémentaire, vous reprenez le contrôle de vos navigateurs et verrouillez le système contre les réapparitions.