Alerte Sécurité Windows : « Multtkey.sys » supprimé — faut‑il le restaurer ?

Une alerte « Sécurité Windows a supprimé Multtkey.sys » apparaît ? Voici comment comprendre ce fichier, évaluer les risques et décider en toute sécurité s’il faut le restaurer, le supprimer ou le laisser en quarantaine.

Notification « Multtkey.sys a été supprimé par la Sécurité Windows » : que signifie l’alerte ?

Lorsque Microsoft Defender (Sécurité Windows) détecte Multtkey.sys, il place généralement le fichier en quarantaine et vous affiche une notification. Cette détection intervient souvent parce qu’il s’agit d’un pilote en mode noyau non fourni par Microsoft, fréquemment classé comme logiciel potentiellement indésirable (PUA) ou riskware.

• De quoi s’agit‑il ? D’un pilote virtuel associé au programme Virtual USB MultiKey64 (auteurs connus : Chingachguk & Denger2k), utilisé pour émuler des dongles USB (copies logicielles de clés matérielles).
• Faut‑il l’autoriser ? Non par défaut. Seulement si vous savez précisément quel logiciel légitime en a besoin, que sa provenance est sûre et que vous acceptez les implications légales et de sécurité.
• Risques en cas de ré‑autorisation ? Un pilote noyau récupère des privilèges élevés : si sa source est douteuse ou si le fichier est altéré, il peut compromettre l’ensemble du système.

À retenir : Multtkey.sys n’est pas un composant Windows. À moins d’une justification professionnelle claire et d’une source fiable, ne le restaurez pas et laissez l’élément en quarantaine ou supprimez‑le.

Pourquoi Multtkey.sys est détecté : analyse technique claire

Multtkey.sys est un driver en mode noyau (niveau Ring 0) chargé d’émuler la présence d’une clé matérielle. Son installation peut provenir de :

• l’installation explicite de Virtual USB MultiKey64 ;
• un paquet « tout‑en‑un » livré avec un émulateur de jeu ou un crack ;
• un utilitaire tiers d’ingénierie inverse ou de compatibilité pour anciens logiciels protégés par dongle.

Sur les systèmes modernes, tout pilote noyau doit respecter des règles de signature numérique. Multtkey.sys n’étant pas signé par Microsoft et circulant souvent hors des canaux officiels, il se retrouve classé PUA/riskware par de nombreux moteurs de sécurité. Cette classification ne signifie pas nécessairement « malware actif », mais indique un risque de sécurité accru et un usage juridiquement sensible (contournement de protections).

Emplacements observés (exemples) :

• C:\Windows\System32\drivers\Multtkey.sys
• répertoire d’installation d’un émulateur/déverrouilleur

Remarque : l’absence de signature valide ou la présence d’une signature inconnue sont des signaux d’alerte justifiant la mise en quarantaine.

Risques et préoccupations : ce que vous devez évaluer

Point de vigilance	Détails
Accès noyau	Un pilote noyau a des privilèges étendus ; s’il est malveillant, vulnérable ou altéré, il peut contourner des protections et obtenir un contrôle total.
Provenance incertaine	Le binaire circule fréquemment hors canaux officiels. La fiabilité dépend entièrement du site et de la chaîne de distribution.
Violation de licence	Émuler un dongle peut enfreindre les conditions d’utilisation de logiciels protégés ; exposition à des risques juridiques et contractuels.
Évasion de sécurité	Certains paquets associent ces pilotes à des mécanismes visant à désactiver des protections ou à contourner la signature des pilotes.
Stabilité & compatibilité	Les pilotes non officiels peuvent provoquer des écrans bleus (BSOD), des conflits ou des fuites de mémoire.
Traçabilité	La documentation est rare ; difficile d’obtenir du support. Les mises à jour et correctifs sont inexistants ou non vérifiables.

Conclusion opérationnelle : si vous ne pouvez pas établir une origine solide et un besoin indispensable, la politique la plus sûre est quarantaine ou suppression.

Plan d’action recommandé

Conserver l’élément en quarantaine (par défaut)

Laissez Multtkey.sys en quarantaine. Ne cliquez sur « Restaurer » / « Autoriser sur l’appareil » que si :

• vous connaissez le logiciel légitime qui en dépend ;
• vous avez acquis ce logiciel légalement ;
• vous faites confiance à la source du pilote et acceptez les risques associés.

Désinstaller le programme associé

1. Ouvrez Paramètres → Applications → Applications installées.
2. Cherchez Virtual USB MultiKey64 (ou libellé proche) puis Désinstaller.
3. Redémarrez Windows pour décharger le pilote noyau.

Analyser entièrement le système

• Dans Sécurité Windows → Protection contre les virus et menaces → Options d’analyse, exécutez un scan hors ligne (Microsoft Defender Offline).
• Vous pouvez compléter par un scan d’un autre antivirus réputé (version à jour).

Renforcer les blocages

• Activez le blocage des applications potentiellement indésirables (PUA) : Contrôle des applications et du navigateur → Protection fondée sur la réputation → activer les options pertinentes.
• Vérifiez que Protection contre les altérations (Tamper Protection) est activée dans Sécurité Windows.
• Assurez‑vous que seuls les administrateurs peuvent restaurer des éléments mis en quarantaine.

Nettoyer la notification résiduelle

1. Ouvrez Sécurité Windows → Protection contre les virus et menaces → Historique de protection.
2. Sélectionnez l’entrée concernant Multtkey.sys puis cliquez sur Supprimer pour effacer l’alerte de la liste.

Vérifications avancées pour utilisateurs avertis

Ces étapes sont facultatives mais utiles pour dresser un état des lieux précis.

Confirmer l’identité du fichier et sa signature

• Via l’Explorateur : clic droit sur le fichier suspect → Propriétés → onglet Signatures numériques. L’absence de signature ou une signature inconnue justifie la quarantaine.
• Via PowerShell (à exécuter en Administrateur) : # Remplacer par le chemin réel si besoin Get-Item "C:\Windows\System32\drivers\Multtkey.sys" | Get-AuthenticodeSignature | Format-List

Vérifier si le pilote est (encore) chargé

• Invite de commandes (Admin) : sc query type= driver | findstr /i multtkey driverquery /v /fo table | findstr /i multtkey
• PowerShell (Admin) : Get-CimInstance Win32_SystemDriver -Filter "Name LIKE '%multtkey%'" | Select-Object Name, State, PathName
• Si le pilote n’apparaît plus après redémarrage, il est probablement déchargé et supprimé.

Consulter les journaux d’événements pertinents

1. Ouvrez Observateur d’événements (eventvwr.msc).
2. Dans Journaux Windows → Système, filtrez sur :
   • Service Control Manager (événements de chargement/échec de services/pilotes : 7000, 7001, 7005, 7009),
   • CodeIntegrity (refus de chargement d’un pilote non conforme : 3033 ou messages analogues).

Activer/forcer la protection PUA par script (option avancée)

Pour homogénéiser le paramétrage (en local ou via script d’entreprise) :

# PowerShell en Administrateur
# 1 = Activer, 2 = Audit seulement
Set-MpPreference -PUAProtection 1

Conseil : combinez avec la Protection contre les altérations afin d’empêcher une désactivation non autorisée.

Réponses aux questions fréquentes

Est‑ce un composant Windows ?

Non. Aucune fonctionnalité essentielle de Windows ne dépend de Multtkey.sys. Le supprimer ou le laisser en quarantaine n’affecte pas la stabilité du système d’exploitation. Les seules retombées possibles concernent un logiciel tiers qui s’appuie sur ce pilote pour émuler un dongle.

Que se passe‑t‑il si quelqu’un le ré‑autorise manuellement ?

Windows permettra à nouveau le chargement noyau du pilote. La menace potentielle réapparaîtra et le système sera exposé aux mêmes risques (ou plus si la version ré‑introduite est altérée). Sur un poste partagé, limitez les droits administrateur et protégez l’accès par un mot de passe fort ou une authentification multi‑facteurs.

Est‑ce que cela peut être un faux positif ?

Possible, mais peu probable si le fichier provient d’un pack d’émulation/déverrouillage. Un faux positif se discute lorsque le fichier :

• provient d’un éditeur identifié ;
• est signé numériquement par un certificat reconnu ;
• est distribué via un canal légitime et documenté.

Sans ces garanties, considérez la détection comme fondée.

J’utilise un ancien logiciel professionnel qui exige un dongle : que faire ?

Si la continuité d’activité l’exige :

• privilégiez l’usage du dongle matériel authentique ;
• si un émulateur est absolument indispensable, isolez‑le dans une machine dédiée (idéalement hors réseau ou en réseau segmenté), appliquez des sauvegardes fréquentes et documentez le risque ;
• vérifiez la conformité juridique avec les licences du logiciel concerné.

Comment empêcher durablement sa ré‑installation ?

• Conserver PUA Protection activée et Protection contre les altérations sur Activé.
• Utiliser des comptes standard pour les utilisateurs quotidiens, réserver l’administrateur aux opérations planifiées.
• Bloquer l’exécution d’installateurs inconnus via les stratégies (SmartScreen, contrôle des applications, politiques d’exécution).

Comment supprimer proprement les traces ?

Après désinstallation et redémarrage :

1. Exécutez un scan hors ligne.
2. Vérifiez que le fichier n’existe plus dans System32\drivers (ne supprimez jamais manuellement des fichiers système sans certitude).
3. Purgez l’entrée dans Historique de protection (voir plus haut).

Checklist rapide : décider d’autoriser ou non

Question	Oui	Non	Action
Connaissez‑vous le logiciel légitime qui l’exige ?	✔	✘	Ne pas restaurer / rester en quarantaine.
Le fichier est‑il signé par un éditeur reconnu ?	✔	✘	Sans signature fiable, ne pas restaurer.
Licence et conformité vérifiées ?	✔	✘	Risque juridique : ne pas restaurer.
PC isolé ou segmenté disponible ?	✔	✘	Si restauration indispensable, préférez une machine isolée.
Protections PUA/Tamper activées ?	✔	✘	Activez‑les avant toute décision.

Bonnes pratiques de sécurité après l’incident

• Inventorier les logiciels récemment installés et désinstaller ceux qui n’ont pas de provenance claire.
• Mettre à jour Windows et les applications (correctifs de sécurité).
• Réviser les droits des utilisateurs : un compte standard au quotidien, un compte admin protégé pour les tâches spécifiques.
• Sauvegarder les données importantes avant toute manipulation de sécurité majeure.
• Documenter l’événement (date/heure, action effectuée, résultat du scan) pour faciliter d’éventuels audits.

Exemples concrets de décisions

Cas 1 : poste familial, aucun logiciel professionnel avec dongle

Décision : laisser en quarantaine, ne pas restaurer, désinstaller tout utilitaire suspect, activer PUA et effectuer un scan hors ligne. Impactera : aucun logiciel essentiel.

Cas 2 : bureau d’études utilisant un logiciel ancien protégé par dongle

Décision : privilégier le dongle matériel authentique. Si un émulateur est incontournable pour raisons techniques/juridiques établies, l’exécuter sur une machine isolée et documenter les risques. Ne pas l’introduire sur le poste général.

Cas 3 : PC d’entreprise géré par l’IT

Décision : escalader à l’équipe sécurité, conserver en quarantaine, enclencher les contrôles (journaux, inventaire logiciels), appliquer/forcer la stratégie PUAProtection et la Protection contre les altérations sur l’ensemble du parc.

Résumé décisionnel

• Multtkey.sys = pilote noyau pour émuler un dongle, non signé Microsoft, souvent classé PUA/riskware.
• Par défaut, ne pas restaurer. Garder en quarantaine, voire supprimer.
• Restaurer uniquement si besoin métier strict, source fiable, conformité juridique vérifiée et isolation adéquate.
• Renforcer : PUA Protection, Protection contre les altérations, comptes non admin, scans hors ligne.
• Windows ne dépend pas de ce fichier. Sa suppression n’affecte pas le système, seulement les utilitaires qui l’utilisent.

Guide pas‑à‑pas condensé

1. Ne cliquez pas sur « Autoriser sur l’appareil ».
2. Ouvrez Historique de protection et confirmez que l’élément est en quarantaine.
3. Désinstallez tout outil type Virtual USB MultiKey64 trouvé dans Paramètres → Applications.
4. Redémarrez → exécutez un scan hors ligne.
5. Activez/validez PUA Protection et la Protection contre les altérations.
6. Vérifiez que Multtkey.sys ne se charge plus (commandes ci‑dessus).
7. Supprimez la notification dans l’Historique de protection pour clore l’incident.

Points clés sur la conformité et la légalité

Les systèmes d’émulation de dongles visent à contourner une protection matérielle. Même si l’objectif peut sembler légitime (continuité d’activité, test), l’usage peut violer les licences d’éditeurs et exposer à des sanctions contractuelles. En contexte professionnel, faites valider ces aspects par le service juridique ou le fournisseur du logiciel.

En cas de doute, adoptez la posture « zéro confiance »

Les pilotes noyau constituent la surface d’attaque la plus sensible d’un PC. Les accepter exige un niveau de confiance élevé et une traçabilité parfaite. À défaut, la meilleure défense reste la prudence : quarantaine, désinstallation, scan hors ligne, durcissement des protections et limitation stricte des droits administrateur.

Annexes utiles

Commandes pratiques récapitulatives

:: Vérifier la présence du pilote (Invite de commandes, Admin)
sc query type= driver | findstr /i multtkey
driverquery /v /fo table | findstr /i multtkey

# Vérifier l'état du service/driver (PowerShell, Admin)

Get-CimInstance Win32_SystemDriver -Filter "Name LIKE '%multtkey%'" |
Select-Object Name, State, PathName

# Vérifier la signature du fichier (PowerShell, Admin)

Get-Item "C:\Windows\System32\drivers\Multtkey.sys" |
Get-AuthenticodeSignature | Format-List

# Activer la protection PUA (PowerShell, Admin)

Set-MpPreference -PUAProtection 1

Signaux d’alerte typiques

• Notification répétée « élément remis en quarantaine » après restauration manuelle.
• Présence d’installateurs/archives téléchargés de sources non officielles.
• Appels système inhabituels, BSOD, ou conflits après installation d’un « émulateur ».

Conclusion

Multtkey.sys n’est pas un composant Windows et tire sa raison d’être d’un usage très spécifique : l’émulation de dongles. Pour la grande majorité des utilisateurs, ne pas autoriser et supprimer reste la décision la plus sûre. Si, dans un cadre professionnel légitime, vous devez l’utiliser, faites‑le dans un environnement isolé, avec une chaîne de confiance vérifiable et une conformité juridique établie.