Zero-day GreatXML : contournement de BitLocker via l'analyse hors ligne de Defender

Une nouvelle faille de sécurité ciblant le mécanisme de chiffrement BitLocker de Windows a été rendue publique le 11 juin 2026 par le chercheur en sécurité Nightmare Eclipse. Baptisée GreatXML, cette vulnérabilité zero-day exploite une faiblesse dans le traitement des fichiers de configuration par l'environnement de récupération Windows (WinRE), plus précisément via les résidus générés par l'outil d'analyse hors ligne de Microsoft Defender.

Un contournement en deux scénarios

Selon les éléments publiés par le chercheur sur un dépôt dédié, GreatXML repose sur la capacité à placer des fichiers spécifiques à la racine de la partition de récupération de la machine cible. Deux composants sont nécessaires : un fichier de configuration unattend.xml et un répertoire nommé Recovery contenant une arborescence WindowsRE. Une fois ces éléments en place, il suffit de provoquer un redémarrage vers WinRE, par exemple en maintenant la touche Majuscule enfoncée tout en cliquant sur l'option de redémarrage depuis le menu Démarrer. Si la configuration est correctement interprétée par le système, une invite de commandes s'ouvre avec les privilèges SYSTEM, offrant un accès complet au volume chiffré par BitLocker.

Le chercheur distingue deux scénarios d'exploitation. Le premier concerne les machines sur lesquelles une analyse hors ligne de Defender a déjà été lancée au moins une fois. Dans ce cas, l'attaquant n'a pas besoin de se connecter à une session Windows : un simple accès physique et la copie des fichiers adéquats suffisent pour déclencher l'ouverture du terminal privilégié. Le second scénario s'applique aux machines n'ayant jamais bénéficié de ce type d'analyse. L'attaquant doit alors préalablement se connecter à la session pour initier lui-même le scan hors ligne, avant de pouvoir procéder à l'exploitation.

Absence de correctif officiel

Cette divulgation intervient dans un contexte tendu. Microsoft venait tout juste de publier son Patch Tuesday de juin 2026, qui corrigeait notamment la faille YellowKey, une autre vulnérabilité affectant BitLocker. Quelques heures seulement après cette mise à jour, Nightmare Eclipse avait déjà dévoilé un premier exploit nommé RoguePlanet. GreatXML constitue donc la deuxième divulgation en l'espace de peu de temps, alimentant un conflit ouvert entre le chercheur et le programme de bug bounty MSRC de Microsoft.

À ce jour, aucun correctif officiel n'a été publié pour cette vulnérabilité. L'exploitation, bien que nécessitant un accès physique à la machine, remet en cause l'une des promesses fondamentales de BitLocker : protéger les données en cas de vol de l'appareil. Contrairement à d'autres attaques visant les modules TPM qui requièrent un matériel spécialisé, GreatXML repose sur une simple faiblesse logique logicielle.

Des mesures de protection envisageables

En l'absence de recommandations officielles de Microsoft, plusieurs mesures de bon sens peuvent être mises en œuvre pour limiter les risques. Configurer un mot de passe UEFI permet de bloquer les démarrages sur des supports externes non autorisés. Activer le mode TPM + PIN pour BitLocker empêche la libération de la clé de déchiffrement sans le code pré-démarrage, même si un attaquant parvient à ouvrir un shell. Pour une protection plus radicale, il reste possible de désactiver complètement l'environnement WinRE via la commande reagentc /disable.

Zero-day GreatXML : une nouvelle méthode permet de contourner BitLocker via l'analyse hors ligne de Defender

À lire ensuite

Deezer lance un outil de détection des musiques générées par IA pour les autres plateformes de streaming

SpaceX : plus de 250 milliards de dollars d'offres d'investisseurs particuliers avant l'introduction en Bourse

Un mini PC à moins de 135€ : le MLLSE G2 Pro avec Intel N150 et double LAN Gigabit passe à moitié prix

L'entrée en Bourse de SpaceX marque un tournant pour les investissements indiciels