Réinstaller et nettoyer Windows 10 pour plus de confidentialité

SoC
Windows 10 est un système d'exploitation bien agréable, mais encombré d'un tas de fonctionnalités activées par défaut qui sont proprement insupportables : Cortana, paramètres de confidentialité autorisant la communication de données à Microsoft, affichage variable selon le type du dossier, Edge ne démarrant pas en mode InPrivate, applications Microsoft inutiles ("Cartes", "Xbox Game Bar", etc.), connexion à un compte Microsoft, exécution automatique des périphériques, etc.
Par ailleurs, le système est généralement plus encombré encore quand il a été installé par un constructeur, car ce dernier ne manque jamais d'installer des outils tiers parfaitement inutiles dans l'espoir que le gogo ne voudra pas s'en passer : un antivirus, des jeux, etc.
A l'occasion d'une réinstallation de Windows 10 sur mon portable, j'ai dressé la liste des modifications à apporter pour faire le ménage. Certes, il existe des outils pour cela, comme Privatezilla ou Windows10Debloater, non seulement plus complet mais aussi plus ergonomique, mais s'agissant de modifications sensibles, j'ai pris le temps de prendre la main.
Mise à jour du 08/07/2021 : désactiver le redémarrage automatique après mise à jour
Mise à jour du 20/04/2021 : désactiver les notifications
Mise à jour du 18/04/2021 : désactiver les expériences partagées, désinstaller le protocoles de réseaux Microsoft, désactiver la découverte de réseaux

Avertissements

Ces modifications ont été testées sur Windows 10 version 20H2 (19042.928).
Certaines des modifications nécessitent de passer par l'éditeur de stratégie de groupe local, d'autres par l'éditeur du Registre - l'un à défaut de l'autre, d'ailleurs, c'est probable. Ne procédez pas à ces modifications sans savoir ce que vous faites ! D'une manière générale, ce qui suit est réservé aux utilisateurs de Windows 10 qui ont le niveau requis pour comprendre un article posté sur ce blog. Ceux-là savent qu'il convient de ne stocker aucune donnée essentielle sur son PC, mais uniquement sur une clé USB chiffrée, etc. Si vous êtes un profane, je vous conseille plutôt de passer votre chemin.
Pour ce qui concerne la confidentialité, il est clairement possible de faire mieux pour limiter les traces de son utilisation de Windows 10. Je renvoie aux outils déjà cités en introduction, par exemple.

Réinstaller Windows 10 à partir d'une version sans bloatware

La première chose que tout utilisateur un tant soit peu éduqué doit faire lorsqu'il achète un portable sur lequel Windows 10 a été installé, c'est évidemment de réinstaller Windows 10 à partir d'une version de base.
Pour cela, il faut disposer disposer la clé d'activation de Windows 10. Si cette dernière n'est pas fournie, il est toujours possible de la récupérer dans le système sans avoir à installer un outil quelconque :
  • Dans le menu Démarrer, saisir powershell
  • Cliquer du bouton droit sur Windows PowerShell
  • Sélectionner Démarrer en tant qu'administrateur
  • Exécuter cette commande : wmic path SoftwareLicensingService get OA3xOriginalProductKey
Pour installer Windows 10, créer une clé USB avec l'outil de création de support récupéré ici, et paramètrer le BIOS ou l'UEFI du PC pour démarrer depuis cette clé.
Lors de l'installation, je préfère :
  • Détruire toutes les partitions, en créer d'une nouvelle qui occupe tout le disque, et accepter que Windows créé automatiquement les partitions supplémentaires qu'il juge nécessaires
  • Décliner toutes les propositions qui me sont faites, depuis l'utilisation d'un compte Microsoft à la communication de données

Paramétrages particuliers sur un portable ASUS

Généralement, Windows 10 installe les pilotes les plus à jour. Toutefois, sur un vieux portable ASUS, j'ai noté que la combinaison de touches Fn+F9, qui permet normalement d'activer / désactiver le pavé tactile, ne fonctionnait pas. Pour cela, j'ai dû installer le package ATK, ainsi que Smart Gesture. Il est possible que le package ATK ne soit pas nécessaire, mais cela reste à vérifier...

Interdire définitivement l'installation du pilote de la webcam

Il faut être totalement inconscient ou parfaitement exhibitionniste pour utiliser une Webcam. Pour éviter de l'activer par accident, le mieux est d'interdire à jamais l'installation du pilote. Cela se fait en trois étapes.
Tout d'abord, récupérer les identifiants de la Webcam :
  • Dans les paramètres, cliquer sur Système
  • Cliquer sur A propos de
  • Cliquer sur le lien Gestionnaire de périphériques
  • Double-cliquer sur Appareils photos puis sur la Webcam
  • Se rendre dans l'onglet Détail
  • Sélectionner Numéros d'identification du matériel, ce qui affiche par exemple USB\VID_064E&PID_9700&REV_0101&MI_00, USB\VID_064E&PID_9700&MI_00. Il est possible de sélectionner ID compatibles à la place, mais cela étendra le champ de l'interdiction à toute caméra, ce qui peut être génant un jour.
  • Cliquer du bouton droit et sélectionner Sélectionner tout
  • Cliquer du bouton droit sur un identifiant et sélectionner Copier
Ensuite, modifier la stratégie pour interdire l'installation du pilote :
  • Dans le menu Démarrer, saisir gpedit.msc
  • Cliquer sur Stratégie Ordinateur local
  • Cliquer sur Configuration ordinateur
  • Cliquer sur Modèle d'administration
  • Cliquer sur Système
  • Cliquer sur Installation de périphériques
  • Cliquer sur Restriction d'installation de périphériques
  • Double-cliquer sur Empêcher l'installation de périphériques correspondant à l'un de ces ID de périphériques
  • Désormais dans la boite de dialogue, cliquer sur Activé
  • Cliquer sur Afficher
  • Coller les identifiants notés plus tôt
  • Cliquer sur OK
  • Cliquer sur OK
Enfin, désintaller le pilote :
  • Retourner dans le gestionnaires de périphériques
  • Cliquer sur Appareils photos
  • Cliquer du bouton droit sur la Webcam
  • Cliquer sur Désinstaller l'appareil
  • Cliquer sur OK

Désintaller les applications Microsoft

La solution de loin la plus simple consiste à paser par l'outil Tools de la version gratuite de CCleaner, sauf pour Cortana, dont la désinstallation n'est pas proposée.
Pour désinstaller Cortana :
  • Afficher le menu Démarrer
  • Saisir powershell
  • Cliquer du bouton droit sur Windows Powershell
  • Cliquer sur Exécuter en tant qu'administrateur
  • Exécuter Get-AppxPackage -allusers Microsoft.549981C3F5F10 | Remove-AppxPackage
Qui n'utilise pas CCleaner peut trouver les identifiants des applications à désinstaller sur Web. Par exemple ici.

Désactiver tous les sons du système

  • Dans les paramètres, cliquer sur Système
  • Cliquer sur la rubrique Son
  • Cliquer sur le lien Panneau de configuration Son
  • Se rendre dans l'onglet Sons
  • Dans Modèle de sons, sélectioner Aucun son
  • Cliquer sur OK

Cacher la liste des applications dans le menu "Démarrer"

  • Dans les paramètres, cliquer sur Personnalisation
  • Cliquer sur la rubrique Démarrer
  • Désactiver Afficher plus de vignettes dans l'écran de démarrage et Afficher la liste des applications dans le menu Démarrer

(ASUS) Modifier les paramètres d'économie de l'énergie :

  • Dans les paramètres, cliquer sur Système
  • Cliquer sur la rubrique Alimentation et mise en veille
  • Cliquer sur le lien Paramètres d'alimentation supplémentaires
  • En face de Utilisation normale (recommandé), cliquer sur le lien Modifier les paramètres du mode
  • Cliquer sur le lien Modifier les paramètres d'alimentation avancés
  • Dans Paramètres USB / Paramèters de la suspension sélective USB, passer tout à Désactivée
  • Dans Paramèters graphiques Intel(R) / Stratégie d'alimentation des graphiques Intel(R), passer Sur secteur à Performances maximales
  • Cliquer sur OK

Supprimer le compte MS (après l'installation et un premier démarrage d'Office qui le requiert pour activation)

  • Dans les paramètres, cliquer sur Comptes
  • Cliquer sur la rubrique E-mail et comptes
  • Cliquer sur le compte
  • Cliquer sur Supprimer
  • Cliquer sur Oui
  • Cliquer sur le lien (je ne l'ai pas noté)

Modifier le bureau (afficher l'icône du PC, changer le fond d'écran)

Dans les paramètres, cliquer sur Personnalisation :
  • Cliquer sur la rubrique Arrière-plan
  • Cliquer sur Parcourir et sélectionner l'image
  • Cliquer sur la rubrique Thèmes
  • Cliquer sur lien Paramètres des icônes du bureau
  • Cocher Ordinateur
  • Cliquer sur OK

Désactiver tous les enjolivements graphiques inutiles

  • Dans les paramètres, cliquer sur Système
  • Cliquer sur la rubrique A propos de
  • Cliquer sur le lien Paramètres avancés du système
  • Se rendre dans l'onglet Paramètres système avancés
  • Cliquer sur Paramètres
  • Sélectionner Ajuster afin d'obtenir les meilleurs performances
  • Cocher :
    • Lisser les polices écran
    • Afficher le contenu des fenêtres pendant leur déplacement
    • Afficher une ombre sous les fenêtres
  • Cliquer sur OK

Activer le mode de navigation privée par défaut dans Edge

  • Dans le menu Démarrer, saisir edge
  • Cliquer du bouton droit sur Edge
  • Sélectionner Ouvrir l'emplacement du fichier
  • Cliquer du bouton droit sur le raccourci Microsoft Edge
  • Sélectionner Propriétés
  • Dans le champ Cible, rajouter --profile-directory=Default -inprivate
  • Cliquer sur OK

Désactiver la découverte automatique du type des dossiers

  • Fermer toutes les fenêtres de l'Explorateur
  • Dans le menu Démarrer, saisir regedit.exe
  • Démarrer Editeur du Registre
  • Se rendre au niveau de HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell
  • Supprimer toutes les clés : MUICache, Bags, BagsMRU
  • Créer une clé de type Valeur DWORD 32 bits nommée BagMRU Size de valeur 1
De là, pour toujours afficher sous forme de liste sans groupement :
  • Ouvrir une fenêtre de l'Explorateur
  • Dans l'onglet Affichage du ruban, sélectionner une disposition Liste
  • Cliquer du bouton droit dans un espace vide du contenu
  • Sélectionner Regrouper par
  • Sélectionner (aucun)

Masquer le champ de recherche dans la barre des tâches

  • Cliquer du bouton droit sur un emplacement vide de la barre des tâches
  • Sélectionner Rechercher
  • Sélectionner Masquée

Désactiver la télémétrie

Je n'ai pas pu vérifier si cette modification fonctionne...
  • Dans le menu Démarrer, saisir regedit.exe
  • Démarrer Editeur du Registre
  • Se rendre au niveau de \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection
  • Créer une clé de type Valeur DWORD 32 bits nommée Allow Telemetry de valeur 0

Désactiver la recherche sur le Web

Il est probable que cette modification fonctionne suite à la désinstallation de Cortana.
  • Dans le menu Démarrer, saisir regedit.exe
  • Démarrer Editeur du Registre
  • Se rendre au niveau de HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Search
  • Créer une clé de type Valeur DWORD 32 bits nommée BingSearchEnabled de valeur 0
Si jamais la recherche devait être réactivée, quelques précautions à prendre :
  • Dans les paramètres, cliquer sur Rechercher
  • Cliquer sur la rubrique Autorisation et historique
  • Sous Filtre adulte, sélectionner Désactivé
  • Sous Recherche de contenu dans le cloud, désactiver Compte Microsoft et Compte professionnel ou scolaire
  • Sous Historique, désactiver Historique de recherche sur cet appareil
  • Cliquer sur Effacer l'historique de reherche de l'appareil

Désactiver l'exécution automatique des périphériques

  • Dans les paramètres, cliquer sur Périphériques
  • Cliquer sur la rubrique Exécution automatique
  • Désactiver l'exécution automatique

Désactiver la correction automatique

  • Dans les paramètres, cliquer sur Périphériques
  • Cliquer sur la rubrique Saisie
  • Désactiver la correction automatique

Maximiser la confidentialité

  • Dans les paramètres, cliquer sur Confidentialité
  • Passer en revue toutes les rubriques et refuser TOUT

Dissimuler les liens Desktop, Documents, Images et autres de la fenêtre de l'Explorateur

  • Dans le menu Démarrer, saisir regedit
  • Démarrer Editeur du Registre
  • Supprimer les clés désirées dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace et HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace :
    Bureau{B4BFCC3A-DB2C-424C-B029-7FE99A87C641}
    Documents{A8CDFF1C-4878-43be-B5FD-F8091C1C60D0}
    {d3162b92-9365-467a-956b-92703aca08af}
    Vidéos{A0953C92-50DC-43bf-BE83-3742FED03C9C}
    {f86fa3ab-70d2-4fc7-9c99-fcbf05467f3a}
    Images{3ADD1653-EB32-4cb0-BBD7-DFA0ABB5ACCA}
    {24ad3ad4-a569-4530-98e1-ab02f9417aa8}
    Téléchargements{374DE290-123F-4565-9164-39C4925E467B}
    {088e3905-0323-4b02-9826-5d99428e115f}
    Musiques{1CF1260C-4DD0-4ebb-811F-33C572699FDE}
    {3dfdf296-dbec-4fb4-81d1-6a3438bcf4de}
    Objets 3D{0DB7E03F-FC29-4DC6-9020-FF41B59E513A}

Désactiver le démarrage rapide

  • Dans les paramètres, cliquer sur Système
  • Cliquer sur la rubrique Alimentation et mise en veille
  • Cliquer sur le lien Paramètres d'alimentation supplémentaires
  • Cliquer sur le lien Choisir l'action des boutons d'alimentation
  • Cliquer sur le lien Modifier des paramètres actuellement non disponibles
  • Décocher Activer le démarrage rapide (recommandé)
  • Cliquer Enregistrer les modifications

(ASUS) Désactiver la mise en veille sur secteur

  • Dans les paramètres, cliquer sur Système
  • Cliquer sur la rubrique Alimentation et mise en veille
  • Sélectioner Jamais sous En cas de branchement sur secteur, mettre le PC en veille après

Désactiver les services inutiles

Chacun jugera des services inutiles. A priori :
  • Windows Search (ie : indexation des fichiers)
  • Service de géolocalisation
  • Afficher le menu Démarrer
  • Saisir services.msc
  • Cliquer sur Services
  • Cliquer sur le service
  • Dans Type de démarrage sélectionner Désactivé
  • Cliquer sur OK
Concernant l'indexation, il n'est sans doute pas utile de désactiver l'indexation par lecteur (cliquer du bouton droit sur un lecteur, puis Propriétés, et décocher Autoriser l'indexation du contenu de ce lecteur en plus des propriétés de fichier) ? A vérifier...

Désactiver l'affichage des fichiers / dossiers récemment utilisés

  • Dans le ruban d'Explorer, se rendre dans l'onglet Affichage
  • Cliquer sur Options
  • Cliquer sur Modifier les options des dossiers et de recherche
  • Se rendre dans l'onglet Général
  • Dans Ouvrir l'Explorateur de fichiers dans, sélectionner Ce PC
  • Décocher Afficher les fichiers récemment utilisés dans Accès rapide
  • Décocher Afficher les dossiers récemment utilisés dans Accès rapide
  • Cliquer sur Effacer
  • Cliquer sur OK
Ensuite, mais est-ce nécessaire ?
  • Dans les paramètres, cliquer sur Personnalisation
  • Cliquer sur la rubrique Démarrer
  • Désactiver Afficher les éléments récemment ouverts...

Afficher les extensions de fichiers et les éléments masqués

  • Dans le ruban d'Explorer, se rendre dans l'onglet Affichage
  • Cocher Extensions de noms de fichiers
  • Cocher Eléments masqués

Utiliser des DNS qui ne sont pas ceux du FAI

  • Dans les paramètres, cliquer sur Réseau et Internet
  • Cliquer sur Modifier les options d'adaptateur
  • Double-cliquer sur Wi-Fi
  • Cliquer sur Propriétés
  • Décocher Client pour les réseaux Microsoft et Partage de fichiers et imprimantes Réseaux Microsoft
  • Cliquer sur Protocole Internet version 4 (TCP/IPv4) puis sur Propriétés
  • Sélectionner Utiliser l'adresse de serveurs DNS suivants et saisir par exemple :
    Cloudflare1.1.1.1 / 1.0.0.1
    Google8.8.8.8 / 8.8.4.4
    OpenDNS208.67.222.222 / 208.67.220.220
  • Cliquer sur OK

Utiliser une adresse MAC aléatoire

  • Dans les paramètres, cliquer sur Réseau et Internet
  • Cliquer sur Propriétés sous la connexion Wi-Fi
  • Dans Adresses matérielles aléatoires, sélectionner Modifier tous les jours

Désactiver les expériences partagées

  • Dans les paramètres, cliquer sur Système
  • Cliquer sur la rubrique Son
  • Désactiver Partager entre les appareils

Désinstaller le protocoles de réseaux Microsoft

  • Dans les paramètres, cliquer sur Réseau et internet
  • Chercher un lien Modifier les options d'adaptateur dans une des rubrique, et cliquer dessus
  • Double-cliquer sur la connexion à Internet
  • Dans la boite de dialogue, cliquer sur Propriétés
  • Décocher Client pour les réseaux Microsoft
  • Décocher Partage de fichiers et imprimantes Réseaux Microsoft
  • Cliquer sur OK
  • Cliquer sur Fermer

Désactiver la découverte de réseaux

  • Afficher le menu Démarrer
  • Saisir panneau
  • Cliquer sur Panneau de configuration
  • Dans le panneau de configuration, cliquer sur Centre réseau et partage
  • Cliquer sur le lien Modifier les paramètres de partage avancés
  • Cliquer sur Privé pour développer le volet
  • Sélectionner Désactiver la découverte du réseau
  • Cliquer sur Enregistrer les modifications

Désactiver les notifications

  • Dans les paramètres, cliquer sur Système
  • Cliquer sur la rubrique Notifications et actions
  • Désactiver les notifications
  • Décocher toutes les cases

Désactiver le démarrage automatique après mise à jour

  • Dans le menu Démarrer, saisir gpedit.msc
  • Cliquer sur Stratégie Ordinateur local
  • Cliquer sur Configuration ordinateur
  • Cliquer sur Modèle d'administration
  • Cliquer sur Composants Windows
  • Cliquer sur Windows Update
  • Double-cliquer sur Pas de redémarrage automatique avec les utilisateurs connectés pour les installations de mise à jour automatique programmées
  • Désormais dans la boite de dialogue, cliquer sur Activé
  • Cliquer sur OK
NB : Vérifier s'il ne faut pas activer "Configuration du service Mises à jour automatiques" ?
Il convient d'activer la notification lorsque le PC nécessite un redémarrage pour une mise à jour :
  • Dans les paramètres, cliquer sur Mise à jour et sécurité
  • Cliquer sur Options avancées
  • Activer Afficher une notification lorsque votre PC nécessite un redémarrage pour une mise à jour

Notes sur la configuration d'outils tiers

Dans CCleaner, sélectionner Options :
  • Dans Cookies, purger la liste des cookies préservés
  • Dans Smart Cleaning, décocher Enable Smart Cleaning
  • Dans Privacy, décocher Help improve this app... et See possible upgrades...
  • Dans Updates, décocher Keep CCleaner updated automatically
Réinstaller et nettoyer Windows 10 pour plus de confidentialité