Office 2013 sur Windows Server 2019 : échec des correctifs MS13–MS16 avec DISM (0x80070002) – causes, solutions et procédure fiable

Sur Windows Server 2019, les anciens correctifs Office 2013 (MS13–MS16) échouent via DISM avec 0x80070002 ou « non applicable ». Voici pourquoi (fin de support, supersedence, méthode inadaptée) et la procédure fiable : SP1, CU d’avril 2023, WSUS/SCCM, commandes msiexec, contrôles et mesures d’atténuation.

Contexte et symptômes

Un administrateur tente d’appliquer de vieux bulletins de sécurité (MS13‑074 à MS16‑133) à Microsoft Office 2013 installé sur un serveur Windows Server 2019. Les fichiers .cab sont téléchargés depuis le Catalogue Microsoft Update, puis installés par :

dism /online /add-package /packagepath:<fichier.cab>

Résultats typiques :

• Erreur 0x80070002 – Le fichier spécifié est introuvable.
• Après extraction d’un .msp, Windows indique que « le correctif n’est pas applicable ».
• Le scan de vulnérabilités réclame toujours les bulletins MS13–MS16 malgré les tentatives d’installation.

Dans la plupart des cas, la build détectée côté Office est 15.0.4420.1017 (édition RTM sans Service Pack 1), et l’installation utilise un média MSI volume (souvent 32 ou 64 bits), parfois incomplet (applications non installées, packs de langue absents).

Pourquoi ces correctifs ne s’installent pas ?

Cause	Explication succincte
Fin de support Office 2013	Le support étendu s’est terminé le 11 avril 2023. Aucun nouveau correctif n’est publié ni garanti compatible après cette date. Les chaînes de remplacement s’arrêtent aux derniers packages d’avril 2023.
Méthode d’installation inadaptée	DISM gère des packages Windows (MSU/CAB du système). Les mises à jour Office sont des patchs MSI/MSP du moteur Windows Installer et s’appliquent avec msiexec /p, Windows Update, WSUS ou SCCM/Configuration Manager.
Version Office trop ancienne ou incomplète	La build 15.0.4420.1017 est la RTM sans SP1. Or, la majorité des bulletins MS13–MS16 exigent Office 2013 SP1 (ex. 15.0.4569.1507 / 15.0.4571.1502) comme prérequis technique.
Correctifs remplacés (supersedence)	Les correctifs historiques sont remplacés par des cumulative updates plus récentes (dernier bundle : avril 2023). Installer la dernière CU rend caduques la plupart des KB/MSxx intermédiaires ; les scanners mal configurés produisent alors des « faux positifs ».
Composants absents	De nombreuses CAB ciblent Word Viewer, InfoPath, Proofing Tools, packs de langues, etc. Si le composant ou la langue ciblés ne sont pas installés, le patch est logiquement « non applicable ».
Architecture et canal	Mélange x86/x64 ou confusion MSI vs Click‑to‑Run : un MSP volumétrique MSI ne s’applique pas à une installation Click‑to‑Run, et inversement. Le mauvais couple architecture/produit déclenche aussi « not applicable ».

Zoom technique : DISM vs Windows Installer

DISM orchestre l’image Windows (fonctionnalités, .cab/.msu de l’OS). Les correctifs Office sont empaquetés pour msiexec : ils modifient les composants MSI produit par produit (Word, Excel, etc.), respectent les codes produit/transformations MST, et s’inscrivent dans la base Windows Installer. Tenter DISM /add-package sur un .cab Office conduit donc à 0x80070002, à une non‑détection de l’applicabilité, ou à un échec silencieux.

Pré‑requis de version : SP1 obligatoire

Les chaînes MS13–MS16 partent du principe que l’environnement cible est au niveau SP1 minimum. Tant que la machine reste en RTM 15.0.4420.1017, la majorité des MSP refuseront l’installation. Installer SP1 puis la dernière CU (avril 2023) est la voie courte et fiable.

Supersedence : pourquoi chasser chaque KB est contre‑productif

Chaque bulletin MSxx peut référencer plusieurs KB par application et par langue. Au fil des années, des « fullfile updates » cumulatives remplacent ces KB. L’approche moderne consiste à appliquer la dernière CU disponible ; elle couvre les CVE de la période MS13–MS16, même si les numéros de KB initiaux ne figurent pas explicitement parmi les correctifs installés.

Composants et packs de langues

Un MSP pour InfoPath, SharePoint Designer, Proofing Tools ou un pack de langue (language pack) échouera si le composant correspondant n’est pas présent. D’où l’importance d’identifier précisément la liste d’applications Office effectivement installées et leur langue.

MSI vs Click‑to‑Run

Office 2013 existe en deux modèles :

• MSI volume (VL/ISO) : se met à jour via MSP, Windows Update ou WSUS/SCCM.
• Click‑to‑Run (C2R) : se met à jour via le service Office C2R ; les MSP ne s’appliquent pas.

Sur un serveur, on rencontre surtout MSI VL. Vérifiez la clé HKLM\SOFTWARE\Microsoft\Office\ClickToRun : sa présence est un indicateur fort de C2R.

Solutions et pistes d’atténuation

Priorité	Action	Détails / avantages
1	Migrer vers une version prise en charge (Microsoft 365 Apps, Office LTSC 2021)	Réception continue des correctifs de sécurité ; élimine les failles connues d’Office 2013.
2	Si Office 2013 doit rester : installer Service Pack 1 puis la dernière cumulative d’avril 2023	Met l’installation au niveau de correctif maximal. Supprime la plupart des CVE des bulletins MS13–MS16 sans empiler chaque patch individuel.
3	Utiliser Windows Update, WSUS ou SCCM pour déployer Office	Ces moteurs gèrent automatiquement prérequis, langues et supersedence.
4	Éviter DISM pour Office ; préférer msiexec /p si un MSP autonome est requis	Respecte le moteur Windows Installer et évite 0x80070002.
5	Mesures compensatoires (macro/ActiveX, vue protégée, WDAC/AppLocker)	Réduit la surface d’attaque documentaire en attendant une migration.
6	Re‑vérifier le rapport de vulnérabilité après SP1 + CU 2023	Les scanners cessent généralement de réclamer les correctifs historiques une fois la build à jour.

Procédure fiable pas à pas (MSI volume)

1. Identifier le type d’installation et l’architecture
   • Architecture Office : 32 bits → C:\Program Files (x86)\Microsoft Office\Office15\ ; 64 bits → C:\Program Files\Microsoft Office\Office15\.
   • Installer MSI ou Click‑to‑Run : absence de ClickToRun = probablement MSI.
2. Sauvegarder et planifier un créneau (snapshot/VM, point de restauration, arrêt des applis Office et services RDS si applicables).
3. Installer Service Pack 1 correspondant à l’architecture :
   • SP1 x64 : office2013sp1-kb2817430-fullfile-x64-en-us.exe
   • SP1 x86 : office2013sp1-kb2817430-fullfile-x86-en-us.exe
   Commande silencieuse conseillée : <chemin>\office2013sp1-kb2817430-fullfile-x64-en-us.exe /quiet /norestart Vérifiez le code de retour. Redémarrez si demandé.
4. Appliquer la dernière cumulative d’avril 2023 pour chaque application réellement installée (Word, Excel, PowerPoint, Outlook, etc.). Exemple pour Word 2013 x64 :

<chemin>\word2013-kb5002272-fullfile-x64-glb.exe /quiet /norestart

Répétez pour les autres composants présents (Outlook, Excel, PowerPoint, OneNote, Access, Project/Visio si installés, packs de langue nécessaires).

Option alternative : appliquer un MSP autonome

À n’utiliser que si vous disposez d’un .msp ciblé et que vous savez qu’il est applicable à votre produit/langue :

msiexec /p "C:\Temp\PatchOffice2013.msp" /qb-! /L*v "%TEMP%\Office2013_MSP.log"

• /qb-! : interface basique sans annulation.
• /L*v : journal verbeux (indispensable pour diagnostiquer).

Déploiement via WSUS ou Configuration Manager

Si l’environnement est géré, publiez SP1 puis la vague CU 2023 correspondante. L’évaluation d’applicabilité intégrée évite les erreurs d’architecture/langue et gère les remplacements. Privilégiez des groupes pilotes avant un déploiement large.

Validation post‑mise à jour

Contrôlez les versions binaires majeures (cible attendue : environ 15.0.5579.1000, variable selon langue et composant). Exemples PowerShell :

# 64 bits
(Get-Item "C:\Program Files\Microsoft Office\Office15\WINWORD.EXE").VersionInfo.FileVersion
(Get-Item "C:\Program Files\Microsoft Office\Office15\EXCEL.EXE").VersionInfo.FileVersion

# 32 bits sur OS 64 bits

(Get-Item "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE").VersionInfo.FileVersion
(Get-Item "C:\Program Files (x86)\Microsoft Office\Office15\EXCEL.EXE").VersionInfo.FileVersion

À éviter : wmic product ou Get-WmiObject Win32_Product, qui peuvent déclencher une réinstallation/réparation MSI.

Erreurs fréquentes et leur signification

Message / Code	Cause probable	Résolution
0x80070002 (fichier introuvable) lors de DISM /add-package	Package non‑OS ou chemin CAB inattendu (Office ≠ package OS)	Ne pas utiliser DISM ; employer msiexec, Windows Update, WSUS ou les exécutables « fullfile » Office.
« Le correctif n’est pas applicable »	RTM sans SP1 ; architecture ou langue différentes ; composant non installé ; MSI vs C2R	Installer SP1, vérifier x86/x64 et langue, confirmer le composant cible, s’assurer du modèle MSI.
« Setup cannot determine whether this update applies… »	Chaînes de détection ne correspondent pas au produit présent (clé MSI, ProductCode, langue)	Utiliser la CU d’avril 2023 adaptée au produit/langue, ou passer par WSUS/SCCM.
« Another installation is in progress »	Transaction MSI concurrente (service Windows Installer occupé)	Fermer Office, attendre la fin des installations planifiées, redémarrer si besoin.

Checklist de diagnostic rapide

• Confirmer l’édition Office (MSI VL vs Click‑to‑Run) et l’architecture (x86/x64).
• Vérifier la build : si 15.0.4420.1017 → installer SP1 d’abord.
• Identifier les applications et langues réellement installées (Word, Excel, Outlook, etc.).
• Choisir la méthode : WSUS/SCCM ou exécutables fullfile d’avril 2023.
• Appliquer, redémarrer si demandé, puis valider les versions binaires.
• Relancer le scan de vulnérabilités et documenter la supersedence.

Mesures compensatoires recommandées

Si une migration immédiate n’est pas possible :

• Macros et ActiveX :
  • Définir la sécurité des macros sur « Désactiver toutes les macros, sauf celles signées numériquement ».
  • Désactiver « Accès approuvé au modèle d’objet de projet VBA ».
  • Restreindre ou bloquer ActiveX non signés.
• Vue protégée : activer pour fichiers d’Internet, emplacements potentiellement dangereux et pièces jointes Outlook.
• File Block : empêcher l’ouverture en édition des anciens formats (DOC 97‑2003, XLA, etc.), autoriser l’ouverture en vue protégée uniquement.
• Réduction de surface (AppLocker/WDAC) : autoriser explicitement uniquement les exécutables approuvés et bloquer l’exécution dans les répertoires utilisateur.
• Durcissement Outlook : désactiver l’aperçu automatique des pièces jointes à risque, bloquer les extensions potentiellement dangereuses, appliquer l’affichage en texte brut pour expéditeurs externes à haut risque.
• Isolement : ouvrir les documents non approuvés dans des conteneurs (VM, sandbox) ou via des services de rendu sécurisé.

Détails utiles et bonnes pratiques

Paquets à connaître

• SP1 :
  • x64 : office2013sp1-kb2817430-fullfile-x64-en-us.exe
  • x86 : office2013sp1-kb2817430-fullfile-x86-en-us.exe
• CU d’avril 2023 (exemple Word) : word2013-kb5002272-fullfile-x64-glb.exe

Scripts d’inventaire recommandés

Détecter MSI vs Click‑to‑Run et l’architecture :

# MSI ou Click‑to‑Run ?
Test-Path 'HKLM:\SOFTWARE\Microsoft\Office\ClickToRun' | 
  ForEach-Object { if ($_){'Click-to-Run'} else {'MSI'} }

# Architecture Office (chemin WINWORD.EXE détecté)

$paths = @(
'C:\Program Files\Microsoft Office\Office15\WINWORD.EXE',
'C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE'
)
$paths | Where-Object { Test-Path $_ } | ForEach-Object {
'{0} → {1}' -f $*,(Get-Item $*).VersionInfo.FileVersion
}

Journalisation et supportabilité

• Conserver les journaux msiexec (/L*v) pour chaque patch appliqué.
• Éviter les installations « mix & match » (ex. Office x86 + Project/Visio x64) qui compliquent la maintenance.
• Sur Windows Server 2019, Office 2013 n’est pas officiellement supporté comme rôle d’applications Office ; tolérance de fonctionnement sans garantie après fin de support.

FAQ opérationnelle

Dois‑je installer chaque KB des bulletins MS13–MS16 ?

Non. La stratégie moderne est : SP1 → dernière cumulative d’avril 2023. Cette combinaison incorpore (remplace) la majorité des correctifs intermédiaires. Pourquoi mon scanner de vulnérabilités liste encore MS14‑xxx ?

Beaucoup d’outils détectent la présence/absence d’un KB précis sans tenir compte de la supersedence. Après mise à jour à SP1 + CU 2023, relancez un scan et, si besoin, configurez l’outil pour reconnaître les remplacements. Puis‑je forcer l’installation via DISM ?

Non. DISM ne gère pas les patchs Office. Utilisez msiexec /p, Windows Update, WSUS ou SCCM. Click‑to‑Run est‑il concerné par les MSP ?

Non. Les MSP s’appliquent aux installations MSI. Pour Click‑to‑Run, utilisez le mécanisme de mise à jour Office intégré et assurez la mise à niveau vers une version supportée. Faut‑il installer les Proofing Tools/Language Packs ?

Uniquement si vous les utilisez. Installer des packs inutiles accroît la surface d’attaque et la charge de maintenance.

Cas pratique : de RTM à un Office 2013 « au maximum » en 30 minutes

1. Fermer toutes les applications Office, informer les utilisateurs RDS, créer un point de restauration/snapshot.
2. Déployer SP1 adapté à l’architecture (/quiet /norestart), vérifier le journal et redémarrer si demandé.
3. Installer les fullfile d’avril 2023 pour les composants réellement installés (Word/Excel/PowerPoint/Outlook/Access/OneNote/Project/Visio), toujours avec /quiet /norestart.
4. Contrôler les versions binaires (objectif ≈ 15.0.5579.1000). Documenter versions et journaux dans le ticket de changement.
5. Exécuter un nouveau scan de vulnérabilités et consigner les KB « superseded » justificatifs dans la preuve de conformité.

Résumé exécutif

L’échec n’est pas un bogue isolé : il résulte de la combinaison outil inadapté (DISM), version Office trop ancienne (RTM sans SP1) et fin de support. La solution robuste est de migrer vers une version supportée ou, si Office 2013 doit rester, d’installer SP1 puis la dernière cumulative d’avril 2023 via des méthodes prises en charge (Windows Update, WSUS/SCCM, msiexec). Complétez par des mesures compensatoires (macros, vue protégée, WDAC/AppLocker) et une validation par version binaire. Vous éviterez ainsi la chasse inefficace aux KB MS13–MS16 individuels et les erreurs 0x80070002.

Annexe : matrices d’applicabilité utiles

Élément	Point d’attention	Comment vérifier
Type d’installation	MSI vs Click‑to‑Run	Présence de HKLM\SOFTWARE\Microsoft\Office\ClickToRun ; panneau « Programmes et fonctionnalités ».
Architecture	x86 ou x64	Chemin des exécutables Office15, taille des processus (WINWORD.EXE 32/64 bits).
Niveau de build	RTM vs SP1 vs CU 2023	Version de WINWORD.EXE/EXCEL.EXE ; build cible ≈ 15.0.5579.1000.
Langues	GLB vs spécifiques	Applications installées et langues nécessaires ; choisir les fullfile correspondants.
Composants	Word/Excel/Outlook/Access/Visio/Project	Inventaire via PowerShell (présence des EXE/DLL), console SCCM.

Annexe : commandes prêtes à l’emploi

:: Installation silencieuse de SP1 (x64)
office2013sp1-kb2817430-fullfile-x64-en-us.exe /quiet /norestart

:: Installation de la CU d’avril 2023 pour Word 2013 (x64)
word2013-kb5002272-fullfile-x64-glb.exe /quiet /norestart

:: Application d’un MSP autonome avec journal verbeux
msiexec /p "C:\Temp\Office2013_KBxxxxxx.msp" /qn /L*v "%TEMP%\Office2013_MSP.log"

:: Vérification rapide des versions Word/Excel (PowerShell)
(Get-Item "C:\Program Files\Microsoft Office\Office15\WINWORD.EXE").VersionInfo.FileVersion
(Get-Item "C:\Program Files\Microsoft Office\Office15\EXCEL.EXE").VersionInfo.FileVersion

Points de compatibilité serveur

• Office 2013 n’est pas officiellement supporté sur Windows Server 2019 comme environnement applicatif partagé. Il peut fonctionner, mais sans garantie depuis la fin de support.
• Sur des hôtes RDS, préférez des versions Office encore supportées (Microsoft 365 Apps pour entreprise ou Office LTSC), afin de recevoir des correctifs et des durcissements de sécurité récents.

En bref : cessez d’employer DISM pour Office ; passez à SP1 + CU avril 2023 via des mécanismes pris en charge, validez les binaires, recalculez la conformité et planifiez la migration vers une édition d’Office maintenue.