← Retour aux articles

Svchost.exe : quelle utilité et quels dangers en cas d'infection ?

Mathieu B.
Date publication
March 13, 2023
time to read
6 min
Svchost.exe : quelle utilité et quels dangers en cas d'infection ?

Les fichiers svchost.exe sont des processus « service host » ou hôtes de service nécessaires au bon fonctionnement des ordinateurs Windows. Toutefois, ces fichiers peuvent consommer des ressources inutilement et même représenter une menace de cybersécurité. Découvrez tout ce que vous devez savoir !

En ouvrant le gestionnaire de tâches de votre ordinateur, vous avez peut-être déjà constaté un grand nombre de fichiers svchost.exe ou hôte de service. Vous vous demandez probablement ce dont il s'agit, s'ils ralentissent votre PC et s'ils sont dangereux... Découvrez les réponses à toutes vos questions.

Qu'est-ce que Svchost.exe ?

Le Service Host (svchost.exe) est un processus de service partagé utilisé par Windows pour charger les fichiers DLL. Comme son nom l'indique, il aide à héberger les différents fichiers et processus nécessaires au fonctionnement efficace de Windows.

Les différents services sont organisés en groupes, et chaque groupe est exécuté au sein d'un processus d'Hôte de Service séparé. Les services hébergés sous un groupe Service Host partagent des processus, par exemple les fichiers nécessaires aux services de réseau ou aux services de firewall.

De cette manière, en cas de problème dans une instance ou dans un processus, les autres processus ne seront pas affectés. Ceci évite que les problèmes se propagent à l'intégralité du système.

À quoi sert svchost.exe ?

Le système d'exploitation Windows utilise les fichiers svchost.exe pour lancer les Dynamic-Link Libraries (DLL) : ces librairies logicielles permettant aux processus Windows de fonctionner efficacement.

Les DLL offrent une flexibilité pour la programmation. Pour cause, elles peuvent être altérées individuellement sans que le programme complet ait besoin d'être mis à jour.

Toutefois, Windows ne peut pas exécuter les DLL directement. C'est la raison pour laquelle svchost.exe est utilisé en guise de programme shell sur lesquels les DLL peuvent être exécutés.

En inspectant les services hôtes dans le gestionnaire de tâches, il est possible de vérifier à quoi sert chaque fichier svchost.exe. Utilisez Ctrl + Shift + Esc pour lancer le gestionnaire de tâches, puis cliquez sur la flèche située à gauche du processus Service Host. Le menu déroulant indique les processus svchost.exe en cours d'exécution sur le système.

Pourquoi autant de processus Service Host en cours d'exécution ?

Le regroupement de processus Service Host similaires permet de soulager le CPU et la mémoire de l'ordinateur. Ceci élimine aussi le risque qu'un seul problème provoque le plantage complet de l'ordinateur. Si un processus d'hôte de service a besoin d'être interrompu, les autres services peuvent continuer à fonctionner normalement.

Si tous les services Windows étaient exécutés séparément, la puissance de traitement requise serait bien trop importante. Les multiples processus svchhost.exe prenant en charge leurs propres groupes de services permettent de limiter l'exploitation du CPU et de la mémoire. En cas d'erreur sur un service Windows 10, les autres services ne seront pas affectés.

Il arrive qu'un processus Host pour certaines tâches Windows consomme beaucoup de ressources. Par exemple, le processus Superfetch est connu pour causer des ralentissements. Un usage élevé de CPU ou de RAM par un svchost peut signifier que l'ordinateur est surmené.

De même, si svchost.exe exécute de multiples instances ou des fichiers nécessitant beaucoup de ressources, comme l'installation de mises à jour ou la défragmentation de disque, les niveaux d'usage du CPU et de la RAM peuvent augmenter fortement. Il est important de ne pas exécuter trop de processus en simultané. Si le phénomène est récurrent, il peut s'agir d'un problème technique à résoudre.

En outre, un usage élevé de RAM ou de CPU peut être lié à votre activité sur l'ordinateur. Mieux vaut éviter d'utiliser de nombreuses extensions de navigateur web, ou d'ouvrir trop d'onglets simultanément. Le gestionnaire de tâches permet de vérifier quels processus Service Host consomment le plus de ressources Windows.

Comment visualiser les processus Service Host dans le Gestionnaire des tâches ?

Pour ouvrir le gestionnaire de tâches, pressez les touches Ctrl + Shift + Esc. Sur la fenêtre qui s'ouvre alors, cliquez sur le bouton « Plus de détails » en bas à gauche.

Afin de trier les processus par nom, cliquez sur Nom en haut à gauche du tableau. Ceci permet d'éviter que les processus changent de place dans le tableau au gré de leur consommation.

Faites défiler l'écran pour trouver les processus d'hôte de service actifs. Ils peuvent se trouver dans la section des processus Windows. Effectuez un clic droit sur l'instance que vous souhaitez inspecter, et choisissez l'option « accéder aux détails ».

Le fichier d'hôte de service sur lequel vous avez cliqué sera mis en lumière dans le nouveau tableau qui s'affiche. Sur la droite de l'écran, vous pouvez voir le pourcentage du CPU et la quantité de mémoire consommée par ce processus.

Svchost.exe et cybersécurité

De manière générale, les processus svchost.exe ne représentent pas de danger de cybersécurité en eux-mêmes. Toutefois, les hackers et les cybercriminels peuvent créer des malwares svchost pour imiter les fichiers svchost.exe légitimes.

Les fichiers svchost.exe sont normalement stockés dans le dossier system32 du PC. Si vous trouvez de tels fichiers hors du dossier, il peut s'agir d'un virus ou autre type de malware. Il en va de même pour un svchost.exe dans un dossier inhabituel, comme le dossier de téléchargements.

Pour reconnaître un virus déguisé en svchost, vérifiez sa consommation de mémoire système. Un usage élevé peut être un symptôme alarmant. Méfiez-vous aussi si votre machine subit d'importants ralentissements.

L'hôte de service csrss.exe (Client Server Runtime Subsystem) a été falsifié par les hackers par le passé. Il s'agit pourtant d'un processus crucial pour Windows.

Pour vérifier si un fichier csrss.exe ou tout autre processus d'hôte de service est un virus, ouvrez-le depuis le gestionnaire de tâches Windows. Si ce fichier est stocké dans « Windows\System32 », il n'y a a priori rien à craindre. En revanche, si l'emplacement du fichier vous semble suspect, mieux vaut supprimer immédiatement ce potentiel virus de votre ordinateur.

À l'inverse, les fichiers svchost.exe légitimes peuvent être identifiés comme des menaces par les scanners antivirus. Pour cause, ces fichiers ont accès à des zones sensibles de l'ordinateur...

De même, outre les fichiers svchost.exe, il existe un autre type de processus d'hôte de service appelé utcsvc.exe. Ils ne sont pas développés par Microsoft, mais sont préinstallés sur Windows.

Ces processus utilisent fortement le CPU, et peuvent être identifiés comme des programmes potentiellement indésirables par les antivirus. Les hackers peuvent aussi les exploiter pour propager des malwares.

Comment arrêter un service svchost.exe ?

Pour arrêter un processus d'hôte de service, ouvrez le gestionnaire de tâches avec Ctrl+Shift+Esc. Triez les processus en cours d'exécution par nom, et effectuez un clic droit sur le processus que vous souhaitez interrompre. Cliquez sur « Fin de tâche ».

Soyez prudent ! Mettre fin à un processus Service Host essentiel peut causer l'instabilité du système. Veillez à sauvegarder votre travail et à effectuer des copies backup de vos données avant d'arrêter le processus. Dans tous les cas, Windows ne vous laissera pas arrêter une tâche svchost.exe utilisée par un programme en cours d'exécution.

Comment supprimer un virus déguisé en svchost.exe ?

Si vous avez identifié un faux processus svchost.exe ou un processus corrompu, utilisez un logiciel de suppression de malware. Un scan de virus permet d'identifier les fichiers svchost.exe malveillants et de les isoler.

Sur Windows 10, la suppression d'un tel virus peut être difficile s'il parvient à verrouiller les fonctions telles que le gestionnaire de tâches ou l'invite de commande. Pour retrouver l'accès à ces fonctions cruciales, vous pouvez redémarrer l'ordinateur en mode sans échec. Utilisez ensuite l'antivirus pour éliminer la menace.

Si vous avez accès à l'invite de commande, vous pouvez l'utiliser pour supprimer un virus svchost.exe. Tapez CMD dans la barre de recherche, faites un clic droit et cliquez sur « exécuter en tant qu'administrateur ».

Tapez ensuite la commande « sfc /scannow » et pressez la touche Entrée pour scanner et réparer les fichiers système. Exécutez de nouveau le scan tant que vous recevez un rapport de fichiers endommagés.

Comment suivre une formation de cybersécurité ?

Les fichiers svchost.exe sont l'un des nombreux éléments informatiques pouvant constituer une menace pour la cybersécurité. Il est essentiel de surveiller constamment l'activité sur le réseau et sur les différents systèmes, et les entreprises s'arrachent les experts capables de veiller sur leur infrastructure IT.

Si vous souhaitez commencer une carrière dans la cybersécurité, vous pouvez choisir la Cyber University. Notre formation en cybersécurité vous permet d'acquérir toutes les compétences requises.

Vous découvrirez les fondamentaux de la cybersécurité, les composantes de la cyberdéfense, les stratégies d'attaque et de défense, le cadre normatif et juridique, ou encore la gestion de crise cyber.

Après avoir complété ce programme, vous serez prêt à exercer le métier d'analyste en cybersécurité. Ce professionnel se charge de surveiller les outils antivirus pour détecter et repousser les menaces, tout en renforçant les défenses de l'entreprise.

Notre formation d'une durée de 365 heures s'effectue entièrement à distance. Elle permet d'obtenir la certification "Analyser les incidents de sécurité détectés" .

Pour les entreprises, nous proposons aussi des formations sur mesure afin d'initier tous vos employés aux bonnes pratiques de cybersécurité comme la détection de fichiers malveillants ou de tentatives de phishing.

Toutes nos formations sont tournées vers la pratique grâce à l'usage d'un simulateur de cyberattaques, et notre organisme est éligible au CPF pour le financement. Découvrez dès maintenant la Cyber University !

Vous savez tout sur les processus svchost.exe. Pour plus d'informations sur le même sujet, découvrez notre dossier complet sur le protocole TCP/IP et notre dossier sur les attaques Evil Twin.

Poursuivre la lecture

Gabin P.
-
April 25, 2024
Certification ISO 27005 : comment opérer la gestion des risques
Lire l’article
Gabin P.
-
April 23, 2024
DGSE et Cybersécurité : comment protéger la France des cybermenaces
Lire l’article
Gabin P.
-
April 14, 2024
DevSecOps : prioriser la sécurité dans le DevOps
Lire l’article

Dans cet article :

Voir nos formations
facebook
Facebook
twitter
Twitter
linkedin
LinkedIn
youtube
YouTube
instagram
Instagram
github
Github
qualiopi icon

La certification qualité a été délivrée au titre des catégories d’actions suivantes :
- Actions de formation
- Actions de formation par apprentissage

Consulter le Certificat Qualiopi

Cyber University est éligible au CPF. Financez votre formation en cybersécurité grâce à votre Compte de Formation

SecNumEdu logo

Le label de référence délivré par l’ANSSI pour des formations d’excellence en cybersécurité.

Fédération française de la cybersécurité

L'organisme de formation Cyberuniversity est membre de la fédération française de la cybersécurité

Copyright © 2024 CyberUniversity. All rights reserved.