Windows Hello : PIN bloqué ou impossible à réinitialiser (Windows 10/11) — réparer les erreurs 0x80090016 et recréer le PIN via la suppression du dossier Ngc

Windows Hello refuse votre PIN ? Ce guide pas‑à‑pas couvre Windows 10 et Windows 11 : symptômes, causes probables, procédures simples et avancées (suppression du dossier Ngc, mode Réparation, stratégies d’entreprise), ainsi que des mesures d’entretien pour éviter une nouvelle panne.

Résumé de la session « PIN Windows Hello impossible à utiliser ou à réinitialiser »

Problématique générale

• À l’écran de connexion, le code confidentiel (PIN) Windows Hello n’est plus accepté.
• La tentative de création ou de réinitialisation du PIN échoue immédiatement.
• Sans PIN fonctionnel, la connexion n’est possible qu’avec le mot de passe Microsoft + MFA, peu pratique hors‑ligne ou sans smartphone.

Diagnostic rapide (checklist)

Avant de lancer des opérations invasives, vérifiez ces points clés :

Question	Comment vérifier	Impact
L’appareil est‑il en ligne ?	Icône réseau sur l’écran de connexion → connecter Wi‑Fi/ethernet.	Obligatoire pour « J’ai oublié mon code » (authentification Microsoft).
Session rattachée à un compte Microsoft (MSA) ou Azure AD (Hello for Business) ?	Paramètres → Comptes quand l’accès au Bureau est possible.	Détermine si la création/récupération du PIN exige Internet et des stratégies d’entreprise.
Le menu Options de connexion apparaît‑il ?	Écran de verrouillage → icône « Options de connexion ».	Si absent, une stratégie (GPO/Intune) peut masquer/empêcher le PIN.
TPM opérationnel ?	tpm.msc (depuis le Bureau) → « TPM prêt à l’emploi ».	Un TPM inactif/corrompu peut provoquer des erreurs 0x800900xx.
Le dossier Ngc existe‑t‑il ?	C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc	Absent : recréer le PIN. Présent mais illisible : probable corruption.

Solutions convergentes

Situation	Procédure recommandée	Commentaires utiles
Accès encore possible au Bureau	1. Paramètres ▸ Comptes ▸ Options de connexion 2. Sous « PIN (Windows Hello) », cliquer « J’ai oublié mon code ». 3. S’authentifier avec le compte Microsoft puis définir un nouveau PIN.	Suffit quand le paramètre est accessible et non corrompu.
PIN corrompu malgré accès au Bureau	1. Ouvrir Explorateur de fichiers. 2. Aller dans C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc. 3. Prendre possession du dossier puis supprimer son contenu (stockage des secrets du PIN). 4. Redémarrer et recréer le PIN.	Si vous n’avez pas les droits : Clic droit → Sécurité → Avancé → Modifier le propriétaire, ou supprimer via PowerShell en administrateur.
Impossible d’ouvrir une session	1. Forcer deux arrêts consécutifs pendant le démarrage pour déclencher la Réparation automatique. 2. Dépannage ▸ Options avancées ▸ Invite de commandes. 3. Exécuter : takeown /F C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /R /D Y icacls C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /grant administrators:F /T rd /s /q C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc 4. Redémarrer puis recréer le PIN.	Méthode « hors ligne » idéale si l’on ne dépasse pas l’écran de PIN.
Dossier Ngc absent	Le PIN n’est pas enregistré ; lancer Paramètres ▸ Comptes ▸ Options de connexion et créer un nouveau PIN.	Le dossier sera régénéré automatiquement à la création du PIN.
Menu « Options de connexion » manquant	Vérifier que la session est bien liée à un compte Microsoft (et non un compte local sans mot de passe). Si besoin, rattacher le compte ou passer par netplwiz pour activer la gestion avancée des identités.	Des scripts d’entreprise/gouvernance peuvent masquer l’option : contacter l’administrateur si elle reste désactivée.

Procédures détaillées et bonnes pratiques

A. « J’ai oublié mon code » (méthode standard, Windows 10/11)

1. Assurez‑vous que le PC est connecté à Internet. Sans réseau, la vérification Microsoft échouera.
2. Ouvrez Paramètres ▸ Comptes ▸ Options de connexion → section PIN (Windows Hello).
3. Cliquez J’ai oublié mon code → authentifiez‑vous avec votre mot de passe Microsoft (il s’agit bien du mot de passe du compte, pas d’un code externe).
4. Validez la double authentification (application Authenticator, SMS, clé de sécurité, etc.).
5. Choisissez un nouveau PIN (évitez dates de naissance/suites simples) → redémarrez et testez.

Astuce : sur Windows 11, si l’option « Pour une sécurité renforcée, autoriser uniquement la connexion avec Windows Hello pour les comptes Microsoft sur cet appareil » est activée, le mot de passe peut être masqué sur l’écran de connexion. Désactivez‑la temporairement si vous devez recourir au mot de passe.

B. Réparer un PIN corrompu en supprimant Ngc (depuis le Bureau)

1. Dans l’Explorateur, copiez/collez ce chemin :
   C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc.
2. Dans Affichage, cochez « Éléments masqués » et désactivez « Masquer les fichiers protégés du système » si nécessaire.
3. Clic droit sur Ngc → Propriétés ▸ Sécurité ▸ Avancé → Modifier le propriétaire en Administrateurs, cochez « Remplacer le propriétaire des sous‑conteneurs et objets ».
4. Appliquez les autorisations (Contrôle total). Supprimez tout le contenu du dossier Ngc (pas le dossier parent).
5. Redémarrez → Paramètres ▸ Comptes ▸ Options de connexion → recréez le PIN.

Si la suppression échoue : tentez en mode sans échec (Options avancées → Paramètres → Démarrage → 4) ou utilisez l’Invite de commandes en WinRE (méthode C).

C. « Impossible d’ouvrir une session » : réinitialisation hors ligne en Environnement de récupération

1. Interrompez deux fois le démarrage (extinction brutale pendant le logo) → Réparation automatique.
2. Dépannage ▸ Options avancées ▸ Invite de commandes.
3. Vérifiez la lettre du volume Windows (dir C:\Windows). Si absent, testez D:, E:…
4. Exécutez les commandes suivantes (adaptez la lettre si besoin) : takeown /F C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /R /D Y icacls C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /grant administrators:F /T rd /s /q C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc
5. Fermez → Continuer → laissez Windows redémarrer et recréez le PIN.

Pourquoi cela marche ? Le magasin Ngc contient les éléments chiffrés liés au PIN. S’il est incohérent (changement de TPM, restauration d’image, migration de profil, etc.), Windows Hello échoue. La suppression force une régénération saine lors de la création du nouveau PIN.

D. Dossier Ngc absent

C’est un cas normal après une installation propre, une réinitialisation système ou si aucun PIN n’a encore été configuré. Il suffit d’ouvrir Paramètres ▸ Comptes ▸ Options de connexion et de créer un nouveau PIN. Le dossier Ngc sera automatiquement créé.

E. Menu « Options de connexion » manquant ou grisé

• Vérifiez le type de compte : pour un compte local sans mot de passe, certaines options sont masquées. Définissez un mot de passe puis activez le PIN.
• Paramètres d’entreprise (GPO/Intune) : des stratégies peuvent interdire Windows Hello for Business, imposer une complexité de PIN ou masquer l’interface. Si le PC est joint à Azure AD/AD, contactez l’IT.
• netplwiz : permet d’afficher les comptes et d’ajuster les options d’ouverture de session avancées.

Messages d’erreur fréquents et correctifs rapides

Code/Message	Interprétation	Actions recommandées
0x80090016	Magasin Ngc ou clés Hello incohérents.	Supprimer le contenu de Ngc, redémarrer, recréer le PIN.
0x8009002D, 0x80090030	Problème TPM/clés protégées.	Vérifier que le TPM est prêt. Éviter de le « réinitialiser » sans sauvegarde BitLocker. Tenter la méthode Ngc.
0x80090035	Conflit de stratégie ou de stockage de clés.	Contrôler GPO/Intune, supprimer Ngc puis recréer le PIN en ligne.
« Impossible de configurer le PIN »	Hors‑ligne, ou service Hello bloqué.	Connecter Internet, redémarrer. Essayer en mode sans échec puis recréation.
Options masquées	Stratégie d’entreprise active.	Demander la levée temporaire (Hello for Business/complexité PIN/politiques de sécurité).

Vérifications avancées (entreprises & Hello for Business)

• État AAD/MDM : ouvrez une console et exécutez dsregcmd /status (depuis le Bureau). Vérifiez AzureAdJoined et WamDefaultSet.
• Stratégies locales (Windows 10/11 Pro/Enterprise) :
  • Configuration ordinateur → Stratégies → Modèles d’administration → Système → Ouverture de session : Activer Windows Hello for Business.
  • Configuration ordinateur → Modèles d’administration → Système → Stratégies de PIN : longueur, complexité, blocage.
• Observateur d’événements : Journaux des applications et services → Microsoft → Windows → HelloForBusiness. Les IDs d’événement y révèlent les échecs d’attestation, d’enrôlement ou de clé.
• TPM : dans tpm.msc, l’état doit être « Prêt à l’emploi ». Attention : ne videz pas le TPM sans sauvegarde BitLocker et sans coordination IT.
• Services : le service NgcCtnrSvc (conteneur des clés Hello) peut empêcher la suppression à chaud de Ngc. Dans ce cas, passez par WinRE (méthode C).

Mesures d’entretien complémentaires

• Windows Update : installez les dernières mises à jour (fiabilité Hello, pilotes TPM).
• Vérification des fichiers système : sfc /scannow DISM /Online /Cleanup-Image /RestoreHealth
• Plan B de connexion : configurez une clé de sécurité (FIDO2), un code de récupération et conservez deux méthodes MFA (Authenticator + SMS, par exemple).
• Bonnes pratiques PIN : 6 à 8 chiffres minimum, pas de motifs évidents, renouvellement périodique si imposé par l’entreprise.

FAQ

Supprimer Ngc met‑il en danger mon compte ?
Non. Le PIN Windows Hello est stocké localement et chiffré. Le supprimer ne touche pas au mot de passe du compte Microsoft, ni aux données du cloud. Il faudra simplement recréer le PIN au prochain démarrage.

Puis‑je réinitialiser mon PIN hors‑ligne ?
L’option « J’ai oublié mon code » nécessite Internet (vérification d’identité Microsoft). En revanche, la méthode WinRE (suppression du magasin Ngc) fonctionne hors‑ligne ; vous vous reconnecterez avec le mot de passe, puis vous créerez un nouveau PIN une fois en ligne.

Je ne vois pas « Options de connexion »
Sur des machines gérées (Intune/GPO), l’IT peut masquer Hello. Sur Windows 11, la bascule « Autoriser uniquement la connexion avec Windows Hello » peut masquer l’option mot de passe. Désactivez‑la temporairement ou contactez l’administrateur.

Et si mon PC est joint à un domaine/Azure AD ?
Votre entreprise peut exiger Windows Hello for Business avec attestation TPM, PIN complexe, voire clés de certificats. Si la création du PIN échoue malgré la suppression de Ngc, demandez une réinitialisation des stratégies ou un ré‑enrôlement de l’appareil.

Changer de carte mère/TPM peut‑il casser le PIN ?
Oui. Le PIN étant lié au matériel et au TPM, un changement peut invalider la protection locale. La suppression de Ngc suivie d’une recréation du PIN règle en général le problème.

Checklist récapitulative pour restaurer Windows Hello

1. Connecter le PC à Internet.
2. Tenter « J’ai oublié mon code » depuis Paramètres ▸ Comptes ▸ Options de connexion.
3. Échec ? Supprimer le contenu de Ngc (prise de possession), redémarrer.
4. Bloqué à l’écran de connexion ? Utiliser WinRE → Invite de commandes → takeown/icacls/rd.
5. Vérifier TPM/stratégies d’entreprise si l’option reste indisponible.
6. Appliquer SFC/DISM et finaliser via Windows Update.
7. Mettre en place une méthode de secours (clé de sécurité, MFA secondaire).

Points d’attention

• Terminologie : le « mot de passe de sécurité » demandé lors d’une étape avancée est le mot de passe du compte Microsoft. S’il est perdu, suivez la procédure de récupération de compte Microsoft.
• Stratégies d’entreprise : sur des PC gérés (Intune, GPO), la suppression de Ngc ou la création du PIN peut être bloquée. Seul l’IT peut assouplir/adapter ces paramètres.
• Sécurité : le PIN Windows Hello reste local et lié à l’appareil. Il protège l’accès aux clés stockées localement, mais ne remplace pas le mot de passe du compte dans le cloud.

Annexe : commandes utiles (copier/coller)

Contexte	Commande	Effet
WinRE : prendre possession du magasin PIN	takeown /F C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /R /D Y	Force le propriétaire « Administrateurs » sur Ngc et ses sous‑éléments.
WinRE : octroyer les droits	icacls C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /grant administrators:F /T	Attribue le contrôle total aux administrateurs pour permettre la suppression.
WinRE : supprimer le magasin	rd /s /q C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc	Efface le dossier Ngc et son contenu (sera recréé).
Vérification intégrité fichiers	sfc /scannow	Répare les fichiers système corrompus qui peuvent perturber Windows Hello.
Restauration composant	DISM /Online /Cleanup-Image /RestoreHealth	Répare l’image système (composants).
Hors‑ligne (support d’installation)	DISM /Image:C:\ /Cleanup-Image /RestoreHealth /Source:D:\sources\install.wim /LimitAccess	Variante DISM hors‑ligne avec source locale (adapter les lettres).
État Azure AD (Bureau)	dsregcmd /status	Vérifie l’inscription Azure AD et WAM (utile en entreprise).

Conclusion

Dans la majorité des cas, supprimer (ou régénérer) le dossier Ngc puis utiliser la procédure « J’ai oublié mon code » permet de restaurer rapidement Windows Hello. Complétez par SFC/DISM et Windows Update, et prévoyez deux méthodes MFA ainsi qu’une clé de sécurité pour ne plus rester bloqué si le smartphone principal est indisponible.

En résumé : un PIN Hello cassé n’est pas une fatalité ; avec les bonnes manipulations (y compris hors‑ligne), vous reprenez le contrôle de l’ouverture de session sans dépendre du mot de passe + double authentification au quotidien.