Vous avez supprimé ce dossier sur Windows 11 après la mise à jour d’avril ? Mauvaise idée

Un bug, vraiment ? Non, un oubli de communication. Microsoft a bien créé volontairement le dossier « inetpub » avec sa mise à jour d’avril, et il ne faut surtout pas l’effacer. Même vide, il joue un rôle dans la sécurité de votre système.

On pensait à une anomalie bénigne, un reliquat d’ancienne fonction laissé là par erreur. Mais non. Le dossier inetpub, apparu à la racine du disque C: de nombreux utilisateurs et utilisatrices après l’installation de la mise à jour d'avril, est en réalité un effet voulu d’un correctif de sécurité… que Microsoft avait juste « oublié » de mentionner. L’affaire a pris de l’ampleur quand le répertoire, associé habituellement à IIS (le serveur web de Windows, inactif par défaut), a été signalé sur des machines n’ayant jamais activé cette fonctionnalité. Vide, a priori sans intérêt, facilement supprimable, il était logiquement vu comme un artefact inutile. Sauf que voilà : il ne fallait surtout pas y toucher.

Un correctif contre une faille sérieuse… mais mal expliqué

Microsoft vient tout juste de le confirmer : le dossier inetpub a bien été volontairement déployé sur tous les systèmes concernés par les mises à jour d’avril, Windows 10 comme Windows 11. Et loin du caractère inutile que beaucoup ont voulu lui prêter, il joue en réalité un rôle clé dans la correction d’une faille de sécurité (CVE-2025-21204 ; CVSS 7.8) qui permettait à des attaquants d’exploiter des liens symboliques (symlinks) pour accéder à des fichiers sensibles via Windows Update.

Pour rappel, les symlinks (liens symboliques) sont des sortes de raccourcis système capables de rediriger une opération vers un autre fichier ou dossier. Mal gérés, ils peuvent permettre à un logiciel malveillant de tromper le système et d’obtenir un accès non autorisé à des fichiers protégés, en contournant certaines vérifications. Le patch de sécurité déployé vise justement à colmater cette vulnérabilité. Mais pour être pleinement actif, il requiert – c’est là le détail qui fâche – la présence de ce fameux dossier C:\inetpub, même s’il reste vide.

Problème : cette exigence n’avait été mentionnée nulle part dans les notes de version, ni même dans le bulletin de sécurité initial. Une omission d’autant plus surprenante que Microsoft affirme vouloir renforcer la transparence autour de ses mises à jour. Il a donc fallu attendre que la confusion monte, et que les utilisateurs et utilisatrices circonspects commencent à supprimer le dossier mystère, pour que l’éditeur complète enfin sa documentation.

Et si vous l’avez déjà supprimé ?

Pas de panique. Il est possible de restaurer le dossier manuellement en activant temporairement IIS dans les fonctionnalités facultatives de Windows. Une fois le dossier recréé, vous pouvez désactiver IIS si vous ne l’utilisez pas. Le plus important est que le répertoire C:\inetpub soit présent sur votre système.

Pour ce faire :

• Ouvrez le Panneau de configuration > Programmes > Programmes et fonctionnalités.

• Cliquez sur Activer ou désactiver des fonctionnalités Windows dans le menu de gauche.

• Dans la liste, cochez la case Internet Information Services (IIS).

• Validez en cliquant sur OK. Windows recréera alors automatiquement le dossier inetpub.

Ce petit épisode rappelle qu’en matière de sécurité, tout est parfois affaire de détails. Y compris un dossier vide qu’il ne fallait surtout pas effacer. Maintenant, de là à savoir pourquoi sa simple présence est requise, c’est une autre histoire. Microsoft, pour l’instant, n’a pas souhaité s’expliquer – la transparence, vous savez.

Source : Windows Latest