Avec la mise à jour d’avril 2025 de Windows 11, un mystérieux dossier nommé inetpub est apparu à la racine du disque C: sur de nombreux ordinateurs. Dans notre article, nous vous partagions les interrogations que cela soulevait : s’agissait-il d’un simple bug, d’une nouvelle fonctionnalité cachée ou encore d’un changement en préparation ?
Aujourd’hui, Microsoft clarifie la situation et explique les raisons du dossier « inetpub » : il ne s’agit pas d’un bug et l’entreprise demande même de ne pas le supprimer !
Un dossier créé par une mise à jour de sécurité
Microsoft indique que ce dossier vide, traditionnellement associé au serveur web Internet Information Services (IIS), a été créé intentionnellement dans le cadre d’un correctif de sécurité important.
Ce correctif corrige une faille de sécurité référencée sous le nom CVE-2025-21204. Cette faille est liée à une mauvaise gestion des liens symboliques avant l’accès aux fichiers, ce qui pouvait permettre à un utilisateur malveillant, une fois connecté au système, de contourner certaines protections et de gérer ou modifier des fichiers système comme s’il avait les pleins pouvoirs sur l’ordinateur.
En réponse à cette faille, la mise à jour de sécurité d’avril 2025 modifie le comportement de Windows et crée systématiquement un dossier C:\inetpub, même si IIS n’est pas activé sur la machine. Le dossier est créé par le compte SYSTEM, mais Microsoft ne précise pas exactement en quoi cela améliore la sécurité. Il est possible que le dossier soit requis par le système pour appliquer correctement le correctif ou pour éviter que des chemins sensibles ne soient détournés via un lien symbolique.
Microsoft recommande de ne pas supprimer le dossier
Sur la page du correctif pour la faille de sécurité CVE-2025-21204, Microsoft est clair :
Après l’installation des mises à jour de sécurité de votre système d’exploitation, un nouveau dossier %systemdrive%\inetpub sera créé sur votre ordinateur. Ce dossier ne doit pas être supprimé, que les services Internet (IIS) soient actifs ou non sur l’ordinateur cible. Ce comportement fait partie des modifications visant à renforcer la protection et ne nécessite aucune intervention de la part des administrateurs informatiques et des utilisateurs finaux.
Si vous avez déjà supprimé le dossier pensant qu’il s’agissait d’un dossier inutile, pas de panique. Vous pouvez le recréer facilement en activant temporairement le serveur web Internet Information Services (IIS) depuis les Paramètres -> Système -> Fonctionnalités facultatives. Une fois IIS installé, le dossier inetpub sera recréé avec les bons droits d’accès. Vous pourrez ensuite désinstaller IIS si vous n’en avez pas besoin : le dossier restera présent et conforme aux exigences de Microsoft.
Cette annonce met fin au mystère du dossier inetpub apparu sur de nombreux ordinateurs ! Au final, Microsoft demande expressément de ne pas le supprimer car il fait partie d’une mesure de sécurité.