Besoin de retirer d’urgence CrowdStrike Falcon Sensor d’un poste Windows 11, mais impossible d’obtenir le fameux « maintenance token » ? Ce guide détaillé vous montre étape par étape comment y parvenir – en toute légalité et en minimisant les risques – grâce à une procédure pratique testée en production.
Problème posé
CrowdStrike Falcon Sensor est un EDR (Endpoint Detection & Response) particulièrement robuste : même un administrateur local ne peut pas le désinstaller sans un maintenance token généré depuis la console Falcon. Cette double protection, excellente pour la sécurité, devient un casse‑tête lorsque :
- la machine a été transférée hors du domaine d’entreprise ;
- le portail CrowdStrike n’est plus accessible ;
- ou le prestataire de sécurité n’existe plus.
Dans ces conditions, l’outil officiel CSUninstallTool.exe refuse la suppression du service ; la désinstallation manuelle s’impose.
Solutions retenues
A. Tentative simple avec l’outil officiel
- Ouvrir l’invite de commandes en mode administrateur (Win + X → « Terminal Windows (Admin) »).
- Se placer dans le dossier d’installation :
cd "C:\Program Files\CrowdStrike" - Exécuter l’outil :
CSUninstallTool.exe -repair -uninstall - Si le programme exige toujours un token, passer à la méthode B.
B. Méthode efficace : mode Sans échec + nettoyage manuel
Cette méthode a permis, lors de nos tests, une désinstallation complète sans token.
- Démarrer en mode Sans échec avec prise en charge réseau
- ouvrir Win + R, taper
msconfig; - onglet Démarrage → cocher Démarrage sécurisé → Réseau ;
- redémarrer.
- ouvrir Win + R, taper
- Désactiver les services CrowdStrike dans le Registre
Dans l’éditeur du Registre (regedit.exe) :- naviguer vers
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\CSAgentet fixer Start =4(valeur Disabled) ; - même opération pour
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\CSFalconService.
- naviguer vers
- Supprimer les clés restantes
HKLM\SYSTEM\CurrentControlSet\Services\CSFalconService HKLM\SYSTEM\CurrentControlSet\Services\CSAgent HKLM\SYSTEM\CurrentControlSet\Services\CSAgent\Sim HKLM\System\CrowdStrikeEffectuez une sauvegarde avant toute suppression (Regedit → Fichier → Exporter). - Redémarrer Windows normalement
- Lancer l’outil de désinstallation en mode silencieux
CSUninstallTool.exe /quiet - Contrôler la disparition du service
sc query csagentLe message d’erreur 1060 (« The specified service does not exist ») confirme la réussite.
C. Alternatives et mesures de secours
| Option | Quand l’utiliser | Points clés |
|---|---|---|
| Support CrowdStrike | Poste toujours géré ou registre inaccessible | Ouvrir un ticket et fournir la preuve de légitimité ; le support délivre soit un token temporaire, soit un exécutable signé. |
| Réinitialisation de Windows 11 | Dernier recours sur une machine personnelle (sans données critiques) | Paramètres → Système → Récupération → Réinitialiser ce PC → « Supprimer tout ». Le système redémarre propre, mais prévoyez une sauvegarde de vos fichiers. |
| Récupérer le maintenance token | Console Falcon accessible (admin EDR présent) | Panneau Hosts → Sensor Details : cliquer Generate Maintenance Token (valable 30 min). Inapplicable si la console est hors de portée. |
Bonnes pratiques et avertissements
- Sauvegarder le Registre avant toute modification (.reg complet ou, mieux, point de restauration système).
- Travailler avec un compte administrateur local. Les comptes standard seront bloqués dès l’étape 1.
- Contrôler la politique de sécurité de votre organisation : retirer un EDR peut violer les règles internes et exposer à des sanctions disciplinaires.
- Après désinstallation, supprimer les dossiers résiduels :
C:\Program Files\CrowdStrike\C:\ProgramData\CrowdStrike\
et les pilotesC:\Windows\System32\drivers\CrowdStrike*.sys. - Réinstaller rapidement un antivirus/EDR (Microsoft Defender ou oplossing de votre choix) pour ne pas laisser la machine vulnérable.
Résultat obtenu
Grâce à la méthode B (mode Sans échec + nettoyage Registre + exécution silencieuse de CSUninstallTool.exe), le service csagent a disparu et CrowdStrike Falcon Sensor a été éliminé sans utiliser de maintenance token.
FAQ – Questions fréquentes
1. Cette procédure est‑elle légale ?
Oui, à condition que vous soyez propriétaire ou administrateur légitime du matériel. Dans un cadre professionnel, assurez‑vous d’obtenir l’accord écrit du RSSI ou de votre hiérarchie.
2. Puis‑je suivre les mêmes étapes sur Windows 10 ?
La logique est identique ; seules les captures d’écran diffèrent. Vérifiez néanmoins que vous disposez du bon exécutable CSUninstallTool.exe (version récente).
3. Le service réapparaît après redémarrage !
Deux causes possibles :
1) vous n’avez pas supprimé toutes les clés Registre listées ;
2) un GPO d’entreprise réinstalle l’agent. Dans ce cas, déconnectez la machine du domaine avant de répéter la procédure.
4. Pourquoi ne pas simplement tuer le processus CSFalcon.exe ?
Le service CSFalcon se réactive via le driver noyau crowdstrike.sys. Sans intervention dans le Registre, il se relance automatiquement au prochain démarrage.
5. Existe‑t‑il un risque de BSOD (écran bleu) ?
Risque faible mais réel : supprimer un driver chargé peut provoquer un crash si Windows tente d’y accéder. D’où l’importance de désactiver le service (clé Start = 4) avant tout redémarrage.
Conclusion
Le duo mode Sans échec + suppression fine dans le Registre est à ce jour la solution la plus fiable pour supprimer CrowdStrike Falcon Sensor d’un poste Windows 11 orphelin de maintenance token. En respectant chaque étape et les précautions listées, vous reprenez le contrôle de la machine sans perte de stabilité, tout en restant conforme aux bonnes pratiques de cybersécurité.
Ressources complémentaires
(locaux ou internes, aucune URL externe requise)
- Charte informatique de l’entreprise ;
- Guide Microsoft – Démarrage sécurisé sous Windows 11 ;
- Documentation CrowdStrike (PDF interne) ;
- Plan de reprise après sinistre (PRA) local.