Après mise à jour vers Windows 11 24H2, certains PC affichent « Your device is offline » et refusent mots de passe et codes PIN. Ce guide explique les causes, donne un plan d’action pas‑à‑pas et des solutions sûres (WinRE, Windows Hello/TPM, sauvegardes) pour retrouver l’accès.
Contexte et symptômes détaillés
Des utilisateurs signalent qu’immédiatement après l’installation de Windows 11 24H2, l’écran de connexion devient inopérant : le système affiche le message « Your device is offline. Please sign in with the last password used on this device. », puis rejette tous les modes d’authentification (mot de passe Microsoft/local, code PIN, clé de sécurité, empreinte, reconnaissance faciale). Le problème persiste parfois même en mode sans échec. Les tests réseau (Wi‑Fi, Ethernet, partage de connexion) montrent pourtant que l’accès Internet fonctionne ; c’est Windows qui considère, à tort, l’appareil comme « hors ligne ».
Dans la majorité des cas, la cause est un profil d’authentification incohérent après la mise à niveau (dossier Ngc corrompu, cache Windows Hello défectueux, clé TPM invalide) qui empêche la validation des identifiants, entraînant un état « offline » fantôme.
Diagnostic rapide avant d’agir
- Confirmer l’intégrité réseau : branchez un câble Ethernet, désactivez temporairement le Wi‑Fi et les VPN. Les fluctuations Wi‑Fi peuvent faire échouer la ré‑authentification du compte Microsoft.
- Vérifier BitLocker : si le disque est chiffré, préparez la clé de récupération. Toute opération sur le TPM ou le chargeur de démarrage peut déclencher une demande de clé.
- Évaluer l’urgence : si vous devez accéder à vos données immédiatement, envisagez la désinstallation de la mise à jour 24H2 depuis WinRE pour restaurer l’accès, puis appliquez les correctifs durables à tête reposée.
Plan d’action recommandé (vue d’ensemble)
| Ordre conseillé | Action | Objectif / Explications |
|---|---|---|
| 1. Désinstaller la mise à jour 24H2 depuis WinRE WinRE » Dépannage » Options avancées » Désinstaller la dernière mise à jour | Restaure la version précédente et permet de reprendre la main. Une fois reconnecté : mettre Windows Update en pause (5 semaines max) pour éviter la ré‑installation immédiate. | Contournement rapide et sûr si vous êtes bloqué. |
2. Supprimer le dossier caché $SysReset (après la désinstallation), puis relancer l’installation 24H2 | Ce dossier peut contenir des restes d’anciennes opérations de récupération qui perturbent la création du nouveau profil de connexion. | Évite les collisions entre anciennes et nouvelles étapes de récupération. |
| 3. Stabiliser la connexion réseau avant toute réinitialisation de PIN — Brancher un câble Ethernet — Désactiver temporairement le Wi‑Fi | Des rapports indiquent que la ré‑authentification peut échouer si la connexion fluctue ; une liaison filaire supprime ce facteur. | Fiabilise l’échange avec les services d’identité Microsoft. |
| 4. Réinitialiser le code PIN / mot de passe (depuis l’écran de connexion) | Avec une connexion stable, le code envoyé par Microsoft est accepté et la session s’ouvre normalement. | Recrée les secrets Windows Hello synchronisés. |
| 5. Régénérer le magasin Windows Hello (si toujours bloqué) | Dans WinRE » Invite de commandes :takeown /f %windir%\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /r /d yicacls %windir%\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /grant administrators:F /tren %windir%\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc Ngc.oldAu redémarrage, Windows recrée un dossier sain, forçant la re‑configuration du PIN. | Supprime un cache Hello incohérent post‑mise à niveau. |
| 6. Vérifier / réinitialiser le module TPM (en dernier recours) | Un TPM corrompu empêche la validation des identifiants locaux. Dans l’UEFI, effacez le TPM puis redémarrez ; vous devrez ressaisir le mot de passe Microsoft et reconfigurer Windows Hello. ⚠ Sauvegarder la clé BitLocker avant toute action sur le TPM. | Réinitialise l’ancrage matériel des secrets Hello. |
Méthodes détaillées, pas‑à‑pas
Désinstaller 24H2 depuis l’environnement de récupération (WinRE)
But : restaurer la version précédente de Windows pour récupérer l’accès rapidement.
- Depuis l’écran de connexion, maintenez Shift puis cliquez sur Redémarrer. Le PC démarre en WinRE.
- Choisissez Dépannage → Options avancées → Désinstaller des mises à jour.
- Sélectionnez d’abord Désinstaller la dernière mise à jour de qualité. Si le blocage persiste, répétez et choisissez Désinstaller la dernière mise à jour de fonctionnalités (24H2).
- Laissez le processus s’achever, puis essayez d’ouvrir une session normalement.
- Une fois connecté : allez dans Paramètres » Windows Update et utilisez Pause des mises à jour (jusqu’à 5 semaines) pour éviter la ré‑installation immédiate. Créez un point de restauration et une image système avant de retenter.
Notes importantes :
- Si BitLocker est activé, vous devrez peut‑être entrer la clé de récupération au redémarrage.
- Préférez une alimentation secteur durant toute l’opération.
Supprimer $SysReset avant de ré‑installer 24H2
Après avoir désinstallé 24H2 et retrouvé l’accès :
- Ouvrez l’Explorateur, activez Afficher » Éléments masqués et désactivez Masquer les fichiers protégés du système (confirmez l’avertissement).
- À la racine de
C:\, si le dossier$SysResetest présent, supprimez‑le. Vous pouvez aussi utiliser l’Invite de commandes administrateur :rd /s /q C:\$SysReset - Redémarrez, puis relancez l’installation de Windows 11 24H2 via Windows Update.
Pourquoi ? $SysReset peut contenir des vestiges d’anciennes réparations qui perturbent la configuration du nouveau magasin d’authentification.
Stabiliser le réseau avant toute réinitialisation de PIN
La ré‑authentification du compte Microsoft requiert une connexion fiable. Procédez ainsi :
- Branchez un câble Ethernet.
- Coupez le Wi‑Fi et les VPN ; évitez les portails captifs.
- Depuis WinRE » Invite de commandes, vérifiez l’IP :
ipconfig /all
Réinitialiser le PIN ou le mot de passe depuis l’écran de connexion
Après stabilisation du réseau :
- À l’écran de connexion, cliquez sur Options de connexion, choisissez Mot de passe (ou PIN), puis J’ai oublié mon code PIN.
- Suivez l’assistant, validez votre identité (courriel/SMS/Authenticator), définissez un nouveau PIN.
- Si cela échoue, poursuivez avec la régénération du magasin Windows Hello ci‑dessous.
Régénérer le magasin Windows Hello (dossier Ngc)
Cette procédure supprime un magasin Hello corrompu et force Windows à en créer un neuf au redémarrage.
- Démarrez en WinRE » Options avancées » Invite de commandes.
- Exécutez :
takeown /f %windir%\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /r /d y icacls %windir%\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /grant administrators:F /t ren %windir%\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc Ngc.old - Redémarrez. Lors de la connexion, Windows proposera de reconfigurer Windows Hello et le code PIN.
Astuce : si un message « accès refusé » apparaît, assurez‑vous que l’Invite de commandes est bien ouverte avec des droits administrateur dans WinRE.
Vérifier ou réinitialiser le module TPM (ultime recours)
Le TPM (Trusted Platform Module) scelle des secrets liés à Windows Hello. Un état incohérent peut bloquer l’ouverture de session.
- Sauvegardez la clé de récupération BitLocker. Sans elle, vos données chiffrées peuvent devenir inaccessibles.
- Redémarrez dans l’UEFI/BIOS, localisez les options du TPM (parfois nommé PTT/fTPM) et utilisez Clear TPM/Effacer.
- Au redémarrage, ressaisissez vos identifiants Microsoft, puis reconfigurez Windows Hello.
Remarque : sur un PC géré en entreprise (Azure AD/Intune/Active Directory), contactez l’administrateur avant toute action sur le TPM.
Informations complémentaires utiles
- Sauvegarde des données : si le PC reste inaccessible, utilisez WinRE » Invite de commandes ou un support de démarrage WinPE pour copier vos fichiers critiques vers un support externe.
- BitLocker : si le disque est chiffré, gardez votre clé de récupération à portée avant manipulation du TPM ou du chargeur de démarrage.
- Origine probable du bug : la mise à jour 24H2 peut laisser un profil d’authentification local incohérent (dossier Ngc ou cache TPM corrompu), d’où l’état « offline » malgré la connexion réseau.
- Correctif : surveillez Windows Update ; installez tout correctif visant l’authentification/Windows Hello, et conservez un point de restauration avant installation.
- Prévention : avant toute grosse mise à jour, créez une image système et conservez vos méthodes de connexion (mot de passe Microsoft, code PIN, clé BitLocker).
Chemin de dépannage étape par étape (arbre de décision)
| Situation | Action immédiate | Si échec… |
|---|---|---|
| Message « Your device is offline », réseau incertain | Basculer sur Ethernet, couper le Wi‑Fi/VPN, réessayer la connexion | Lancer la réinitialisation du PIN |
| Réinitialisation PIN échoue | Régénérer le dossier Ngc en WinRE | Effacer le TPM (après sauvegarde de la clé BitLocker) |
| Besoin d’accès immédiat aux données | Désinstaller 24H2 depuis WinRE | Copier les données via WinRE/WinPE, puis réparation hors ligne |
| PC d’entreprise (Azure AD/Intune) | Informer l’administrateur, vérifier stratégies Hello for Business | Procédures MDM (ré‑inscription/attestation), éviter effacement TPM sans validation |
Comment sauvegarder ses fichiers depuis WinRE (si vous êtes verrouillé)
Vous pouvez copier vos données critiques vers un disque USB depuis l’Invite de commandes de WinRE :
notepad.exe
Dans Bloc‑notes, utilisez Fichier » Ouvrir pour bénéficier d’un explorateur rudimentaire ; cliquez droit → Copier vers votre clé USB. Pour les utilisateurs avancés :
robocopy "C:\Users\VOTRENOM\Documents" "E:\Sauvegarde\Documents" /E /COPY:DAT /R:1 /W:1 /MT
robocopy "C:\Users\VOTRENOM\Pictures" "E:\Sauvegarde\Pictures" /E /COPY:DAT /R:1 /W:1 /MT
Adaptez VOTRENOM et la lettre du volume E: à votre configuration (diskpart → list volume pour vérifier).
Après récupération : sécuriser et préparer la prochaine mise à jour
- Créer une image système (vers un disque externe).
- Noter et tester vos méthodes de connexion (mot de passe Microsoft/local, authentificateur, clé FIDO2).
- Sauvegarder la clé de récupération BitLocker dans un coffre‑fort numérique et hors ligne.
- Activer un compte local de secours à privilèges administrateur (protégé par un mot de passe robuste et non réutilisé). Évitez toute technique détournée : créez‑le proprement depuis une session valide.
- Mettre Windows Update en pause le temps de vérifier la stabilité des correctifs récents.
Explications techniques (pour comprendre la cause)
Windows Hello (PIN, biométrie) ne stocke pas votre mot de passe : il crée des clés liées à l’appareil et au TPM. Lors d’une mise à niveau majeure comme 24H2, si la liaison entre :
- le magasin local
Ngc(sous%windir%\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc), - et les objets de clés scellés dans le TPM,
devient incohérente, l’authentification échoue avant même que Windows ne commence à utiliser votre réseau. Le système conclut alors à tort que l’appareil est « offline », car la première étape (validation de l’identité locale liée à l’appareil) n’a pas pu aboutir. Régénérer Ngc et/ou réinitialiser le TPM restaure généralement cette chaîne de confiance.
Spécificités en environnement professionnel
- Windows Hello for Business (Cloud Trust, Certificate Trust) : une ré‑inscription peut être nécessaire après mise à niveau. Le service IT peut déclencher une nouvelle attestation de l’appareil ou une réinitialisation des clés utilisateur.
- Stratégies MDM/GPO : assurez‑vous que les paramètres « Utiliser Windows Hello for Business » et l’autorisation des PIN sont cohérents avec 24H2.
- Postes rejoints au domaine : si le cache d’identifiants est endommagé et que le contrôleur de domaine n’est pas joignable, la connexion peut échouer même en filaire. Une ouverture de session en mode hors connexion n’est possible que si les informations mises en cache sont intactes.
FAQ – Questions fréquentes
Le PIN est‑il « moins sûr » qu’un mot de passe ? Non : le PIN Hello est local à l’appareil et lié au TPM. S’il est compromis, il n’expose pas votre compte Microsoft sur d’autres appareils.
Pourquoi l’erreur « Your device is offline » alors que l’Ethernet fonctionne ? Parce que la validation locale (Hello/TPM) échoue avant la phase réseau ; Windows en déduit un état offline même si la liaison est bonne.
Je ne vois pas l’option « J’ai oublié mon code PIN ». Essayez un démarrage normal (pas sans échec), vérifiez que le réseau est actif, puis ouvrez Options de connexion. Si l’option manque toujours, procédez à la régénération de Ngc.
Effacer le TPM va‑t‑il supprimer mes fichiers ? Non, mais cela réinitialise des clés. Sur un disque BitLocker, vous aurez besoin de la clé de récupération pour déverrouiller au redémarrage.
Dois‑je réinstaller Windows ? Rarement. Les étapes Désinstallation 24H2 → Régénération Ngc → TPM résolvent la majorité des cas sans réinstallation.
Checklist prêt‑à‑l’emploi
- ✔ Clé de récupération BitLocker vérifiée
- ✔ Câble Ethernet branché, Wi‑Fi/VPN coupés
- ✔ WinRE accessible (Shift + Redémarrer)
- ✔ Désinstallation 24H2 testée si besoin immédiat
- ✔ Dossier
$SysResetsupprimé avant nouvelle tentative - ✔
Ngcrégénéré si la réinitialisation du PIN échoue - ✔ TPM effacé en dernier recours (clé BitLocker en main)
- ✔ Image système créée et mises à jour en pause
Annexes – commandes utiles
| Action | Commande | Quand l’utiliser |
|---|---|---|
| Vérifier les interfaces réseau | ipconfig /all | Depuis WinRE pour confirmer l’IP/MAC et l’état du DHCP |
| Test d’accès local au routeur | ping 192.168.1.1 (adresse selon votre LAN) | Écarter un problème de couche 2/3 |
| Régénérer le magasin Hello | takeown /f ...Ngc ... | Si la réinitialisation du PIN ne passe pas |
| Copie de sauvegarde rapide | robocopy "C:\Users\VOTRENOM" "E:\Sauvegarde" /E /R:1 /W:1 | Pour extraire vos données depuis WinRE |
Bonnes pratiques SEO et lisibilité (pour administrateurs de site)
- Incluez les mots‑clés : Windows 11 24H2, Your device is offline, écran de connexion, Windows Hello, TPM, BitLocker, WinRE.
- Structurer en sections claires (problème → diagnostic → solution → prévention) pour capter l’intention « problème/solution ».
- Utiliser des tableaux pour condenser les étapes et des blocs de code pour les commandes.
Résumé exécutable
- Ethernet, coupez Wi‑Fi/VPN.
- Réinitialisez PIN depuis l’écran de connexion.
- Si échec : WinRE → Désinstaller 24H2, puis supprimez
$SysResetet retentez. - Si échec : Régénérez
Ngc. - Ultime recours : Effacez le TPM (clé BitLocker obligatoire).
En cas de doute, privilégiez les actions réversibles (désinstallation, régénération Ngc) avant toute opération destructive (effacement TPM). Conservez toujours vos sauvegardes et vos clés de récupération en lieu sûr.