Windows 10 : masquer ou supprimer une mise à jour (wushowhide, PowerShell, GPO, reset Windows Update)

Vous souhaitez empêcher une mise à jour Windows 10 (pilote ou correctif KB) de se réinstaller, ou nettoyer la liste « Mises à jour disponibles ». Voici des méthodes fiables — de l’outil Microsoft wushowhide à PowerShell — avec pas à pas, astuces et garde‑fous.

Sommaire

Vue d’ensemble de la question

Par défaut, Windows 10 télécharge et installe automatiquement les mises à jour de qualité (cumulatives) et, souvent, des pilotes tiers. Cela garantit un environnement sécurisé, mais peut poser problème lorsqu’un correctif provoque une régression (BSOD, baisse de performances, incompatibilité logicielle) ou lorsqu’un pilote instable se substitue à un pilote constructeur éprouvé.

Objectifs visés :

Masquer une mise à jour spécifique pour qu’elle ne soit plus proposée.
Supprimer une mise à jour déjà installée et empêcher son retour.
Nettoyer les files d’attente et caches de Windows Update lorsqu’ils sont corrompus.
Mettre en pause l’ensemble des mises à jour sur une courte période.

Réponse & solutions proposées

Méthode	Quand l’utiliser	Étapes essentielles
Masquer la mise à jour avec l’utilitaire « Afficher ou masquer les mises à jour » (wushowhide.diagcab)	Cas général : empêcher qu’une mise à jour (pilote ou correctif) réapparaisse	1. Télécharger l’utilitaire depuis le site Microsoft. 2. Lancer l’assistant ; choisir Hide updates. 3. Cocher la ou les mises à jour indésirables, puis Next. 4. Redémarrer ; la mise à jour reste invisible tant qu’on ne la réactive pas.
Réinitialiser les composants Windows Update	Si la première méthode échoue ou si les files d’attente/caches sont corrompus	1. Ouvrir Invite de commandes/PowerShell en administrateur. 2. Arrêter les services : `net stop wuauserv` `net stop cryptSvc` `net stop bits` `net stop msiserver` 3. Renommer les dossiers : `ren %windir%\SoftwareDistribution SoftwareDistribution.old` `ren %windir%\System32\catroot2 Catroot2.old` 4. Relancer les services (commandes inverses). 5. Redémarrer l’ordinateur.
Désinstaller une mise à jour déjà installée	Si elle s’est tout de même installée	Paramètres ► Windows Update ► Historique ► Désinstaller des mises à jour ► sélectionner puis Désinstaller.
Mettre en pause toutes les mises à jour	Solution temporaire (ex. tests, déplacements)	Paramètres ► Windows Update ► Suspendre les mises à jour ; choisir la durée (max. 35 jours).

Guides détaillés pas à pas

Masquer une mise à jour avec wushowhide (recommandé en premier)

But : empêcher qu’un correctif KB précis ou un pilote réapparaisse dans la liste « Mises à jour disponibles ». L’outil wushowhide est un assistant Microsoft (fichier .diagcab) qui liste les mises à jour détectées et permet de les cacher (Hide) ou de les réafficher (Show).

Fermez Paramètres ► Mise à jour et sécurité ► Windows Update s’il est ouvert.
Exécutez wushowhide.diagcab (clic droit ► Exécuter en tant qu’administrateur recommandé).
Cliquez sur Next ► Hide updates. Laissez la détection s’achever.
Cochez la/les mise(s) à jour à masquer (ex. 202x‑xx Mise à jour cumulative pour Windows 10 ou Intel – System).
Cliquez sur Next puis Close. Redémarrez le PC.
Rouvrez Windows Update et lancez une recherche manuelle ; la mise à jour masquée ne s’affiche plus.

Réactiver ultérieurement : relancez l’outil, choisissez Show hidden updates, cochez l’élément masqué puis validez. La mise à jour redevient éligible.

Bon à savoir :

Masquez toujours la mise à jour avant de cliquer sur « Télécharger et installer » dans Windows Update.
Après une mise à niveau majeure (ex. 21H2 → 22H2), certains éléments masqués peuvent réapparaître et doivent être à nouveau cachés.
L’outil cible surtout les mises à jour de qualité et les pilotes. Pour bloquer une mise à jour de fonctionnalité (changement de version), privilégiez une stratégie dédiée (voir plus bas).

Réinitialiser les composants Windows Update (cache/fichiers corrompus)

Si la file d’attente contient des entrées « fantômes » ou si les téléchargements restent bloqués, une réinitialisation des composants WU efface les caches et relance une détection saine.

Ouvrez PowerShell (Admin) ou Invite de commandes (Admin).
Arrêtez les services concernés :

net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver

Renommez les dossiers de cache (deux commandes) :

ren %windir%\SoftwareDistribution SoftwareDistribution.old
ren %windir%\System32\catroot2 Catroot2.old

Relancez les services :

net start msiserver
net start bits
net start cryptSvc
net start wuauserv

Redémarrez le PC, ouvrez Paramètres ► Windows Update et cliquez sur Rechercher des mises à jour.

Effet de bord attendu : l’Historique des mises à jour peut s’afficher vide après l’opération. Les mises à jour réellement installées apparaissent toujours dans Programmes et fonctionnalités ► Afficher les mises à jour installées.

Désinstaller une mise à jour installée (et éviter son retour)

Si un correctif s’est installé et provoque des problèmes, on peut le retirer puis le masquer pour empêcher sa réinstallation.

Allez dans Paramètres ► Mise à jour et sécurité ► Windows Update ► Afficher l’historique des mises à jour ► Désinstaller des mises à jour.
Dans la liste, repérez la KB problématique (ex. KB5005565), sélectionnez‑la et cliquez sur Désinstaller.
Redémarrez si demandé.
Avant toute nouvelle recherche de mises à jour, utilisez wushowhide pour masquer cette même KB (voir la première méthode).

Ligne de commande (avancé) :

Désinstallation silencieuse : wusa.exe /uninstall /kb:5005565 /quiet /norestart
Liste des packages installés : dism /online /get-packages /format:table
Suppression d’un package (à manier avec prudence) :
dism /online /remove-package /packagename:<Nom_du_package>

Exceptions : certaines mises à jour (ex. Servicing Stack, microcode, .NET en composant partagé) ne sont pas désinstallables. Pour une mise à jour de fonctionnalité (changement de version), utilisez Rétrograder dans Récupération (fenêtre limitée dans le temps) plutôt qu’une désinstallation classique.

Mettre en pause toutes les mises à jour (jusqu’à 35 jours)

Pour geler temporairement l’environnement (phase de test, déplacement avec connexion limitée), utilisez la pause globale.

Ouvrez Paramètres ► Mise à jour et sécurité ► Windows Update.
Cliquez sur Suspendre les mises à jour pendant 7 jours (répétez pour atteindre la durée voulue) ou dans Options avancées choisissez la date de reprise.
Sachez qu’au terme de la période, Windows exige une reprise et l’installation des mises à jour en attente avant de pouvoir re‑pauser.

Bonnes pratiques et points d’attention

Sécurité : masquer durablement une mise à jour cumulative peut vous priver de correctifs critiques. Évaluez l’impact sécurité et planifiez un test ultérieur de réintégration.
Pilotes : pour éviter l’installation automatique de pilotes via Windows Update, activez la stratégie Ne pas inclure les pilotes avec Windows Update (voir ci‑dessous). Conservez néanmoins les pilotes constructeur à jour.
Surveiller les reprises : après une mise à niveau majeure, rejouez le masquage car Windows peut réévaluer l’éligibilité des mises à jour.
Scripts : en environnement géré, automatisez avec PowerShell (module PSWindowsUpdate) et un inventaire KB clair.

Méthodes avancées (Pro/Entreprise et Home avec registre)

Bloquer les pilotes via stratégie de groupe

Objectif : empêcher Windows Update d’installer des pilotes tiers, tout en recevant les correctifs de sécurité.

Éditeur de stratégie locale (gpedit.msc) ► Configuration ordinateur ► Modèles d’administration ► Composants Windows ► Windows Update :

Activez Ne pas inclure les pilotes avec Windows Update.

Éditions Home : utilisez la clé de registre équivalente :

Chemin : HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
Valeur : ExcludeWUDriversInQualityUpdate (DWORD) = 1

Rester sur une version de fonctionnalité donnée (éviter une « Feature Update »)

Pour verrouiller Windows 10 sur une version spécifique (utile en contexte applicatif), définissez les politiques Windows Update for Business ou les clés de registre correspondantes.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
  TargetReleaseVersion (DWORD) = 1
  TargetReleaseVersionInfo (Chaîne) = 22H2

Cette approche ne masque pas une KB particulière, mais empêche la montée de version.

Empêcher l’installation d’un pilote pour un périphérique précis

Si un pilote pose problème pour un matériel donné (ex. carte graphique, contrôleur SATA), vous pouvez bloquer l’installation basée sur l’ID de périphérique.

Dans Gestionnaire de périphériques, ouvrez les Propriétés du matériel ► onglet Détails ► liste ID de matériel. Copiez l’ID le plus spécifique.
Dans gpedit.msc ► Configuration ordinateur ► Modèles d’administration ► Système ► Installation de pilotes :
- Activez Empêcher l’installation des périphériques correspondant à l’un de ces ID de périphérique et ajoutez l’ID copié.

Résultat : même si Windows Update détecte un pilote, la politique bloque son installation pour ce périphérique particulier.

Automatiser avec PowerShell (module PSWindowsUpdate)

PSWindowsUpdate facilite l’interrogation, le masquage (Hide) et l’application (Install) des mises à jour, y compris à distance.

# Exécuter dans PowerShell (Admin) la première fois :
Install-Module -Name PSWindowsUpdate -Scope AllUsers

# Lister les mises à jour disponibles

Get-WindowsUpdate

# Masquer une KB spécifique

Hide-WindowsUpdate -KBArticleID "KB5005565" -Hide

# Réafficher (unhide) si nécessaire

Hide-WindowsUpdate -KBArticleID "KB5005565" -Hide:$false

# Installer uniquement les mises à jour non masquées

Get-WindowsUpdate -AcceptAll -Install -IgnoreReboot

Astuce : conservez un fichier texte listant les KB « à masquer » par poste ou par groupe de machines, et itérez dessus dans un script.

Tableau d’aide au choix

Situation	Symptôme	Action recommandée
Pilote instable (GPU, audio, Wi‑Fi)	BSOD, pertes de paquets, coupures son	Désinstallez le pilote ► installez le pilote constructeur ► wushowhide pour masquer le pilote Windows Update ► activer la politique « Ne pas inclure les pilotes ».
Correctif cumulatif cause une régression	App lente, plantages post‑patch	wusa.exe ou Panneau de configuration pour désinstaller la KB ► wushowhide pour la masquer ► retester après correctif ultérieur.
Windows Update bloqué	Téléchargement à 0 % / 100 % ou erreurs répétées	Réinitialisez WU (renommer SoftwareDistribution/Catroot2) ► relancez une détection propre.
Besoin de gel temporaire	Période de démo, voyage, audits	Pause globale 7 à 35 jours, puis reprise contrôlée et déploiement par vagues.

Check‑list de dépannage (quand une mise à jour « revient »)

Vérifiez l’ID exact : une nouvelle KB peut remplacer la KB masquée. Répétez le masquage pour la nouvelle référence.
Nettoyez la file : réinitialisez WU si la KB continue d’apparaître malgré le masquage.
Contrôlez les politiques : en domaine/Intune, une politique peut forcer l’installation. Ajustez la stratégie à la source.
Redémarrages : certains masquages ne sont pris en compte qu’après redémarrage et nouvelle détection.
Pilotes : si Windows installe malgré tout, utilisez l’ID de périphérique + GPO « Installation de pilotes » pour bloquer par matériel.

Erreurs fréquentes et comment les éviter

Masquer après coup : si vous masquez après avoir cliqué sur « Télécharger et installer », Windows peut déjà avoir planifié l’installation. Désinstallez puis masquez.
Confondre KB : certaines KB existent par édition/architecture. Vérifiez la référence complète (x64 vs ARM64, .NET vs cumulatif).
Oublier la reprise post‑pause : après 35 jours, Windows exige de reprendre et d’installer. Anticipez une fenêtre de maintenance.
Ignorer la sécurité : ne laissez pas une machine durablement sans correctifs. Masquez le strict nécessaire et planifiez un retour à la normale.

FAQ

Masquer une mise à jour la désinstalle‑t‑il ?
Non. Masquer empêche la proposition/installation future, mais ne retire pas ce qui est déjà installé. Désinstallez d’abord si nécessaire.

Wushowhide ne liste pas la mise à jour que je veux bloquer, pourquoi ?
Parce qu’elle est déjà installée, qu’elle ne s’applique pas à votre édition, ou qu’il s’agit d’une mise à jour de fonctionnalité gérée séparément. Vérifiez l’historique, désinstallez si présent, relancez wushowhide.

Les commandes de réinitialisation effacent‑elles mes données ?
Non. Elles vident les caches de Windows Update. Votre historique d’installation graphique peut s’afficher vide, mais vos programmes et fichiers restent intacts.

Comment bloquer uniquement un pilote problématique sans couper tous les pilotes ?
Bloquez par ID de périphérique via la GPO « Empêcher l’installation des périphériques correspondant à l’un de ces ID » tout en laissant le reste des pilotes autorisés.

PSWindowsUpdate est‑il supporté officiellement ?
C’est un module communautaire très utilisé par les administrateurs. Testez‑le avant production et signez vos scripts selon la politique de votre organisation.

Une Feature Update (changement de version) revient constamment.
Définissez TargetReleaseVersionInfo sur la version voulue (ex. 22H2) pour verrouiller la branche, et gérez les KB de qualité avec wushowhide.

Je vois plusieurs entrées « pilote » pour le même matériel.
Windows peut proposer un pilote et un microprogramme (firmware). Masquez uniquement celui qui pose problème et conservez les mises à jour de sécurité/firmware si elles sont stables.

Procédures pas à pas supplémentaires (bénéfiques en entreprise)

Nettoyage « complet » et rescan

Réinitialisez WU (voir section dédiée).
Déclenchez une détection :
usoclient StartScan puis usoclient StartDownload (exécuter en Admin).
Rafraîchissez la page Windows Update et vérifiez que la KB masquée n’apparaît plus.

Script d’orchestration (exemple)

# 1) Désinstaller une KB si présente, 2) la masquer, 3) déclencher un rescan
param(
  [Parameter(Mandatory=$true)][string]$KB
)

# Désinstaller silencieusement si installée

$installed = Get-HotFix | Where-Object {$_.HotFixID -eq $KB}
if ($installed) {
Start-Process -FilePath "wusa.exe" -ArgumentList "/uninstall /kb:$($KB.TrimStart('KB')) /quiet /norestart" -Wait
}

# Masquer la KB

if (!(Get-Module -ListAvailable PSWindowsUpdate)) {
Install-Module PSWindowsUpdate -Force
}
Import-Module PSWindowsUpdate
Hide-WindowsUpdate -KBArticleID $KB -Hide -ErrorAction SilentlyContinue

# Relancer une détection

Start-Process -FilePath "usoclient.exe" -ArgumentList "StartScan"

Conseils de validation après correction

Stabilité : reproduisez le scénario qui posait problème (jeu, application, périphérique) pendant 24–48 h.
Observabilité : surveillez l’Observateur d’événements (Applications et services ► Microsoft ► Windows ► WindowsUpdateClient) pour déceler des erreurs récurrentes.
Sauvegarde : si une KB critique doit rester masquée à court terme, ayez une image système/restauration à portée de main.

Résumé opérationnel

Pour garder le contrôle sans désactiver Windows Update :

wushowhide pour masquer la KB/le pilote avant qu’il ne soit proposé.
Réinitialiser WU si la file d’attente est incohérente.
Désinstaller la KB fautive puis la masquer aussitôt.
Pause globale (max 35 jours) pour les cas exceptionnels.
Politiques (GPO/registre) et PSWindowsUpdate pour industrialiser.

Annexe : chemins d’accès et libellés utiles

Paramètres Windows Update : Paramètres ► Mise à jour et sécurité ► Windows Update ► Options avancées
Historique et désinstallation : Paramètres ► Windows Update ► Afficher l’historique ► Désinstaller des mises à jour
GPO pilotes : gpedit.msc ► Configuration ordinateur ► Modèles d’administration ► Composants Windows ► Windows Update
Blocage par ID de périphérique : gpedit.msc ► Configuration ordinateur ► Modèles d’administration ► Système ► Installation de pilotes
Registre (politiques WU) : HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Annexe : questions de conformité et sécurité

Dans un contexte professionnel, documentez le choix de masquer une mise à jour : raison (régression constatée), périmètre (modèles de PC, version d’OS), durée prévue, plan de test de réintégration et jalons. Mettez en place des anneaux de déploiement (pilote → généralisation) afin de réduire drastiquement le risque d’incident à large échelle.

Conclusions

Masquer ou retirer une mise à jour Windows 10 n’implique pas de couper la sécurité. En combinant wushowhide, la réinitialisation des composants Windows Update, la désinstallation ciblée d’une KB et — au besoin — des politiques (GPO/registre) et scripts PowerShell, vous gardez la maîtrise du cycle de mise à jour tout en conservant un socle sain et patché. Utilisez ces leviers avec parcimonie, mesurez leur impact, puis réévaluez régulièrement le masquage afin de bénéficier au plus tôt des correctifs corrigés par Microsoft.