On tombe encore régulièrement sur des machines de production ou des postes de laboratoire qui tournent sous Windows 7 Professional, avec un logiciel métier impossible à migrer. Récupérer une ISO fiable de Windows 7 Professional pour réinstaller proprement, activer la licence, puis verrouiller la surface d’attaque : voilà le parcours concret qu’on détaille ici pour 2026.
Patch SHA-2 et certificats Secure Boot : deux prérequis avant toute installation
Avant même de graver l’ISO, il faut comprendre ce qui a changé côté infrastructure Microsoft. Windows Update sur Windows 7 exige désormais la prise en charge du hachage SHA-2 pour valider les mises à jour. Sans le patch SHA-2, le système refuse silencieusement les correctifs récents.
A voir aussi : Coût réel d'une migration Silverlight software pour une PME en 2026
Le deuxième point, moins documenté, concerne le Secure Boot. Plusieurs certificats Secure Boot émis par Microsoft expirent en 2026, ce qui peut bloquer le démarrage de Windows 7 sur du matériel UEFI récent. Sur une carte mère configurée en UEFI avec Secure Boot actif, le boot échoue sans mise à jour manuelle des clés dans le firmware.
Concrètement, sur un poste UEFI, on désactive Secure Boot dans le BIOS avant l’installation, ou on bascule en mode Legacy/CSM. Sur du matériel ancien en BIOS traditionnel, ce problème ne se pose pas.
A lire également : Pourquoi centraliser vos documents RH dans myPrimobox mon compte en 2026 ?
Télécharger l’ISO Windows 7 Professional avec mises à jour intégrées
Microsoft ne propose plus le téléchargement direct des ISO Windows 7 depuis son site officiel. La page historique qui acceptait une clé de licence valide a été retirée. Deux pistes fiables subsistent.
ISO communautaires pré-patchées jusqu’en janvier 2026
Des images ISO intégrant toutes les mises à jour cumulées jusqu’en janvier 2026 circulent dans la communauté technique. Le Crabe Info a documenté la disponibilité de ces ISO pour Windows 7, y compris l’édition Professional en 32 et 64 bits. L’avantage principal : on évite la phase interminable de Windows Update après l’installation, phase qui échoue souvent sur une installation nue de Windows 7 en 2026.
Avant de flasher quoi que ce soit, on vérifie le hash SHA-256 du fichier ISO téléchargé et on le compare à celui publié par la source. Un ISO corrompu ou altéré peut embarquer un rootkit sans que l’installation ne signale quoi que ce soit.
Créer la clé USB bootable
Rufus reste l’outil de référence pour graver l’ISO sur clé USB. Quelques réglages à ne pas rater :
- Schéma de partition MBR si la machine cible utilise un BIOS Legacy, GPT si on cible un boot UEFI (avec Secure Boot désactivé).
- Système de fichiers NTFS pour les ISO supérieures à 4 Go, ce qui est le cas des versions pré-patchées.
- On sélectionne « Windows To Go » uniquement si on veut un système portable, pas pour une installation classique sur disque interne.
Activer Windows 7 Professional avec une clé de licence valide
L’activation en ligne fonctionne encore, mais les retours varient sur ce point selon le type de licence. Les clés OEM liées au matériel s’activent généralement sans problème. Les clés retail acceptent l’activation par téléphone si le serveur en ligne refuse la connexion.
Pour lancer l’activation par téléphone, on ouvre la boîte de dialogue d’activation (slui.exe), on sélectionne « Activer par téléphone », et on suit le système vocal automatisé. La procédure prend quelques minutes. Les clés volume (VLK) d’entreprise s’activent via un serveur KMS interne, ce qui suppose que l’infrastructure KMS soit encore maintenue côté IT.
Un point à ne pas négliger : si la licence est de type Enterprise ou destinée à un accord de volume, elle ne fonctionnera pas sur une ISO Professional. L’édition de l’ISO doit correspondre exactement à l’édition de la clé.
Sécuriser Windows 7 Professional en 2026 sans support officiel
Le support étendu de Windows 7 a pris fin, et le programme ESU (Extended Security Updates) payant est lui aussi terminé. Microsoft continue ponctuellement à publier des mises à jour de définitions antimalware (la mise à jour KB915597, version 1.443.875.0, a été déployée fin janvier 2026), mais aucun correctif de faille système n’est garanti.
Stratégie de durcissement réseau
Le principe est simple : réduire au maximum l’exposition réseau du poste Windows 7. Quelques mesures concrètes qui changent réellement la donne :
- Isoler la machine dans un VLAN dédié, sans accès direct à Internet. Si un accès web est nécessaire, passer par un proxy filtrant qui bloque tout sauf les URL strictement requises par le logiciel métier.
- Désactiver SMBv1 via le registre (HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, valeur SMB1 à 0). SMBv1 reste le vecteur d’attaque le plus exploité sur les postes Windows 7 exposés.
- Maintenir un antivirus tiers compatible Windows 7. Quelques éditeurs continuent de supporter cette version, mais la liste se réduit chaque année.
- Appliquer les dernières mises à jour de définitions Microsoft via le fichier hors ligne si Windows Update ne fonctionne plus correctement.
Navigateur et surface applicative
Les navigateurs majeurs ont abandonné Windows 7. Chrome et Edge ne reçoivent plus de mises à jour pour cette plateforme. On peut utiliser un fork maintenu par la communauté, mais naviguer sur le web depuis un poste Windows 7 en 2026 reste un risque élevé. Si le poste doit accéder à une interface web interne, on privilégie un navigateur durci limité à ces seules URL.
Côté applicatif, chaque logiciel installé élargit la surface d’attaque. On supprime tout ce qui n’est pas utilisé : Java ancien, Flash (encore présent sur certaines images), lecteurs PDF obsolètes. Le principe du moindre privilège s’applique aussi aux comptes utilisateurs : pas de session administrateur au quotidien.
Planifier la sortie de Windows 7 Professional
Maintenir un poste Windows 7 en 2026, même durci, reste une dette technique qui s’alourdit chaque mois. Les ISO pré-patchées et les contournements SHA-2 offrent un sursis, pas une solution pérenne. Le coût réel d’un incident de sécurité sur un système non supporté dépasse largement celui d’une migration, même complexe.
Pour les logiciels métier incompatibles avec Windows 10 ou 11, la virtualisation (une VM Windows 7 isolée sur un hôte moderne) offre un compromis qui conserve la compatibilité applicative tout en bénéficiant de la pile de sécurité de l’hôte. C’est souvent la piste la plus réaliste quand le budget de réécriture du logiciel métier n’existe pas.
