Une nouvelle faille de sécurité touchant le chiffrement BitLocker de Windows a été rendue publique ces derniers jours. Désignée sous le nom de YellowKey et suivie sous la référence CVE-2026-45585, cette vulnérabilité zero-day permet à un attaquant disposant d'un accès physique à un ordinateur de contourner la protection offerte par BitLocker. Microsoft a réagi en publiant un bulletin de sécurité et en détaillant des mesures d'atténuation immédiates, tout en exprimant son mécontentement face à la divulgation non coordonnée du code d'exploitation.
Une exploitation basée sur l'environnement de récupération Windows
L'attaque, divulguée par le chercheur Nightmare-Eclipse, repose sur le dépôt de fichiers « FsTx » modifiés sur une clé USB ou une partition EFI. En branchant ce support sur la machine cible (où BitLocker est actif), l'attaquant redémarre l'ordinateur pour accéder à l'environnement de récupération Windows (WinRE). En maintenant la touche CTRL enfoncée, une invite de commande avec privilèges élevés s'affiche, permettant d'exécuter du code arbitraire et de contourner le chiffrement.
Un code d'exploitation fonctionnel a été publié sur GitHub, ce qui rend la menace potentiellement accessible à un large éventail d'acteurs malveillants, bien que l'accès physique reste une condition préalable.
Systèmes concernés : Windows 10 épargné
Selon les informations fournies par Microsoft et le chercheur, Windows 10 n'est pas affecté par cette vulnérabilité. En revanche, les éditions suivantes sont vulnérables :
- Windows 11 version 26H1 (x64)
- Windows 11 version 24H2 (x64)
- Windows 11 version 25H2 (x64)
- Windows Server 2025 (y compris l'installation Core)
La firme de Redmond a attribué à cette faille un score CVSS de 6,8 sur 10, jugé modéré en raison de la nécessité d'un accès physique à l'appareil cible.
Les mesures d'atténuation recommandées par Microsoft
En l'absence de correctif logiciel immédiat, Microsoft a publié une procédure de contournement à appliquer manuellement sur chaque machine. Cette manipulation vise à modifier l'image WinRE pour empêcher l'exécution automatique du composant vulnérable. Voici les six étapes décrites par l'éditeur :
- Monter l'image WinRE sur un dossier de montage (par exemple
C:\mount) à l'aide de la commandereagentc /mountre /path C:\mount. - Charger la ruche de registre système de l'image WinRE avec la commande
reg load HKLM\WinREHive C:\mount\Windows\System32\config\SYSTEM. - Dans la ruche montée, localiser la valeur
BootExecutesousHKLM\WinREHive\ControlSet001\Control\Session Manager. - Supprimer l'entrée
autofstx.exede cette valeur de typeREG_MULTI_SZ. - Enregistrer les modifications et décharger la ruche avec
reg unload HKLM\WinREHive. - Démonter l'image WinRE avec
reagentc /unmountre /path C:\mount.
Microsoft précise que cette opération doit être effectuée sur chaque poste sensible, en particulier pour les utilisateurs nomades utilisant BitLocker.
Microsoft critique la divulgation non coordonnée
Dans son bulletin de sécurité, Microsoft a indiqué être conscient de la vulnérabilité désignée publiquement sous le nom de YellowKey. L'entreprise a vivement critiqué le chercheur Nightmare-Eclipse, estimant que la publication du code d'exploitation violait les bonnes pratiques de divulgation coordonnée des vulnérabilités. Ce bras de fer entre la firme et le chercheur n'est pas nouveau, mais cette fois-ci, la menace est immédiatement exploitable.
En attendant un correctif officiel, les administrateurs systèmes sont invités à appliquer la mesure d'atténuation sur les machines concernées. La vigilance est de mise, notamment dans les environnements où l'accès physique aux postes de travail n'est pas totalement contrôlé.
