Bonne nouvelle pour celles et ceux qui ont failli jeter leur PC par la fenêtre : Microsoft a officiellement assoupli sa position concernant les invites UAC déclenchées par les fichiers MSI… à condition de mettre les mains dans le Registre Windows.

Installer une appli sans être admin, c’est de nouveau possible sur Windows… mais sous conditions. © Melnikov Dmitriy / Shutterstock
Installer une appli sans être admin, c’est de nouveau possible sur Windows… mais sous conditions. © Melnikov Dmitriy / Shutterstock
L'info en 3 points
  • Microsoft a assoupli les invites UAC pour les fichiers MSI, facilitant ainsi l'installation d'applications sans droits admin.
  • Depuis septembre, les invites UAC ne se déclenchent que pour les actions personnalisées nécessitant une élévation de privilèges.
  • Les utilisateurs peuvent créer une liste d'autorisation dans le Registre pour éviter les invites UAC sur certaines applications.

Depuis le Patch Tuesday d’août, installer ou réparer une application sans droits admin sur Windows n’avait rien d’une sinécure. En durcissant le comportement de Windows Installer pour corriger une faille critique d’élévation de privilèges, Microsoft avait fait le choix d’une protection sans distinction, qui déclenchait une invite UAC à la moindre opération MSI. Une décision légitime et assumée, mais qui a bousculé bien des usages, notamment dans les environnements professionnels où les comptes non admin sont la norme.

Proton Business SuiteProton Business Suite
8.7/10

Offre partenaire

Des solutions simples et chiffrées pour protéger votre entreprise

Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.

Essayer Proton Business Suite gratuitement !

Offre partenaire

Un correctif pour faire la différence entre les cas sensibles et les autres

C’est désormais chose partiellement résolue avec le patch de septembre que Microsoft vient de publier. Les fenêtres UAC ne s’affichent plus systématiquement lors d’une réparation MSI, et ne sont déclenchées que si le fichier contient une action personnalisée nécessitant une élévation de privilège. Une distinction qui permet d’éviter de bloquer inutilement certaines opérations courantes, comme la réparation silencieuse d’un logiciel ou l’ajout automatique de composants à la première exécution d’une appli déjà installée.

Ce fonctionnement plus nuancé doit s’appliquer à l’ensemble des plateformes concernées par le durcissement initial, aussi bien côté client que serveur, sans remettre en cause les garanties de sécurité introduites en août. Pour la plupart des configurations, rien à faire : le correctif s’installe automatiquement via Windows Update ou les outils d’administration classiques. En revanche, pour les situations qui continuent de poser problème, il faudra quand même mettre la main à la pâte.

Comment créer une liste d’autorisation MSI pour désactiver les invites UAC

Si les invites UAC s’invitent encore là où elles ne devraient pas, vous pouvez accorder une exception à certaines applications en les ajoutant à une liste d’autorisation dans le Registre Windows. Il s’agit d’une procédure officielle, validée par Microsoft, conçue pour les environnements dans lesquels on maîtrise précisément ce que fait chaque installeur. À réserver aux admin système, donc, et un poil contraignant, mais pratique quand on n’a pas d’autre choix.

Pour mettre en place l’exception, il faut d’abord récupérer le ProductCode du fichier MSI concerné. Cette valeur unique peut être extraite avec Orca, un outil Microsoft inclus dans les composants du SDK Windows pour les développeurs.

Commencez par télécharger et installer le Windows SDK, si ce n’est pas déjà fait. Une fois l’opération terminée, accédez au dossier C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\x86 et exécutez le fichier Orca-x86_en-us.msi pour installer l’outil.

Installez Orca après avoir téléchargé et installé Windows SDK. © Clubic

Lancez ensuite Orca, cliquez sur Fichier > Ouvrir, puis sélectionnez le fichier MSI à ajouter à la liste des exceptions. Dans le panneau de gauche, cliquez sur Property, puis repérez la ligne ProductCode dans l’écran principal. Copiez la valeur, accolades comprises.

Dans Orca, sélectionnez le fichier MSI à exclure du système UAC et copiez son ProductCode. © Clubic

Ensuite, direction le Registre Windows. Dans la sous-clé HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer,
créez une valeur DWORD nommée SecureRepairPolicy, et donnez-lui la valeur 2.

Dans le Registre Windows, créez une nouvelle valeur DWORD. © Clubic

Toujours dans cette même sous-clé, cliquez sur Édition > Nouveau > Clé et nommez votre clé SecureRepairWhitelist. Ouvrez-la, puis créez une valeur chaîne. Le nom de la valeur doit correspondre au ProductCode (accolades comprises), et la valeur peut rester vide. Répétez l’opération pour tous les installeurs que vous souhaitez exclure du contrôle UAC.

Toujours dans le Registre Windows, créez une nouvelle clé, et ajoutez-y une valeur chaîne nommée selon le ProductCode copié dans le presse-papiers, accolades comprises. © Clubic

Cette méthode permet de restaurer un fonctionnement transparent pour certaines applications critiques, sans supprimer totalement la protection sur l’ensemble du système. Malgré tout, désactiver l’UAC pour un MSI spécifique revient à l’exclure des mesures de durcissement introduites en août, et ne doit être envisagé que pour des cas très spécifiques et parfaitement maîtrisés.

Source : Microsoft