Depuis la mise à jour d’avril 2025, un dossier vide nommé « inetpub » apparaît sur le disque principal de certains utilisateurs Windows. Il ne s’agit pas d’un bug ni d’un oubli : ce dossier fait partie d’un correctif de sécurité et ne doit pas être supprimé.
Un dossier lié à une mise à jour de sécurité
Avec le Patch Tuesday d’avril 2025, Microsoft a déployé un correctif de sécurité pour Windows 10 et 11. Après son installation, certains utilisateurs ont remarqué la création automatique d’un nouveau dossier à la racine de leur disque C:, nommé « inetpub ». Ce dossier, habituellement associé au serveur Internet Information Services, reste vide, même sur les machines où IIS n’est pas installé.
Microsoft a confirmé que cette création est volontaire. Elle fait partie d’un correctif destiné à réduire les risques liés à une faille d’élévation de privilèges, référencée sous le nom CVE-2025-21204. La présence du dossier participe à la mise en place de mesures de protection supplémentaires.
La faille en question concerne un défaut de gestion des liens symboliques dans le composant Windows Process Activation. Sur les systèmes non corrigés, un utilisateur local ou un programme malveillant pourrait exploiter cette faiblesse pour obtenir un accès plus étendu aux fichiers système.
Pour bloquer ce scénario, le correctif met en place un dossier « inetpub » configuré avec des permissions strictes : lecture seule et accès limité au compte système. Même si le dossier reste vide, il joue un rôle dans la sécurisation du système contre ce type d’exploitation.
Ne pas supprimer le dossier, même s’il paraît inutile
Microsoft recommande de ne pas supprimer ce dossier, même si IIS n’est pas activé sur l’appareil. Le dossier ne contient rien et n’interagit pas avec l’utilisateur, mais il fait partie intégrante du correctif. Sa suppression pourrait compromettre la protection apportée par la mise à jour.
Si le dossier a été supprimé après l’installation du correctif, il est possible de le recréer manuellement. Il suffit d’activer temporairement IIS via le menu « Activer ou désactiver des fonctionnalités Windows » dans le Panneau de configuration. Une fois le dossier réapparu, IIS peut être désactivé à nouveau. Le dossier restera en place, avec les permissions correctes.
À ce stade, Microsoft indique qu’aucun code d’exploitation public de la faille n’a été observé. Le dossier « inetpub » est donc une mesure préventive, sans impact sur les performances du système. Il n’est pas utile, mais il est nécessaire. Pas très pratique tout ça quand même.
