Une nouvelle vulnérabilité, surnommée GreatXML, a été identifiée dans le système de sécurité de Windows. Elle permet à un attaquant disposant d'un accès physique à une machine de contourner le chiffrement BitLocker. La méthode repose sur la manipulation des fichiers XML présents dans la partition de récupération (recovery partition) du système d'exploitation.
Selon les détails techniques disponibles, l'exploit cible spécifiquement le moteur d'analyse hors ligne (offline scan) de Microsoft Defender. En altérant les fichiers de configuration XML de la partition de récupération, un attaquant peut neutraliser cette analyse de sécurité lancée avant le démarrage complet du système. Une fois Defender désactivé, BitLocker, qui s'appuie sur cette protection pour vérifier l'intégrité du système avant de déchiffrer le disque, peut être contourné. L'attaquant peut alors accéder aux données chiffrées comme si le volume était déverrouillé.
Un accès physique requis mais une menace sérieuse
Pour être menée à bien, cette attaque nécessite un accès physique à l'ordinateur cible. L'attaquant doit pouvoir démarrer la machine et interagir avec la partition de récupération avant le chargement complet de Windows. Cela limite le vecteur d'attaque à des scénarios où l'appareil est momentanément sans surveillance, dans un lieu public, un bureau ou lors d'une procédure de maintenance. Les experts en sécurité soulignent que cette technique démontre une nouvelle fois la difficulté de sécuriser un système contre des menaces physiques, même avec des mécanismes de chiffrement réputés robustes comme BitLocker.
Des correctifs attendus du côté de Microsoft
Face à cette découverte, les chercheurs en cybersécurité ont alerté Microsoft. À ce stade, aucun correctif officiel n'a encore été publié. La firme de Redmond est probablement en train d'analyser la vulnérabilité pour déterminer les modifications nécessaires. Les solutions de contournement recommandées dans l'immédiat incluent le renforcement de la sécurité physique des postes de travail, l'activation de fonctionnalités avancées comme le démarrage sécurisé (Secure Boot) et la configuration de politiques de groupe limitant l'accès aux partitions de récupération.
Implications pour la sécurité des données
Cette faille met en lumière une faiblesse architecturale dans la chaîne de confiance entre BitLocker et Defender. Bien que BitLocker soit conçu pour protéger les données en cas de perte ou de vol de l'appareil, GreatXML illustre que des failles dans les mécanismes de sécurité périphériques peuvent compromettre cette protection. Les entreprises et les utilisateurs sensibles sont invités à surveiller les avis de sécurité de Microsoft et à appliquer les mises à jour dès qu'elles seront disponibles. En attendant, la vigilance face à l'accès non autorisé aux machines reste la meilleure défense.
