Valorant : Vanguard passe en anti-cheat à la demande — le checklist complet
Le changement en une phrase
Riot Games modifie la posture de Vanguard sur PC. L’anti-cheat de Valorant abandonne son pilote kernel systématiquement chargé au démarrage de Windows pour un mode à la demande. Avec l’option Vanguard Pre-Check, le pilote ne s’active que lorsque vous lancez un titre Riot et reste dormant le reste du temps. Cette réduction de la surface d’attaque n’est pas une simple option de confort : elle repose sur un socle de sécurité Windows 11 drastique. Le système doit prouver sa propre intégrité avant chaque lancement de jeu, et si vous ne remplissez pas l’ensemble des conditions matérielles et logicielles, le mode à la demande reste verrouillé.
Specifications
Ce que change réellement Vanguard Pre-Check
Jusqu’à présent, Vanguard installait un pilote kernel (vgk.sys) susceptible de se lancer dès le boot Windows, même si aucun jeu Riot n’était ouvert. Un service en tâche de fond (vgc) veillait en permanence sur l’intégrité du système et du client Valorant. Cette omniprésence était le prix de la lutte contre les tricheurs, mais elle alourdissait le démarrage du PC et posait des questions de confidentialité liées à la surveillance permanente au niveau du noyau.
Le nouveau mode à la demande inverse cette logique. Le pilote kernel n’est plus résident au démarrage. Il se charge uniquement à l’ouverture d’un jeu Riot – Valorant ou autres – et reste actif durant la session. Une fois le client fermé, le pilote se désactive. Cette bascule est conditionnée à la validation d’un mécanisme de Runtime Driver Attestation qui inspecte l’état du système avant d’autoriser le lancement.
Ce changement déplace la sécurité du temps vers l’espace : au lieu de surveiller en continu, le système effectue une vérification stricte à l’entrée de la session de jeu. L’anti-cheat ne renonce pas à son accès kernel, mais il réduit sa fenêtre d’exposition au strict nécessaire.
Le checklist complet des prérequis système
Passer à l’anti-cheat à la demande n’est pas qu’une case à cocher dans un menu. Riot a transformé cette option en récompense pour les configurations conformes aux standards de sécurité modernes de Windows 11. Voici comment vérifier chaque point sans laisser de côté un réglage UEFI qui bloquerait le lancement.
Windows 11 25H2
Windows 11 25H2 est le socle minimal. Cette version inclut les couches de sécurité nécessaires à l’attestation des pilotes et à la communication entre le client Riot et les composants de virtualisation de Windows. Pour vérifier votre build, utilisez le raccourci Windows + R, tapez winver, ou rendez-vous dans Paramètres > Système > Informations système. Si le numéro de version est inférieur à 25H2, passez par Windows Update. Toute tentative d’activation du Pre-Check sur une build obsolète échouera, généralement sans message explicite autre qu’une indisponibilité de l’option dans les paramètres.
Secure Boot
Secure Boot valide que chaque composant logiciel chargé au démarrage possède une signature cryptographique de confiance. Vanguard s’appuie sur cette chaîne pour s’assurer que le noyau Windows n’a pas été altéré avant l’arrivée sur le bureau. Pour activer Secure Boot, redémarrez en firmware UEFI. Cherchez l’onglet Boot, Security ou Authentication, puis activez Secure Boot. Si l’option est absente ou grisée, deux causes sont fréquentes : le CSM (Compatibility Support Module) est actif, ou le disque système utilise un schéma de partition MBR au lieu de GPT. Le CSM force un mode de compatibilité BIOS qui empêche Secure Boot de fonctionner. Désactivez-le. Pour le disque, convertissez le système en GPT via l’outil mbr2gpt si nécessaire, ou réinstallez Windows en mode UEFI pur. Les utilisateurs de dual-boot Linux doivent aussi vérifier que leur gestionnaire de démarrage ne désactive pas Secure Boot au passage.
TPM 2.0
Le Trusted Platform Module 2.0 fournit un ancêtre matériel à la chaîne de confiance. Sous Windows 11, il est déjà un prérequis d’installation, mais son état peut basculer à l’occasion d’une mise à jour BIOS. Sous AMD, l’option fTPM est parfois réinitialisée lors de flashs majeurs, ce qui déclenche une alerte de sécurité Windows et peut bloquer BitLocker. Avant d’activer le Pre-Check, ouvrez tpm.msc et confirmez que le statut indique « Le module de plateforme sécurisée est prêt à l’emploi » avec une spécification de version 2.0. Si la console indique qu’aucun TPM n’est détecté, retournez dans le BIOS. Sur Intel, activez Intel PTT (Platform Trust Technology). Sur AMD, cherchez AMD fTPM Switch ou PSP fTPM. Gardez sous la main votre clé de récupération BitLocker avant toute modification, car un changement d’état TPM peut verrouiller le démarrage du disque.
IOMMU (Intel VT-d / AMD-Vi)
L’IOMMU isole les périphériques du reste de la mémoire système pour bloquer les accès DMA non autorisés. Cette protection est essentielle pour empêcher des matériels externes ou des pilotes malveillants de lire ou d’écrire dans l’espace mémoire du noyau. Sous Intel, la technologie se nomme VT-d ; sous AMD, AMD-Vi. Dans le BIOS, elle peut apparaître sous des libellés variés : VT-d, Intel Virtualization Technology for Directed I/O, AMD IOMMU, IOMMU Controller, ou parfois regroupée sous un menu Global SVM. Activez-la. Si vous utilisez la virtualisation avec attribution de GPU (PCI passthrough), vous connaissez déjà ce réglage. Notez que certaines cartes mères d’entrée de gamme désactivent l’IOMMU par défaut pour éviter des conflits avec des anciens pilotes de stockage ou de réseau. Mettez à jour le firmware de votre carte mère si l’option manque dans les menus.
VBS et HVCI (Isolation du noyau)
La Virtualization-Based Security et l’Hypervisor-Protected Code Integrity créent une sandbox matérielle autour des processus critiques. Sous Windows 11, cette fonction est visible sous le nom d’Isolation du noyau, avec une sous-option Intégrité de la mémoire. Activez-la dans Paramètres > Confidentialité et sécurité > Sécurité Windows > Isolation du noyau. Le système redémarrera et vérifiera la compatibilité de vos pilotes. Si un pilote bloque HVCI – souvent des utilitaires RGB, des anciens pilotes audio ou des outils de cartes mères — Windows le signalera et désactivera la protection. N’ignorez pas ces alertes : un HVCI désactivé par conflit logiciel équivaut à un HVCI désactivé manuellement, et l’attestation Vanguard le détectera. Remplacez ou désinstallez les pilotes incriminés, mettez-les à jour depuis le site du fabricant, puis réactivez l’intégrité de la mémoire. Vérifiez dans l’Observateur d’événements sous Applications et journaux > Microsoft > Windows > DeviceGuard si des stratégies CI empêchent le chargement d’un pilote.
Envie de passer au niveau supérieur ?
Accédez à des stratégies exclusives, des astuces cachées et des analyses pro que nous ne partageons pas publiquement.
Guide stratégique ultime Tech + Astuces pro hebdomadaires
Runtime Driver Attestation : ce qui se passe au lancement
Une fois les prérequis matériels et logiciels remplis, le mécanisme de Runtime Driver Attestation entre en jeu. Lorsque vous cliquez sur Valorant, le client Riot demande à Windows une preuve d’intégrité. Le système inspecte la liste des pilotes chargés, vérifie l’état de Secure Boot, du TPM et de l’isolation du noyau. Si un pilote non signé ou reconnu comme malveillant est présent, ou si une protection a été désactivée après le boot, l’attestation échoue. Dans ce cas, Vanguard refuse de se charger et le jeu ne démarre pas.
Si l’attestation réussit, le pilote kernel Vanguard se charge, la session de jeu est sécurisée, et le pilote reste actif jusqu’à la fermeture complète du client. Ce modèle déplace la sécurité du temps (surveillance 24/7) vers l’espace (vérification stricte à l’entrée). Il permet à Riot de maintenir un niveau de détection élevé sans imposer une présence permanente sur votre machine.
Ce qu’il faut tester et mesurer avant de valider le changement
Activer Vanguard Pre-Check modifie le comportement de votre PC au boot et au lancement des jeux Riot. Ne basculez pas sans avoir observé ces trois points.
Les échecs de lancement
Lancez Valorant trois à cinq fois après avoir activé le Pre-Check. Observez si le client atteint l’écran de connexion ou si un message d’erreur lié à l’anti-cheat apparaît avant même l’affichage du menu. Les échecs les plus fréquents proviennent d’un retour aux paramètres par défaut du BIOS après une mise à jour du firmware, d’un dual-boot qui écrase les variables Secure Boot, ou d’un pilote récemment installé qui invalide HVCI. Si le jeu refuse de se lancer, désactivez temporairement le Pre-Check via VGTray ou les options de compatibilité, puis vérifiez un à un les points du checklist. Ne tentez pas de contourner l’erreur en désactivant manuellement des services Windows : l’attestation runtime détectera la manipulation et bloquera le chargement du pilote.
L’impact sur le temps de démarrage
Chronométrez le boot de Windows depuis l’allumage jusqu’à l’apparition du bureau. Faites-le avant et après le passage en mode à la demande. La suppression du service vgc et du pilote vgk.sys du chemin de boot devrait réduire le temps passé sur l’écran de chargement Windows et diminuer l’activité disque durant les premières secondes sur le bureau, mais seule une mesure concrète le confirmera. Ouvrez le Gestionnaire des tâches, onglet Services, et vérifiez que vgc n’est plus en cours d’exécution au démarrage. Si le service persiste, le Pre-Check n’est pas correctement activé ou une autre condition bloque la bascule.
La confidentialité et l’empreinte système
En mode à la demande, Vanguard n’est présent que pendant vos sessions de jeu. Cela réduit la fenêtre temporelle durant laquelle un pilote kernel tiers surveille votre système. Cependant, une fois chargé, il opère toujours au même niveau de privilège. La différence majeure est la durée d’exposition. Si la présence permanente de Vanguard vous posait problème d’un point de vue de la confidentialité, le Pre-Check résout ce point sans compromettre la détection des tricheurs au moment où c’est nécessaire. Surveillez tout de même la consommation CPU et mémoire pendant une partie : le pilote doit s’initialiser au lancement du jeu, ce qui peut créer un pic d’activité de quelques secondes avant l’affichage du menu principal. Si ce pic se prolonge ou provoque des micro-freezes, retournez à l’ancien mode et vérifiez la santé de votre disque ainsi que la présence de logiciels en conflit.
Activation via les contrôles de compatibilité
La bascule entre le mode permanent et le mode à la demande se gère via les contrôles de compatibilité du client Riot, accessibles depuis les paramètres du jeu ou via l’icône système VGTray dans la barre des tâches. Recherchez l’option Vanguard Pre-Check. Si elle est grisée, votre système échoue à au moins un des prérequis listés ci-dessus. N’essayez pas de forcer l’activation via des modifications de registre ou des outils tiers : la chaîne de confiance se briserait et l’attestation runtime bloquerait de toute façon le lancement. Si vous devez revenir en arrière — par exemple pour tester la stabilité — désactivez le Pre-Check et redémarrez. Le pilote reprendra alors son comportement permanent au prochain boot.