Discussion :

[Anthony]

Une nouvelle faille de sécurité zero-day de BitLocker sous Windows, baptisée YellowKey, permet à un pirate muni d'une clé USB de déverrouiller des disques chiffrés sous Windows 11 et Windows Server 2022/2025

Une nouvelle faille « zero-day » de BitLocker sous Windows, baptisée « YellowKey », permet à un pirate muni d'une clé USB de déverrouiller des disques chiffrés sous Windows 11 et Windows Server 2022/2025. Cette faille a été révélée le 12 mai 2026 par un chercheur utilisant les pseudonymes Chaotic Eclipse et Nightmare Eclipse, et n'a pas encore fait l'objet d'un correctif. La vulnérabilité exploite l'environnement de récupération Windows (WinRE), utilisé pour résoudre les problèmes de démarrage, et expose ainsi les ordinateurs portables équipés de ces systèmes d'exploitation aux attaques par accès physique.

BitLocker est une fonctionnalité de chiffrement complet des volumes incluse dans les versions de Microsoft Windows à partir de Windows Vista. Elle est conçue pour protéger les données en chiffrant des volumes entiers. Par défaut, elle utilise l'algorithme AES (Advanced Encryption Standard) en mode CBC (Cipher Block Chaining) ou en mode XTS « (Xor–encrypt–xor (XEX)-based tweaked codebook mode with ciphertext stealing) » avec une clé de 128 ou 256 bits. Le mode CBC n'est pas appliqué à l'ensemble du disque ; il est appliqué à chaque secteur individuellement.

Un chercheur opérant sous le pseudonyme Nightmare-Eclipse (également connu sous le nom de Chaotic Eclipse) a publié le 12 mai 2026 une preuve de concept (PoC) fonctionnelle permettant de contourner le chiffrement de disque BitLocker sous Windows 11, Windows Server 2022 et Windows Server 2025. Cette faille, baptisée YellowKey, ne nécessite qu'un accès physique à l'appareil et une clé USB. Pas de clé de récupération. Pas de mot de passe. Pas de matériel coûteux.

Cette attaque exploite une faille dans le code de l'environnement de récupération Windows (Windows Recovery Environment ou WinRE) qui relit les données de journalisation NTFS provenant d'un dossier nommé FsTx sur un disque connecté. Lorsque WinRE relit ces journaux, il supprime le fichier qui verrouille normalement le shell de récupération, et au redémarrage suivant, l'attaquant se retrouve face à une invite de commande avec le disque protégé par BitLocker déjà monté et accessible en lecture.

À la date du 14 mai 2026, Microsoft n'a pas encore publié de correctif et aucun numéro CVE n'a été attribué. Une deuxième faille découverte par le même chercheur — une faille d'élévation de privilèges en local baptisée GreenPlasma — a été révélée en même temps que YellowKey et n'a pas non plus fait l'objet d'un correctif.

Qu'est-ce que la faille « YellowKey » de BitLocker ?

YellowKey est une faille de contournement de BitLocker sous Windows, non corrigée, révélée le 12 mai 2026, qui permet à un attaquant disposant d'un accès physique de courte durée à un appareil fonctionnant sous Windows 11, Windows Server 2022 ou Windows Server 2025 de lire l'intégralité du contenu du disque chiffré. Cette technique exploite la manière dont WinRE traite un dossier portant un nom spécifique, System Volume Information\FsTx, sur le périphérique de stockage connecté. Windows 10 n'est pas concerné.

Comment fonctionne cette attaque, en termes simples

Les étapes publiées par le chercheur sont suffisamment succinctes pour tenir sur une serviette en papier :

1. Copiez un dossier FsTx prêt à l'emploi sur une clé USB — ou enregistrez-le directement sur la partition EFI de l'appareil si l'ordinateur portable est entre les mains de l'attaquant.
2. Branchez la clé USB sur l'ordinateur Windows concerné, puis redémarrez dans l'environnement de récupération Windows (par exemple, en maintenant la touche Maj enfoncée tout en cliquant sur « Redémarrer », ou en interrompant plusieurs tentatives de démarrage).
3. Maintenez la touche Ctrl enfoncée pendant la récupération. Au lieu d'afficher le menu de récupération verrouillé, le système affiche une interface cmd.exe avec le volume protégé par BitLocker déjà déverrouillé.

À partir de ce shell, l'attaquant peut copier des fichiers, installer des logiciels malveillants persistants, récupérer des identifiants ou créer une image du disque. Des recherches indépendantes confirment que cette démonstration de faisabilité fonctionne contre la configuration BitLocker par défaut fournie sur la plupart des ordinateurs portables professionnels.

Le chercheur pense qu'il s'agit d'une porte dérobée

Dans le fichier README public du dépôt GitHub de YellowKey, le chercheur explique que le composant WinRE vulnérable est présent dans Windows 11 et Server 2022/2025, mais qu'il est fourni sous une forme allégée dans Windows 10. Il décrit cette découverte comme « l'une des plus incroyables que j'aie jamais faites, on dirait presque une porte dérobée », et affirme qu'il « ne trouve aucune autre explication que le fait que cela ait été intentionnel ». Il s'agit là de l'interprétation du chercheur, et non d'une affirmation vérifiée, alors que Microsoft n'a pas encore répondu publiquement.

Qui est réellement menacé ?

La population réellement exposée au risque est plus restreinte que ne le laissent entendre les gros titres, mais c'est précisément celle dont la plupart des PME doivent se préoccuper : toute entreprise qui remet à ses employés un ordinateur portable sous Windows 11 susceptible d'être perdu, volé ou laissé sans surveillance dans un hôtel, un aéroport, un espace de coworking ou chez un client.

• Systèmes d'exploitation concernés : Windows 11 (toutes les versions grand public et Pro actuelles), Windows Server 2022 et Windows Server 2025. Les appareils Windows 10 ne sont pas vulnérables au PoC rendu public.
• Accès requis : une brève prise de possession physique de l'appareil ou de sa partition EFI. Cela inclut notamment un ordinateur portable laissé sur un bureau pendant la nuit, un appareil expédié par coursier et ouvert pendant le transport, ou encore un appareil volé.
• Compétences requises : faibles. L'exploit est fourni sous forme de fichiers à copier sur une clé USB et ne nécessite que quelques pressions sur les touches du clavier. Il ne requiert aucune expertise au niveau du noyau.
• Exposition du réseau : aucune. Il ne s'agit pas d'une attaque à distance. Les pare-feu, les VPN et les filtres de messagerie ne sont d'aucune utilité.

Que ce soit pour un cabinet d'avocats de Paris dont les collaborateurs transportent les dossiers de leurs clients sur des ordinateurs portables de l'entreprise, une société d'ingénierie de Montréal équipée de postes de travail déployés sur site, un cabinet médical de Dallas disposant de postes de travail portables sur des chariots, ou une start-up de Seattle dont les fondateurs voyagent chaque semaine, le modèle de menace vient de changer. L'idée selon laquelle « un disque chiffré est synonyme de sécurité » était déjà une hypothèse imparfaite. Elle s'avère désormais manifestement fausse sur le terminal Microsoft le plus répandu en entreprise.

BitLocker avec un code PIN de pré-démarrage vous protège-t-il ?

C'est la question que tous les responsables informatiques et tous les fournisseurs de services gérés se voient poser cette semaine, et la réponse honnête est la suivante : probablement oui pour l'exploit rendu public, mais ce n'est pas certain. Considérez la combinaison TPM + code PIN comme une mesure de renforcement efficace, et non comme une solution infaillible.

L'outil YellowKey, mis à la disposition du public, cible la configuration BitLocker par défaut dont sont équipés la plupart des ordinateurs portables professionnels sous Windows 11 : TPM uniquement, pas d'authentification avant le démarrage, déverrouillage transparent au démarrage. L'ajout d'un code PIN avant le démarrage (paramètre « TPM + PIN » ou « TPM + Startup PIN » dans la stratégie de groupe) nécessite la saisie d'un code secret par l'utilisateur avant le chargement du système d'exploitation, ce qui, à lui seul, renforce considérablement la sécurité.

Toutefois, deux réserves importantes découlent directement des rapports publics :

• Le chercheur affirme l'existence d'une variante pour TPM+PIN. Nightmare-Eclipse a déclaré publiquement que cette même faille pouvait être exploitée contre des configurations TPM+PIN, mais a refusé de publier cette preuve de concept, affirmant lors d'entretiens que « ce qui circule déjà est suffisamment grave ». Tant que Microsoft n'aura pas confirmé l'étendue de la faille sous-jacente, il convient de considérer cette affirmation comme non vérifiée, mais crédible, émanant de la personne qui a découvert le bug.
• Le chercheur JaGoTu, qui a testé de manière indépendante le PoC rendu public, a constaté que l'efficacité de la combinaison TPM+code PIN semble dépendre de l'implémentation spécifique de WinRE fournie avec une version donnée de Windows. En d'autres termes : un code PIN renforce la sécurité, mais n'élimine pas de manière certaine la voie d'attaque.

La documentation officielle de Microsoft sur BitLocker recommande depuis longtemps l'authentification avant démarrage (TPM + code PIN, TPM + clé de démarrage ou TPM + code PIN + clé de démarrage) pour les terminaux de grande valeur, précisément parce que le mode TPM seul laisse au processus de démarrage le soin de décider quand libérer la clé. YellowKey nous rappelle une fois de plus que « le processus de démarrage » inclut l'environnement de récupération, et que cet environnement est accessible depuis une clé USB.

La stratégie de sécurité à adopter cette semaine : activez le TPM et le code PIN sur les ordinateurs portables Windows 11 contenant des données sensibles, et considérez qu'il s'agit d'une mesure d'atténuation plutôt que d'une protection totale jusqu'à ce que Microsoft publie un correctif et précise officiellement la portée du problème.

Pourquoi cette faille est différente d'une vulnérabilité « zero-day » classique

La plupart des failles « zero-day » qui ont été révélées — celles de Chrome en mars 2026, le bug du volet de prévisualisation d'Outlook, la longue série de vulnérabilités d'Exchange et de SharePoint — suivent le même schéma. Un pirate, quelque part sur Internet, envoie une charge utile. Les défenseurs appliquent rapidement des correctifs, segmentent les réseaux et renforcent les filtres de messagerie.

YellowKey rompt avec ce schéma de trois manières :

• L'attaquant doit se trouver dans la pièce. Cela semble être une bonne nouvelle. Ce n'est pourtant pas le cas pour une PME dont les collaborateurs utilisent des ordinateurs portables lors de leurs déplacements. Les menaces liées à l'accès physique comprennent la perte d'appareils, l'accès aux chambres d'hôtel, l'interception par des coursiers, la manipulation par des ateliers de réparation, ainsi que le scénario de l'ordinateur portable laissé sans surveillance dans un café, contre lequel toutes les formations de sensibilisation mettent en garde.
• Le bogue se trouve au niveau inférieur du système d'exploitation. Le chemin d'exécution vulnérable se situe dans l'environnement de récupération, et non dans une application en mode utilisateur. Il est donc plus difficile de le contrer à l'aide des outils de détection et de réponse au niveau des terminaux (EDR) sur lesquels s'appuient la plupart des entreprises. Les solutions EDR ne peuvent pas intervenir tant que le système d'exploitation n'a pas terminé son démarrage.
• Il n'existe pas encore de correctif. La divulgation s'est faite de manière non coordonnée ; Microsoft a pris connaissance de la faille par le biais d'une publication publique un mardi. Comme cela a été souligné par plusieurs articles traitant de la rapidité avec laquelle les vulnérabilités modernes sont exploitées, le délai entre la divulgation et l'exploitation par des pirates se mesure désormais en heures, et non plus en semaines.

Ce qui est plus important encore, et la raison pour laquelle cela dépasse le cadre de YellowKey : depuis plus d'une décennie, le chiffrement complet du disque dur est la réponse par excellence à la question « que se passe-t-il en cas de perte d'un ordinateur portable ? ». Une faille qui transforme une clé USB en passe-partout sur la configuration par défaut de Windows 11 est le genre de découverte qui nous oblige à remettre en question cette hypothèse simpliste.

Cette situation ravive les interrogations quant à l'équilibre entre praticité et résilience des protections intégrées à Windows 11. En janvier 2026, Microsoft a confirmé qu'il transmettrait aux autorités les clés de chiffrement BitLocker des appareils Windows 11 en cas de demande légale. Si l'entreprise affirme que ces requêtes restent limitées, cette politique constitue un précédent notable.

Plusieurs experts estiment par ailleurs que le stockage par défaut des clés BitLocker dans des comptes en ligne, présenté comme un gage de commodité pour les utilisateurs, accroît les risques d'accès non désiré à des données sensibles et soulève des préoccupations plus larges concernant la sécurité des environnements Windows, face à la multiplication des vulnérabilités techniques.

Sources : Dépot GitHub de YellowKey, CyberUnit

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous les découvertes de ce chercheur crédibles ou pertinentes ?

Voir aussi :

Microsoft ajoute le chiffrement BitLocker par défaut sur les PC Windows 11 configurés avec un compte Microsoft dans le cadre de la mise à jour 24H2 diffusée depuis le mois de juin

Le chiffrement BitLocker, une fonction de sécurité intégrée à Windows, cassé en 43 secondes avec un Raspberry Pi Pico à moins de 10 dollars défaut de chiffrement sur les voies (bus LPC) CPU-TPM

La mise à jour 24H2 de Windows 11 ajoute le chiffrement automatique BitLocker, qui chiffre les disques par défaut avec BitLocker pour une meilleure sécurité, mais peut ralentir certains ordinateurs

[Aspartame]

donc on a un système qui ne reçoit plus de patch de sécurité... mais insensible à la faille
et un système vers lequel redmond nous à poussé , bourré de bloatware et avec la faille en prime.

[Artaeus]

Pas vraiment surpris ...
Je n'ai jamais entendu les autorités US se plaindre de ne pas pouvoir accéder à un disque chiffré Bitlocker sur Windows (contrairement à d'autres solutions).

[OrthodoxWindows]

C'est la question que tous les responsables informatiques et tous les fournisseurs de services gérés se voient poser cette semaine, et la réponse honnête est la suivante : probablement oui pour l'exploit rendu public, mais ce n'est pas certain. Considérez la combinaison TPM + code PIN comme une mesure de renforcement efficace, et non comme une solution infaillible.

La meilleurs mesure de renforcemment est de virer BitLocker et d'utiliser à la place VeraCrypt, MajorPrivacy ou un autre outil comparable.

Et ce d'autant plus que pour la majorité des utilisateurs de BitLocker, il n'y a même pas besoin de cette faille, rien que le fait que Microsoft possède par défaut une copie des clefs de déchiffrement sur son cloud tue la soi-disant sécurité de BitLocker.

Je suis d'accord avec le chercheur qui a découvert cette faille que ça serait un backdoor, ça me semble le plus probable. Et il y en a probablement d'autre, plus discrets, étant donné que Windows 10 n'est pas concerné par cette faille...