Le feuilleton continue autour du dossier inetpub, apparu sur de nombreux PC après la mise à jour d’avril 2025 de Windows 11. Après avoir semé la trouble chez les utilisateurs puis reçu une explication officielle de Microsoft, ce dossier est à nouveau au cœur de l’actualité… pour de mauvaises raisons.
Un chercheur en cybersécurité révèle en effet que sa simple présence pourrait être exploitée par des attaquants pour bloquer les mises à jour de sécurité de Windows et rendre un ordinateur vulnérable aux prochaines vulnérabilités du système d’exploitation.
Rappel : pourquoi le dossier inetpub est-il apparu ?
Début avril 2025, de nombreux utilisateurs ont vu apparaître un dossier C:\inetpub après avoir installé la dernière mise à jour obligatoire de Windows 11. Sans explication officielle dans les notes de version, la surprise a rapidement laissé place à l’inquiétude.
Microsoft a fini par expliquer que ce dossier était créé volontairement pour renforcer la sécurité, dans le cadre du correctif de la faille CVE-2025-21204, liée à l’exploitation de liens symboliques (symlinks) pour élever les privilèges et contourner les protections du système.
Alors qu’il est normalement créé après avoir activé le serveur web IIS (Internet Information Services) dans les fonctionnalités facultatives de Windows, le dossier inetpub a été ici utilisé de manière préventive : Microsoft l’a placé intentionnellement sur tous les systèmes pour empêcher qu’un utilisateur malveillant ne s’en serve comme point d’ancrage pour une attaque par lien symbolique, en réponse à la faille CVE-2025-21204.
Le correctif de Microsoft introduit une faille dans le système
Le chercheur en sécurité Kevin Beaumont a publié une analyse inquiétante : selon lui, le correctif de Microsoft introduit à son tour une nouvelle vulnérabilité dans le système de mise à jour de Windows. Son article montre qu’un simple utilisateur peut détourner le dossier inetpub pour empêcher l’installation des futures mises à jour de sécurité.
Concrètement, il suffit de créer un lien symbolique entre le dossier inetpub et un programme comme le Bloc-Notes via la commande suivante (cette opération ne nécessite pas de droits administrateur) :
mklink /j C:\inetpub C:\Windows\System32\notepad.exeUne fois la commande exécutée et le lien symobique créé, les mises à jour Windows échouent et sont annulées automatiquement. Un attaquant pourrait utiliser cette « astuce » pour empêcher un ordinateur de recevoir les prochaines mises à jour de sécurité et le rendre ainsi vulnérable puis attaquable.
Ce qui rend cette vulnérabilité particulièrement préoccupante, c’est qu’elle est facile à mettre en œuvre et ne demande pas d’accès administrateur. Un compte utilisateur standard peut ainsi suffire à compromettre le système de mises à jour de Windows.
En attendant un correctif de Microsoft…
À ce jour, Microsoft n’a pas répondu publiquement à cette découverte. Kevin Beaumont indique avoir contacté l’équipe du Microsoft Security Response Center (MSRC), sans retour pour l’instant. Il est probable que Microsoft soit au courant de cette nouvelle faille, mais aucune solution n’a encore été déployée.
Dans l’état actuel des choses, le mieux est de ne rien faire. Évitez de manipuler le dossier inetpub, ne tentez pas d’exécuter de commande sur celui-ci et attendez qu’un correctif officiel soit publié par Microsoft. Toute action pourrait aggraver la situation ou empêcher le bon fonctionnement de futures mises à jour.
L’affaire du dossier inetpub n’est sans doute pas terminée, je vous tiendrais bien sûr informé de la suite des évènements !