23/11/2024

Logiciel - OS

Windows 10 : Microsoft propose un script PowerShell pour corriger l’erreur 0x80070643

Vous avez essayé d'installer la mise à jour KB5034441 pour Windows 10 et vous obtenez une erreur 0x80070643 ? Malheureusement, c'est normal. Mais voyons les choses de façon positive : Microsoft vient de mettre à disposition un script PowerShell pour résoudre le problème !

Depuis quelques heures, vous êtes nombreux à essayer d'installer la mise à jour KB5034441 sur Windows 10 et à rencontrer l'erreur 0x80070643. Pourtant, cette mise à jour de sécurité est importante, car cette vulnérabilité peut permettre de bypasser BitLocker et d'accéder aux données chiffrées.

Au sujet de cette vulnérabilité, voici ce que précise Microsoft : "Un attaquant pourrait contourner la fonction de chiffrement BitLocker sur le périphérique de stockage du système. Un attaquant ayant un accès physique à la cible pourrait exploiter cette vulnérabilité pour accéder aux données chiffrées."

Le correctif de sécurité de Microsoft a pour objectif de déployer une nouvelle version de Windows Recovery Environment (WinRE) sur la machine Windows 10. Mais il y a un problème : la partition de récupération créée par Windows 10 (522 Mo) au moment de l'installation n'a pas une capacité suffisamment importante pour accueillir cette nouvelle image. Résultat, une erreur s'affiche : 0x80070643.

La première solution proposée par Microsoft : la méthode manuelle

La solution consiste à redimensionner la partition de récupération de Windows 10 afin de permettre l'installation de la mise à jour KB5034441. Dans un premier temps, Microsoft a proposé une solution manuelle aux utilisateurs, basée sur l'utilisation d'outils en ligne de commande, mais cette manipulation s'avère assez complexe et pas forcément à la portée de tout le monde.

D'après les commentaires postés sur notre article au sujet de l'erreur 0x80070643, le redimensionnement permet d'installer correctement la mise à jour (bien que ce ne soit pas le cas pour tout le monde). J'en profite pour vous remercier pour vos nombreux retours ! 🙂

Vous pouvez prendre connaissance de cette méthode en lisant cette documentation :

La deuxième solution proposée par Microsoft : un script PowerShell

Il y a quelques heures, Microsoft a mis en ligne deux scripts PowerShell pour vous faciliter la tâche. Sur la page de support Microsoft, nous pouvons lire : "Microsoft a développé un exemple de script PowerShell qui peut vous aider à automatiser la mise à jour de l'environnement de récupération Windows (WinRE) sur les appareils déployés afin de corriger les vulnérabilités de sécurité CVE-2024-20666."

En fait, vous devez exécuter seulement un script PowerShell et choisir celui qui correspond à votre version de Windows.

  • PatchWinREScript_2004plus.ps1 : Windows 10, version 2004 et versions ultérieures, y compris Windows 11
  • PatchWinREScript_General.ps1 : Windows 10, version 1909 et versions antérieures

Ce script PowerShell doit être exécuté sur la machine locale en tant qu'administrateur. Au passage, pour récupérer le script de Microsoft, vous devez accéder à la page de support (lien ci-dessus) et copier-coller le code dans un fichier que vous devez enregistrer sur votre PC (au format .PS1). Microsoft aurait pu faire l'effort d'héberger les scripts "proprement" sur GitHub...!

Pour répondre à la question "Que fait ce script sur la machine ?", Microsoft donne les précisions suivantes :

  • Monter l'image WinRE existante (WINRE.WIM) et présente sur la machine
  • Mettre à jour l'image WinRE avec le package "Safe OS Dynamic Update" récupéré depuis le catalogue Windows Update (c'est-à-vous de le télécharger et préciser le chemin vers le package au moment de l'exécution du script).
  • Démontez l'image WinRE
  • Si le protecteur TPM pour BitLocker est présent, procéder à la reconfiguration de WinRE pour le service BitLocker.

Il est à noter que ce script ne semble pas redimensionner la partition WinRE de votre PC, mais qu'il permettrait de faire fonctionner l'installation malgré tout. Après avoir exécuté le script, vous devez relancer l'installation de la mise à jour : cette fois-ci, elle devrait s'installer correctement !

D'ailleurs, ce n'est pas la première fois que Microsoft invite ses utilisateurs à exécuter ce genre de script PowerShell. L'entreprise américaine avait fait de même pour la correction d'un problème similaire lié à la faille de sécurité CVE-2022-41099.

Si vous testez cette méthode par script, nous sommes preneurs de précieux retours qui seront utiles à la communauté IT-Connect. Ce vendredi, j'essaierai de faire également quelques tests de mon côté...

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

65 commentaires sur “Windows 10 : Microsoft propose un script PowerShell pour corriger l’erreur 0x80070643

  • Bonjour,

    Existe-il un correctif pour les Windows Server ?

    Merci

    Répondre
  • La méthode manuelle a très bien marché. J’avais commencé la méthode Powershell mais, ne connaissant pas et craignant de faire des bêtises en exécutant des scripts empêchés par défaut, j’ai arrêté quand il m’a demandé l’emplacement du package (je n’ai pas compris ce qu’il voulait). Donc merci pour le commentaire de ce matin qui donne le détail.

    Répondre
  • Bonjour à tous,
    J’ai d’abord essayé la méthode manuelle, mais les instructions ne sont pas correctes :
    par exemple la commande « sel disk » devrait être « sel disk= ». Il en est de même pour les autres commandes !
    Il est très difficile de faire la différence entre le texte et les commandes. Au moins on aurait pu mettre les commandes en gras par exemple ou les souligner.
    Bon passons.
    Ma partition de récupération est de 498Mo. En appliquant ce qui est expliqué, je reçois un message comme quoi je ne peux pas diminuer la taille de la partition à 255Mo !!! Et je ne vois pas pourquoi avec 498 Mo cela ne fonctionne pas (presque 2* la taille préconisée).
    Donc cette solution de fonctionne pas sauf si je peux créer une partition de récupération moi-même sur un autre disque (le 1 par exemple sur lequel il me reste une partition libre de 900Go). Est-ce possible ?
    Quant au script, je n’y comprends rien et je n’ose donc pas m’y lancer, car si ça foire je fais quoi ??
    Merci pour une aide éventuelle.

    LeLoupNoir

    Répondre
  • Bonjour a tous,
    j’ai aussi essayé la méthode manuelle mais je n’avais pas réussi, trop difficile pour moi !
    J’ai donc essayer avec PowerShell,
    c’est simple enfaite il faut juste copier le script qui correspond a votre version de windows.

    (les scripts sont ici : https://support.microsoft.com/en-us/topic/kb5034957-updating-the-winre-partition-on-deployed-devices-to-address-security-vulnerabilities-in-cve-2024-20666-0190331b-1ca3-42d8-8a55-7fc406910c10)

    Exécuter Windows PowerShell en Administrateur et coller le script puis faites la touche entrée, ce message va apparaître :

    applet de commande à la position 1 du pipeline de la commande
    Fournissez des valeurs pour les paramètres suivants :
    (Tapez !? pour obtenir de l’aide.)
    packagePath:

    Il suffit de mettre « 1 » derrière ‘packagePath:  » et faites la touche « entrée » une fois cela fait normalement c’est réglée, en tout cas cela a marché pour moi, j’ai pu enfin effectuer la mise a jour sans soucis.
    j’espère pouvoir aider d’autre personne dans la même galère !

    Répondre
    • non pr moi ça marche pas, une autre idée qq’1 ?

      Répondre
  • Bien, très sympathique tout ça, mais il y a quand même quelque chose qui m’échappe : c’est quoi cette vulnérabilité qui permettrait d’accéder aux données en clair d’un disque BitLocké ? Le disque est BitLocké ou ne l’est pas ? Non parce que pouvoir accéder en clair à des données chiffrées, sans que le mot de passe soit entré, du coup, c’est plus une faille, c’est que BitLocker ne chiffre aucune donnée… non ?

    Répondre
  • Il n’y a pas quelque chose de plus facile pour corriger l’erreur 0x80070643???

    Répondre
  • Bonjour
    Le script fourni par MS fonctionne sans problème chez moi.
    Mais après il est toujours impossible d’appliquer le correctif KB5034441 : même erreur 0x80070643.
    Où est-il écrit que ce script est sensé corriger cette erreur ? En tout cas pas sur la page du script (https://support.microsoft.com/en-us/topic/kb5034957-updating-the-winre-partition-on-deployed-devices-to-address-security-vulnerabilities-in-cve-2024-20666-0190331b-1ca3-42d8-8a55-7fc406910c10).

    Répondre
  • Bonjour ;

    j’ai appliqué la méthode manuelle (ici https://support.microsoft.com/en-us/topic/kb5028997-instructions-to-manually-resize-your-partition-to-install-the-winre-update-400faa27-9343-461c-ada9-24c8229763bf) et tout s’est bien passé, moyennant quelques fautes de frappe dans leurs commandes (« sel part » : il faut une espace entre « part » et le n°), MAIS :
    malgré l’application de la commande « create partition primary id=27 », je me suis retrouvé avec une partition de type 07 et j’ai lu ailleurs que ce n’est pas bon (https://www.askwoody.com/forums/topic/kb5034441-windows-recovery-environment-winre-successful-install/), il FAUT que ce soit un type 27 pour une partition de récupération. Curieux puisque la commande spécifiait bien cela, mais s’exécute mal visiblement.
    De fait, « reagentc /info » m’indiquait « Emplacement WinRE : \\?\GLOBALROOT\device\harddisk0\partition2\Recovery\WindowsRE » alors qu’au départ c’était « Emplacement WinRE : \\?\GLOBALROOT\device\harddisk0\partition3\Recovery\WindowsRE » (partition 3, et en effet sur mon disque la partition de récupération est bien la 3e).

    Donc retour sur « diskpart » avec les commandes suivantes (ATTENTION, adaptées à MON cas) :
    sel disk 0
    sel part 3
    det part -> indique un type 07
    set id=27 override
    det part -> OK, id 27
    exit
    Et là j’ai renvoyé les 3 commandes suivantes :
    reagentc /disable
    reagentc /enable
    reagentc /info
    VICTOIRE, j’ai il a bien pris en compte le fait que ma partition de récupération est la 3, comme au tout début : « Emplacement WinRE : \\?\GLOBALROOT\device\harddisk0\partition3\Recovery\WindowsRE »

    Je relance alors Windows Update sur la MàJ KB5034441, en espérant qu’elle ne me joue pas de mauvais tour… En tous cas cette fois elle s’installe !
    Je redémarre, donc je poste mon message mais en principe ça doit être bon.
    Si ça peut aider quelqu’un…

    Bonne journée !

    Répondre
  • Bonjour à tous,
    J’ai essayé le script, mais une fenêtre s’ouvre et se fermes presque instantanément.
    Est-ce bien normal ?

    Répondre
  • Bonjour,

    J’avais testé avec difficulté, mais succès, la 1re « usine à gaz » manuelle sur un 1er PC.

    Je viens là de tenter, sans succès cette fois, sur un 2e PC la 2e « usine à gaz » s’appuyant sur le script PowerShell.
    J’avais préalablement créé le script .PS1 et téléchargé le fichier .CAB, mais une fois sous PowerShell, le script avec mention de l’emplacement du fichier .CAB stoppait immanquablement en cours de route, avec le signe >> en début de ligne …).

    En désespoir de cause, j’ai continué à chercher sur le web un site décrivant une façon plus simplifiée de procéder.
    J’ai trouvé la suivante, qui s’appuie toujours sur la méthode du script PowerShell, mais présentée ENFIN de façon accessible pour les utilisateurs informatiques de base que nous sommes pour la plupart d’entre nous :
    https://www.itechtics.com/microsoft-powershell-script-fixes-bitlocker-encryption-bypass/

    Elle a fonctionné en 10 s pour moi.
    (les fichiers .PS1 et .CAB étant déjà disponibles)

    Vous souhaitant le même succès que moi,

    Yves

    Répondre
  • Bonjour, rien à faire pour réinstaller Defender sur Win 11 version 10.0.22631.
    Toujours l’erreur :
    Mise à jour de la sélection disjointe pour Microsoft Defender Antivirus – 2267602 Ko (version 1.411.423.0) – Canal actuel (large)
    Erreur d’installation – 0x80070643

    J’ai même essayé en renommant avec l’extension .sav (en mode sans échec) les 3 répertoires se trouvant dans C:\ProgramData\Microsoft\Windows Defender\Platform. Comme cela ne résolvait pas le problème, j’ ai remis le nom à celui qui serait le plus récent, 4.18.24020.7-0 je pense (tous les 3 étaient datés du 10/04/24 à 17h31). Ces 3 répertoires sont :
    4.18.23050.5-0, 4.18.24010.12-0 et 4.18.24020.7-0
    Si quelqu’un ttrouve la solution il sera le bien venu.
    PS : J’ai fait toutes ces manipulations avec AVG désactivé

    Répondre
  • RE
    Suite de mon précédent message, je vous met les MàJ réussi et avec échec :

    Mise à jour de la sélection disjointe pour Microsoft Defender Antivirus – 2267602 Ko (version 1.405.1141.0) – Canal actuel (large)
    Installée le 06/03/2024

    Mise à jour pour la plateforme de logiciels anti-programme malveillant de Windows Security platform – KB5007651 (Version 1.0.2402.27001)
    Installée le 04/04/2024

    Et depuis avril 2024 impossible avec celle-ci :

    Mise à jour de la sélection disjointe pour Microsoft Defender Antivirus – 2267602 Ko (version 1.411.423.0) – Canal actuel (large) (13)
    Echec de l’installation sur 29/05/2024 – 0x80070643

    Je tiens à signaler que celles qui étaient réussi étaient aussi installées avec AVG rt que cela ne gênait pas !
    Merci d’avance, car pas eu de répobse de Microsofr.

    Répondre
  • Bonjour,

    Savez-vous où il faut intégrer les informations du PacketPath dans le script Power Shell

    «  » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » »
    packagePath

    Specifies the path and name of the OS-version-specific and processor architecture-specific Safe OS Dynamic update package to be used to update the WinRE image.

    Note This can be a local path or a remote UNC path but the Safe OS Dynamic Update must be downloaded and available for the script to use.

    Example:

    .\PatchWinREScript_2004plus.ps1 -packagePath « \\server\share\windows10.0-kb5021043-x64_efa19d2d431c5e782a59daaf2d.cab

    «  » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » »

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.