svchost.exe : fournisseur de services de test contrôle des systèmes d’exploitation Windows

Si votre système d’exploitation Windows fonctionne parfaitement, vous n’avez généralement aucune raison de vous préoccuper du gestionnaire des tâches ni des différents processus et services. Les utilisateurs de PC examinent les services en cours d’exécution et les programmes s’y rattachant aussi rarement qu’un conducteur ouvre le capot de sa voiture. Il est toutefois judicieux de connaître et de se familiariser avec les programmes les plus importants de son système, surtout lorsque son activité professionnelle dépend de l’accès à un système informatique fonctionnel. En effet, les problèmes surviennent rarement au bon moment. Lorsque l’un des éléments suivants apparaît, il est conseillé de jeter un œil sur les processus en cours :

• surcharge inexpliquée du système comme, par exemple, un taux d’utilisation élevé de l’unité centrale ;
• plantages de programmes ou fenêtres « figées » ;
• suspicion de virus ;
• programmes correctement installés ne démarrant pas.

Le processus svchost.exe saute immédiatement aux yeux lorsqu’on examine les applications en cours. Cela est dû au fait qu’il est généralement exécuté plusieurs fois, souvent plusieurs douzaines de fois. Le nom du programme contient l’abréviation Service Host (hôte de service en français). Il s’agit d’un logiciel pouvant être utilisé par d’autres programmes ou services. Il n’est donc pas toujours facile d’identifier le programme d’origine en arrière-plan du processus observé.

Il est également possible de concentrer plusieurs services en un seul processus. Cependant, sur les ordinateurs puissants, Windows a plutôt tendance à démarrer un processus séparé pour chaque service. Il est ainsi possible de mieux délimiter les processus les uns par rapport aux autres. Ce qui constitue un avantage de poids en cas de « plantage » d’un processus, c’est-à-dire de son passage dans un état indéfini. Le cas échéant, la tâche défectueuse peut être fermée sans affecter d’autres programmes.

Pourquoi a-t-on besoin d’un logiciel supplémentaire pour le démarrage de services ? Ceci permet d’améliorer l’efficacité et tient à des concepts spécifiques, tels que les Dynamic Link Libraries (DLL). En effet, ces dernières utilisent svchost.exe pour exécuter un service. Ces bibliothèques forment généralement un code de programme utilisé par différents logiciels et pouvant être intégré (lié) dynamiquement en cas de besoin. Il en résulte, d’une part, un gain d’espace de stockage car tous les logiciels ne sont pas tenus de proposer les fonctions correspondantes. De l’autre, cela facilite la modularisation. Les DLL peuvent être adaptées et actualisées indépendamment du logiciel utilisé.

Grâce à leurs propriétés, les bibliothèques dynamiques prennent en charge des programmes usuels dont l’exécution indépendante exige un code machine volumineux. Elles empêchent également tout problème lié au fait que certaines ressources de programmes (telles que les fonctions intégrées) ne peuvent généralement pas être pilotées directement pas d’autres programmes. Le système préfère alors mettre à disposition les fonctionnalités nécessaires à plusieurs programmes sous forme de DLL.

Si vous constatez qu’un processus svchost.exe occasionne des problèmes sur votre système, vous pouvez l’examiner de différentes manières.

Particulièrement efficace, le gestionnaire des tâches intégré à Windows s’ouvre généralement à l’aide du raccourci clavier [Ctrl] + [Maj] + [Echap]. Vous pouvez également saisir le terme « Gestionnaire des tâches » dans la barre de recherche et démarrer l’application à partir du résultat de recherche affiché.

Le gestionnaire des tâches compte plusieurs onglets. L’affichage des processus s’ouvre automatiquement. Vous y voyez le taux d’utilisation du système en pourcentage pour chaque processus démarré, c’est-à-dire la puissance de calcul consommée, la mémoire vive, le trafic du réseau et les accès aux disques durs correspondants. Vous pouvez modifier les paramètres de tri d’un clic sur le critère souhaité. Les processus sont nommés d’après les programmes correspondants. Sous Windows 10, par défaut, les processus svchost.exe sont désignés comme « hôtes de service ». La description du service exécuté suit cette désignation. Dans les versions antérieures de Windows, le nom svchost.exe apparaissait directement dans la liste des processus.

Tous les services peuvent être consultés via l’application de système Services. Pour ouvrir cette application, ouvrez simplement la boîte de dialogue « Exécuter » à partir du menu de démarrage (icône Windows) et saisissez-y ce qui suit :

Vous trouverez, dans le menu contextuel, le champ de sélection « Propriétés ». Il affiche le chemin vers le fichier exécutable lié. Vous y trouverez également la désignation du service et une description succincte. C’est ainsi que vous pourrez évaluer la fonction du service. Dans l’onglet de même nom, les dépendances avec d’autres services sont aussi affichées.

Si vous n’avez pas peur d’utiliser la ligne de commande, le programme taskliste.exe est une bonne alternative. Le programme est préinstallé sous Windows 10 et est très clair. Dans les versions précédentes, un logiciel similaire portant le nom « tlist.exe » était déjà implémenté. Pour le démarrer, ouvrez la demande de saisie (cmd.exe). Pour obtenir une liste de toutes les instances de svchost.exe avec les ID de processus correspondants et les services qui y sont exécutés, saisissez la commande suivante dans la ligne de commande Windows :

Microsoft propose des logiciels gratuits supplémentaires, tels que le Process Explorer de l’auteur d’ouvrages spécialisés et Windows-Insider, Mark Russinovich. La structure du programme ressemble à celle du gestionnaire des tâches de Windows. Cependant, il dispose d’un volume de fonctions plus important. Il permet d’identifier rapidement les processus ouverts par d’autres processus. Le menu contextuel (clic droit) est également nettement plus complet. Vous n’y voyez pas que le programme appartenant à un processus, mais également son entrée dans le Registry. Vous pouvez, de plus, également faire directement contrôler le logiciel sur la plateforme Virustotal.

Le processus svchost.exe semble souvent suspect lors d’examens de systèmes envahis par des logiciels malveillants. En effet, le service sous-jacent n’est pas toujours immédiatement identifiable. On ne peut également pas exclure que des logiciels malveillants détournent la fonction du processus et s’y attachent. Le processus est utilisé si souvent que des cybercriminels l’ont souvent détourné par le passé.

Il n’est pas facile de déterminer s’il s’agit de processus légitimes : vérifiez tout d’abord l’orthographe du processus. Les programmes malveillants utilisent souvent des noms approchants comme scvhost.exe ou svhost.exe. Vous pouvez également consulter l’emplacement d’enregistrement du fichier exécutable de la manière décrite ci-avant. Le chemin d’enregistrement doit impérativement être « \Windows\System32\ ». Dans le cas contraire, il ne s’agit pas d’un processus officiel du système.

Les services liés donnent également d’autres informations. S’il s’agit de fonctions de système de Windows connues, la probabilité de devoir gérer un logiciel malveillant est minime. L’onglet « Détails » du gestionnaire des tâches fournit plus d’informations. Dans les propriétés, vous trouverez la signature numérique (certificat) de l’auteur. Il doit toujours s’agir de Microsoft pour svchost.exe.

Lorsqu’un programme doté d’une interface utilisateur graphique ne réagit plus, il peut être utile d’arrêter manuellement le processus correspondant. Il est également possible que plusieurs instances d’un programme aient été démarrées involontairement, de plusieurs double-clics sur l’icône du programme, par exemple. Le cas échéant, il est également possible d’arrêter les processus superflus pour pouvoir utiliser le programme normalement. Les processus tels que svchost.exe peuvent être fermés dans le gestionnaire des tâches. Pour cela, double-cliquez sur l’entrée concernée de la page des processus et sélectionnez l’option « Arrêter le processus ».

Si une instance de svchost.exe continue d’occasionner des problèmes après son redémarrage, vous pouvez désactiver manuellement le processus dans l’application « Services ». Le cas échéant, informez-vous, au préalable, sur la fonction du service à désactiver pour ne pas risquer de nouveaux dysfonctionnements au redémarrage suivant.

svchost.exe est, tout à la fois, un processus des plus normaux et des plus particuliers. Il est utilisé plusieurs fois, avec raisons, et n’indique généralement pas de dysfonctionnement de votre système ni la présence d’un logiciel malveillant actif. Il est, par ailleurs, relativement simple de consulter l’utilisation de chaque processus dans le gestionnaire des tâches de Windows. En outre, au besoin, vous pouvez arrêter manuellement svchost.exe, comme n’importe quel autre processus.