Windows archive en secret chaque clé usb branchée depuis des années

Publié le 30/03/2026 05:50 dans technologie Mathieu Molard

Branchez une clé USB et, en moins d’une seconde, Windows a déjà copié votre empreinte numérique. Fabricant, numéro de série, jour, heure : tout est stocké dans un coin oublié du registre, prêt à être exhumé même dix ans plus tard. Les utilisateurs l’ignorent, les entreprises le redoutent, les enquêteurs le saluent.

Le cimetière caché des clés usb

La piste se trouve à l’adresse HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR. Chaque dossier qui y apparaît correspond à un périphérique jamais vraiment « oublié ». Le système garde ces données pour éviter de réinstaller les pilotes à chaque connexion, mais il offre surtout un journal d’activité aussi fiable qu’inaltérable.

Ouvrez le gestionnaire de périphériques, activez « Afficher les appareils masqués », déroulez « Contrôleurs de bus USB » : les icônes grises sont les fantômes de vos anciennes clés. Même suppression, même formatage, elles restent là, accrochées à la mémoire de Windows.

Comment transformer ce registre en preuve

Comment transformer ce registre en preuve

Le Visor de eventos (Windows+X> Visor de eventos> Registros de aplicaciones y servicios> Microsoft> Windows> DriverFrameworks-UserMode> Operational) complète le tableau : il horodate chaque connexion, même après effacement du fichier. Activez le journal s’il est désactivé et vous obtiendrez une frise chronologique irréfutable.

Les entreprises y trouvent un filon : savoir quelle clé a fuité, quel salarié a copié quel dossier, à quelle heure. Les experts en cybersécurité exportent ces listes avec USBDeview de NirSoft, génèrent un CSV et croisent les données avec les logs de pare-feu. En quelques clics, une fuite de R&D devient un dossier accablant.

Pourquoi microsoft ne l’efface jamais

Pourquoi microsoft ne l’efface jamais

Supprimer ces traces reviendrait à réinstaller les pilotes à chaque branchement, ralentissant l’expérience utilisateur. Microsoft a donc choisi la persistance : un disque externe reconnu en 2010 redevient opérationnel en 2024 sans télécharger quoi que ce soit. C’est rapide, silencieux, et surtout excellent pour la compatibilité matérielle.

Mais cette optimisation a un prix : la vie privée. Vendez votre PC sans effacer le registre et le nouveau propriétaire saura combien de clés vous avez utilisées, leurs modèles, leurs dates d’insertion. Pour effacer la mémoire, il faut supprimer manuellement chaque clé dans le gestionnaire de périphériques, puis nettoyer la clé USBSTOR avec un éditeur de registre. Un oubli et votre historique reste collé au disque.

La prochaine fois que vous glisserez une clé dans le port, rappelez-vous : Windows ne l’oubliera jamais. Et si un jour on vous accuse d’avier copié un fichier sensible, ce petit dossier enfoui pourrait devenir le témoin le plus tenace du tribunal.