En avril 2025, la création d’un mystérieux dossier « inetpub » à la racine de leur disque. Dans un premier temps, cette apparition a été perçue comme un bug ou une anomalie, d’autant plus surprenante que le dossier était vide et que le serveur web IIS n’était pas installé.
Microsoft avait finalement clarifié la situation : ce dossier fait partie d’une mesure de sécurité visant à mitiger une faille critique du système. Aujourd’hui, pour les utilisateurs l’ayant supprimé, Microsoft propose un script officiel pour le restaurer correctement.
Pourquoi le dossier inetpub est apparu en avril 2025 ?
Le dossier inetpub est normalement créé lorsqu’on installe Internet Information Services (IIS), le serveur web intégré à Windows. Or, depuis la mise à jour de sécurité KB5055523, ce dossier est généré automatiquement même sur les machines qui n’utilisent pas IIS.
Cette création vise à appliquer un correctif de sécurité contre une vulnérabilité grave (CVE-2025-21204), exploitant les liens symboliques pour obtenir des privilèges élevés. Microsoft a donc imposé la présence de ce dossier, avec les bonnes permissions, comme une mesure de protection préventive.
Sur les premières machines concernées, la suppression du dossier n’engendrait pas de bug visible. Cela a entraîné des suppressions manuelles de la part d’utilisateurs pensant à une erreur. Pourtant, la présence de ce dossier est essentielle pour empêcher toute exploitation future de la faille.
Microsoft publie un script PowerShell pour restaurer le dossier inetpub
Jusqu’à présent, la seule manière recommandée pour recréer manuellement le dossier inetpub avec les bons droits était d’installer le composant IIS via les fonctionnalités facultatives de Windows, puis de le désinstaller. Cette méthode, bien que fonctionnelle, n’était ni intuitive ni adaptée à tous les profils d’utilisateurs.
Face à cela, Microsoft propose désormais un script PowerShell qui simplifie largement l’opération. Ce script, disponible sur la PowerShell Gallery (Set-InetpubFolderAcl), permet de restaurer le dossier et de rétablir les paramètres de sécurité attendus par Windows.
Si vous avez supprimé le dossier inetpub, voici comment le restaurer proprement en utilisant le script PowerShell de Microsoft :
Installez le script Set-InetpubFolderAcl :
PowerShellInstall-Script -Name Set-InetpubFolderAclAutorisez temporairement les scripts locaux (si PowerShell vous empêche d’exécuter le script) :
PowerShellSet-ExecutionPolicy -Scope Process -ExecutionPolicy ByExécutez le script :
PowerShell& "C:\Program Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1"Celui-ci permet :
- de recréer le dossier inetpub s’il a été supprimé ;
- d’appliquer les autorisations de sécurité correctes pour empêcher les abus ;
- et, si nécessaire, de mettre à jour les permissions du dossier DeviceHealthAttestation, présent sur certaines versions de Windows Server.
Cette solution évite toute manipulation complexe et garantit que le système reste conforme aux attentes de Microsoft en matière de sécurité.
Une faille liée au fonctionnement de Windows Update
Mais pourquoi ce dossier vide est-il si important ? Il est lié à la faille CVE-2025-21204, corrigée en avril. Cette vulnérabilité de haute sévérité concerne la façon dont Windows Update gère certains liens symboliques. En exploitant ce comportement, un attaquant pouvait manipuler le système pour réaliser des actions avec les privilèges du compte SYSTEM.
Microsoft explique que la création du dossier « inetpub » sur tous les systèmes (y compris ceux qui n’utilisent pas IIS) empêche ce type de manipulation. Supprimer ce dossier revient donc à annuler cette protection, même si aucun problème visible ne se manifeste immédiatement. Microsoft a donc été très clair : ce dossier ne doit pas être supprimé, qu’IIS soit activé ou non. Il fait partie intégrante des mesures de renforcement de la sécurité du système.