C’est un changement passé presque inaperçu, mais qui fait du bruit côté IT. Depuis le dernier Patch Tuesday, certaines actions pourtant banales déclenchent des fenêtres UAC en cascade et des messages d’erreur déroutants sur tous les comptes non admin.
- Depuis le dernier Patch Tuesday, des fenêtres UAC s'affichent souvent pour les comptes non admin lors d'installations MSI.
- Ce changement, lié à un correctif de sécurité, perturbe les workflows dans les environnements professionnels.
- Microsoft prévoit d'ajouter une option pour permettre certaines réparations MSI sans UAC, mais aucune date n'est précisée.
Fenêtres UAC à répétition, installations interrompues, messages d’erreur obscurs : depuis quelques semaines, le moindre déploiement MSI sans privilège admin peut virer à la crise de nerfs. Un comportement apparu après le Patch Tuesday d’août, sur toutes les versions encore prises en charge de Windows 10, Windows 11 et Windows Server, et qui, tenez-vous bien, n’a rien d’un bug. Il est parfaitement assumé par Microsoft, qui a décidé de durcir les règles de sécurité autour du système d’installation Windows.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Pas de droits admin, pas d’installation MSI
Depuis la mise à jour de sécurité publiée en août dernier, Windows affiche désormais une demande de contrôle de compte (UAC) dans plusieurs situations pour lesquelles aucune élévation de privilège n’était nécessaire jusqu’à présent. Les comptes non-administrateurs sont les premiers concernés, et les cas de figure sont nombreux.
Dans le détail, le simple fait d’exécuter une commande de réparation MSI, type msiexec /fu, peut suffire à déclencher une invite. Idem pour certaines applications comme AutoCAD, Civil 3D ou Inventor CAM, qui peuvent lancer une opération MSI dès leur ouverture, ou installer un composant lors de la première connexion afin de finaliser la configuration utilisateur.
Sont également concernés les logiciels conçus pour s’installer avec des paramètres propres à chaque session, les scripts exécutés dans le cadre d’Active Setup, l’activation du Secure Desktop, ainsi que les déploiements via Configuration Manager lorsqu’ils s’appuient sur des configurations dites « par utilisateur » (user-specific advertising).
Dans tous ces cas, si l’utilisateur ou l’utilisatrice ne dispose pas des droits admin pour valider l’élévation, l’opération échoue. Et si le processus s’exécute en arrière-plan, sans interface visible, l’échec peut se manifester par un message d’erreur isolé, difficile à relier à l’action initiale. Pénible.
Ceci n’est pas un bug, c’est une fonctionnalité
Aussi surprenant que cela puisse paraître, ce comportement est en réalité le résultat assumé d’un correctif de sécurité appliqué à Windows Installer pour corriger une faille critique (CVE-2025-50173) qui exposait le système à un risque d’attaque par élévation de privilèges. Une mesure justifiable sur le plan de la sécurité, certes, mais qui, appliquée sans préavis, perturbe les workflows et déstabilise les environnements professionnels où les comptes non-admin sont la norme.
Pour contenir l’impact sur les usages quotidiens, Microsoft recommande d’exécuter les applications concernées en tant qu’administrateur lorsqu’une élévation est requise. Si cette option n’est pas viable, il est possible de solliciter le support professionnel pour déployer une stratégie de groupe temporaire Known Issue Rollback (KIR), de manière à désactiver le durcissement UAC sans désinstaller l’ensemble du Patch Tuesday.
À plus long terme, l’éditeur prévoit d’ajouter une option permettant aux administrateurs et administratrices d’autoriser certaines applications à effectuer des réparations MSI sans déclencher d’UAC. Aucune date n’a été communiquée, mais la fonctionnalité est en préparation.
Source : Microsoft
