Puis-je supprimer manuellement les fichiers Jump List ?

Oui — ils se trouvent dans %AppData%\Microsoft\Windows\Recent\AutomaticDestinations et CustomDestinations, mais la plupart des fichiers sont verrouillés par explorer.exe tant que le shell s'exécute. Fermez l'Explorateur ou démarrez depuis un autre OS au préalable.

Effacer les Jump Lists supprime-t-il toutes les preuves forensiques ?

Non. Les fichiers supprimés peuvent persister dans les Volume Shadow Copies, le USN journal et les enregistrements $MFT, et les artefacts connexes comme les fichiers LNK, Prefetch et ShellBags survivent souvent.

Comment désactiver complètement les Jump Lists ?

Utilisez le paramètre Group Policy 'Do not keep history of recently opened documents' sous User Configuration → Administrative Templates → Start Menu and Taskbar.

Comment effacer ou supprimer les Jump Lists Windows

Q: Comment effacer les Jump Lists sous Windows 10 ou 11 ?

Ouvrez Settings, allez dans Personalization puis Start, et désactivez 'Show recently opened items in Jump Lists on Start, Jump Lists and File Explorer.'

Il existe trois façons concrètes d'effacer les Jump Lists Windows : les désactiver dans l'interface Settings, supprimer les fichiers sous-jacents dans %AppData%, ou les désactiver via Group Policy ou le registre. Chacune fait disparaître ce que l'utilisateur voit dans la barre des tâches et le menu Démarrer, mais « effacé » n'est pas synonyme de « disparu » — les artefacts sur disque et leurs voisins survivent souvent au clic.

Effacer via Settings (Win 10 / 11)

Ouvrez Settings → Personalization → Start et désactivez "Show recently opened items in Jump Lists on Start, Jump Lists and File Explorer." Windows masque alors les éléments récents dans la barre des tâches et le menu Démarrer, et sur la plupart des builds il supprime également les fichiers *.automaticDestinations-ms et *.customDestinations-ms existants sous Recent\.

Pour une entrée isolée, faites un clic droit sur l'élément dans la Jump List de l'application et choisissez "Remove from this list." Cela réécrit le fichier hôte sur place — le flux concerné est retiré du conteneur OLE et son entrée DestList est supprimée.

Supprimer les fichiers directement

Les fichiers se trouvent sous :

%AppData%\Microsoft\Windows\Recent\AutomaticDestinations\
%AppData%\Microsoft\Windows\Recent\CustomDestinations\

Chaque nom de fichier est l'AppID de l'application suivi de l'extension appropriée. Vous pouvez les supprimer comme n'importe quel autre fichier, à une nuance près : tant que explorer.exe s'exécute, le shell conserve des handles ouverts sur les AppIDs des applications actuellement épinglées ou récemment utilisées, et la suppression échoue avec une violation de partage. Les options pragmatiques sont de déconnecter l'utilisateur (ce qui libère les handles), de tuer puis relancer explorer.exe, ou de monter le volume depuis un autre OS ou un environnement WinPE et de supprimer depuis là.

Désactiver via Group Policy / registre

Pour empêcher Windows d'enregistrer des entrées Jump List dès le départ, activez :

User Configuration → Administrative Templates → Start Menu and Taskbar → "Do not keep history of recently opened documents."

La valeur de registre équivalente est :

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    NoRecentDocsHistory  REG_DWORD  = 1

Lorsque la stratégie est active, le shell cesse d'écrire de nouvelles entrées dans AutomaticDestinations et cesse de mettre à jour les horodatages DestList. Les fichiers existants sont laissés intacts jusqu'à ce que l'utilisateur les efface.

Ce que « effacé » signifie réellement en forensique

Supprimer les fichiers Jump List élimine les artefacts vivants, mais un analyste compétent ne se limite pas au système de fichiers vivant. Résidus courants :

Volume Shadow Copies — les snapshots plus anciens contiennent encore les fichiers .automaticDestinations-ms d'avant la suppression, souvent remontant à plusieurs mois.
USN journal — $UsnJrnl:$J enregistre la création/suppression de chaque fichier Jump List, avec horodatages.
Enregistrements $MFT — les entrées des fichiers Jump List supprimés subsistent jusqu'à être écrasées, et les données résidentes des petits fichiers peuvent encore être récupérables.
Artefacts connexes — les fichiers LNK dans Recent\, Prefetch, ShellBags, les clés de registre RecentDocs et l'historique du navigateur corroborent tous la même activité utilisateur sous différents angles.

Dès que l'utilisateur ouvre un autre élément suivi, Windows écrit un nouveau fichier AutomaticDestinations pour cet AppID et démarre un nouveau DestList. Un répertoire Recent\ suspectement vide est en soi un indice.

Pour un analyste travaillant sur une affaire « ils ont effacé leurs traces », voir le walkthrough DFIR.