Kevin Glynn, alias "Uncle Webb", notre auteur associé de logiciels à l'origine d'utilitaires populaires tels que ThrottleStop et RealTemp, a développé un nouvel utilitaire nommé Counter Control, qui vous permet de surveiller et d'enregistrer les compteurs de performance des processeurs Intel Core depuis 2008 (Core "Nehalem"). Au cours du développement de ThrottleStop, Kevin a découvert un bogue fascinant avec Windows Defender, le logiciel de sécurité intégré de Windows, qui provoque un impact sur les performances du processeur nettement supérieur à celui qu'il devrait normalement avoir. Bien sûr, un logiciel de sécurité a forcément un (petit) impact sur les performances pendant la protection en temps réel, mais là, c'est beaucoup plus important.











Le premier signe que quelque chose se passe est que HWiNFO signale une vitesse d'horloge effective réduite lorsque le processeur est pleinement chargé. Un problème bien plus important est que lorsque Defender est affecté par le bug, les performances de votre machine seront considérablement réduites. Par exemple, un Core i9-10850K fonctionnant à 5.00 GHz all-core perd 1000 points Cinebench (ou 6%). Une telle perte de performance a été signalée par des propriétaires de processeurs Intel Core 8e, 9e, 10e et 11e génération, de bureau et mobiles, sous Windows 10 et Windows 11. Les processeurs AMD ne sont pas concernés.











Le problème sous-jacent qui coûte tant de performances est que Windows Defender commence à utiliser de manière aléatoire les sept compteurs de performances matérielles fournis par les processeurs Intel Core, qui comprennent trois compteurs à fonction fixe. Chacun de ces compteurs peut être programmé dans l'un des quatre modes suivants : désactivé, système d'exploitation (anneau 0), utilisateur (anneau 0) et tous les niveaux d'anneau. Comme ces compteurs sont une ressource partagée, il est possible que plusieurs programmes veuillent accéder à ces compteurs en même temps.



Les utilitaires système les plus populaires, tels que HWiNFO, OCCT, Core Temp et ThrottleStop, règlent tous ces compteurs sur le "mode 3" ou les "niveaux All-Ring". Comme ils définissent tous le même mode, il n'y a pas de problème si plusieurs programmes utilisent le même compteur. Windows Defender, en revanche, règle ces compteurs sur le "mode 2", à des intervalles qui semblent aléatoires, pendant des durées aléatoires. Cela peut se produire au premier démarrage de l'ordinateur ou à tout moment par la suite. Lorsque Windows Defender fonctionne en arrière-plan, il peut démarrer et arrêter ou essayer continuellement de modifier ces compteurs en mode 2 à tout moment. Pour clarifier, la perte de performance se produira même si aucun logiciel de surveillance n'est exécuté - Defender utilisera toujours un temps excessif de CPU.



Le problème ne vient pas du matériel Intel, car le réglage manuel des mêmes compteurs que Windows Defender n'a aucun impact négatif sur les performances. En outre, si ces compteurs sont écrasés manuellement, Defender le détecte, arrête immédiatement ce qu'il est en train de faire et les performances reviennent à la normale, sans aucun effet négatif sur la capacité à détecter les virus en temps réel.











Notre logiciel Counter Control surveille et enregistre le registre "IA32_FIXED_CTR_CTRL" des processeurs Intel Core, situé au MSR 0x38D. Ce registre donne accès aux trois compteurs de contrôle de performance à fonction fixe mentionnés précédemment. Counter Control informe les utilisateurs si un logiciel utilise les compteurs à fonction fixe d'Intel, et pendant combien de temps ils ont été utilisés.



Les valeurs typiques rapportées par Counter Control ressemblent à ceci :



- Not Used - 0x000 : Les trois compteurs à fonction fixe sont arrêtés. Aucun des compteurs n'est actuellement utilisé.

- Défenseur - 0x222 : Les trois compteurs à fonction fixe sont programmés en mode 2. Il s'agit de la valeur que Windows Defender attribue à ces compteurs lorsqu'il les utilise.

- Normal - 0x330 : Deux compteurs sont programmés en mode 3. Un compteur est programmé en mode 0 et n'est pas utilisé. Cette situation est normale. La plupart des programmes de surveillance qui utilisent ces compteurs programment le registre de contrôle des compteurs à cette valeur.

- Avertissement - 0x332 : Il est affiché lorsque deux compteurs sont utilisés normalement par un logiciel de surveillance alors que le troisième compteur a été réglé sur le mode 2, probablement par Windows Defender. Il s'agit d'un avertissement indiquant que deux programmes différents peuvent se disputer le contrôle des compteurs partagés. Vous pouvez voir le registre de contrôle des compteurs changer constamment entre 0x222 et 0x332. C'est ce que vous verrez en exécutant HWiNFO si Windows Defender essaie d'utiliser les compteurs de la fonction IA32_FIXED en même temps.







Si votre système semble affecté et affiche le message "Defender", une solution rapide consiste à cliquer sur le bouton "Reset Counters" dans Counter Control. En appuyant sur ce bouton, une minuterie sera reprogrammée en mode 3, ce qui sera détecté par Defender, et Defender arrêtera de faire son truc et restaurera les performances. Veuillez vérifier avec les benchmarks.







Il y a deux façons d'atténuer cette perte de performance de façon permanente. Vous pouvez désactiver la surveillance en temps réel de Windows Defender, ce qui est fortement déconseillé en raison des implications en matière de sécurité ; ou vous pouvez utiliser la dernière version 9.5 de ThrottleStop, qui dispose d'une fonction dans la fenêtre "Options", appelée "Windows Defender Boost". Le fait de cocher cette option garantit des performances maximales et un suivi précis de la Core Effective Clock dans toutes les applications, que la protection en temps réel de Windows Defender soit activée ou non. Pour atteindre cet objectif, ThrottleStop active immédiatement l'un des minuteurs programmables. Lorsque Windows Defender détecte qu'un logiciel utilisateur tente d'utiliser l'un des compteurs programmables, il cesse d'utiliser tous les compteurs et les laisse tranquilles tant que ce compteur reste activé. Les performances reviennent ainsi à la normale. Le bouton "Reset" dans Counter Control fait la même chose et permet d'activer uniquement ce mécanisme, sans avoir à lancer ThrottleStop. Pour clarifier, Windows Defender continuera à fonctionner correctement. Il peut toujours détecter et notifier les utilisateurs de tout virus. Lorsqu'il est lancé une fois, avec l'option "Windows Defender Boost", ThrottleStop laissera le minuteur fonctionner en mode 3, même lorsqu'il est fermé. Cela signifie que vous pouvez lancer ThrottleStop une fois au démarrage, le fermer juste après, et votre système sera protégé des problèmes de performance du Defender.



Si "Windows Defender Boost" n'est pas coché, le compteur sera initialement effacé. Cela arrête l'algorithme de Windows Defender mais ThrottleStop n'essaiera plus de maintenir un compteur en marche pendant l'utilisation de ThrottleStop et il ne maintiendra pas ce compteur en marche après que vous ayez quitté ThrottleStop. Cela permet à une personne d'utiliser ThrottleStop sans avoir à s'inquiéter que ThrottleStop puisse faire quelque chose à Windows Defender qu'il ne devrait pas faire. Après le démarrage de ThrottleStop, si ce compteur n'est pas utilisé, au bout de 10 minutes environ, Windows Defender vérifiera ce compteur, constatera qu'il n'est pas utilisé et pourra relancer son mystérieux algorithme de destruction des performances.



Faites-nous part de votre expérience dans les commentaires de cet article. Il sera intéressant de voir à quel point ce problème est répandu, nous avons confirmé (fil de discussion à TPU, fil de discussion à OCN) qu'il se produit sur de nombreux systèmes ces derniers mois. Si nous faisons suffisamment de bruit, je suis sûr que Microsoft examinera pourquoi ils ont besoin d'autant de minuteurs dans Defender, pourquoi il y a un tel impact sur les performances, et le corrigera en conséquence.



Comme toujours, faites-nous part de vos réflexions et de vos questions dans les commentaires. Faites-nous également savoir si vous n'avez pas compris certains détails techniques, afin que nous puissions améliorer cet article.



Counter Control est disponible en téléchargement gratuit dans notre section téléchargements.



