Windows : ne supprimez pas le dossier « inetpub », il a été créé par un correctif de sécurité !
Si vous avez installé la mise à jour d'avril 2025 sur votre machine Windows, vous avez peut-être constaté l'apparition d'un dossier nommé "inetpub" à la racine de votre disque. Microsoft vous demande de ne pas le supprimer : voici pourquoi.
Un dossier vide, mais essentiel selon Microsoft
Suite à l'installation de la dernière mise à jour cumulative pour Windows, par exemple, la KB5055523 / KB5055528 pour Windows 11, de nombreux utilisateurs ont découvert un nouveau dossier sur leur système : C:\inetpub. Ce répertoire habituellement utilisé par le serveur Web IIS (Internet Information Services) de Microsoft est créé même si IIS n’a jamais été activé sur la machine.
Personnellement, j'ai pu confirmer la création de ce dossier sur plusieurs machines. Il est créé au redémarrage de l'ordinateur suite à l'installation de la mise à jour. Sa suppression ne semble pas poser de problème dans l'immédiat. Pourtant, Microsoft a officiellement averti qu’il ne fallait pas le supprimer, même s'il est vide.
En fait, l'entreprise américaine a mis à jour le bulletin de sécurité associé à la faille de sécurité CVE-2025-21204 pour apporter des précisions. Voici ce qui est précisé par Microsoft :
"Après avoir installé les mises à jour [...] un nouveau dossier %systemdrive%\inetpub sera créé sur votre appareil. Ce dossier ne doit pas être supprimé, que les services d'information Internet (IIS) soient actifs ou non sur l'appareil cible. Ce comportement fait partie des changements qui augmentent la protection et ne nécessite aucune action de la part des administrateurs informatiques et des utilisateurs finaux."
Une mesure de sécurité qui reste floue
La vulnérabilité CVE-2025-21204 est considérée comme importante et se situe dans le composant "Windows Update" de Windows. Microsoft explique qu'il s'agit d'une mauvaise résolution des liens symboliques dans le processus de mise à jour de Windows, ce qui pourrait permettre à un attaquant local d’élever ses privilèges.
"Un attaquant authentifié qui réussit à exploiter cette vulnérabilité a la possibilité d'effectuer et/ou de manipuler des opérations de gestion de fichiers sur la machine victime dans le contexte du compte NT AUTHORITY\SYSTEM.", peut-on lire.
Le correctif de sécurité pour cette vulnérabilité serait donc à l'origine de la création du dossier inetpub, ce qui peut surprendre. Microsoft n’a pas détaillé en quoi ce dernier contribue à la sécurité du système... Mais, nous allons croire Microsoft et suivre les recommandations de l'éditeur.
Point important, si le dossier est présent avant l’installation de la mise à jour, alors son installation pourrait échouer... Ce qui risque de se produire si le serveur Web IIS est déjà présent sur la machine.
La sécurité de Windows qui repose sur la présence d’un dossier à la racine… On est en 2025 là ?