La nouvelle faille de sécurité zero-day YellowKey de BitLocker sous Windows, permet en étant muni d'une clé USB de déverrouiller des disques chiffrés sous Windows 11 et Windows Server 2022/2025

Une nouvelle faille « zero-day » de BitLocker sous Windows, baptisée « YellowKey », permet à un pirate muni d'une clé USB de déverrouiller des disques chiffrés sous Windows 11 et Windows Server 2022/2025. Cette faille a été révélée le 12 mai 2026 par un chercheur utilisant les pseudonymes Chaotic Eclipse et Nightmare Eclipse, et n'a pas encore fait l'objet d'un correctif. La vulnérabilité exploite l'environnement de récupération Windows (WinRE), utilisé pour résoudre les problèmes de démarrage, et expose ainsi les ordinateurs portables équipés de ces systèmes d'exploitation aux attaques par accès physique.

BitLocker est une fonctionnalité de chiffrement complet des volumes incluse dans les versions de Microsoft Windows à partir de Windows Vista. Elle est conçue pour protéger les données en chiffrant des volumes entiers. Par défaut, elle utilise l'algorithme AES (Advanced Encryption Standard) en mode CBC (Cipher Block Chaining) ou en mode XTS « (Xor–encrypt–xor (XEX)-based tweaked codebook mode with ciphertext stealing) » avec une clé de 128 ou 256 bits. Le mode CBC n'est pas appliqué à l'ensemble du disque ; il est appliqué à chaque secteur individuellement.

Un chercheur opérant sous le pseudonyme Nightmare-Eclipse (également connu sous le nom de Chaotic Eclipse) a publié le 12 mai 2026 une preuve de concept (PoC) fonctionnelle permettant de contourner le chiffrement de disque BitLocker sous Windows 11, Windows Server 2022 et Windows Server 2025. Cette faille, baptisée YellowKey, ne nécessite qu'un accès physique à l'appareil et une clé USB. Pas de clé de récupération. Pas de mot de passe. Pas de matériel coûteux.


Cette attaque exploite une faille dans le code de l'environnement de récupération Windows (Windows Recovery Environment ou WinRE) qui relit les données de journalisation NTFS provenant d'un dossier nommé FsTx sur un disque connecté. Lorsque WinRE relit ces journaux, il supprime le fichier qui verrouille normalement le shell de récupération, et au redémarrage suivant, l'attaquant se retrouve face à une invite de commande avec le disque protégé par BitLocker déjà monté et accessible en lecture.

À la date du 14 mai 2026, Microsoft n'a pas encore publié de correctif et aucun numéro CVE n'a été attribué. Une deuxième faille découverte par le même chercheur — une faille d'élévation de privilèges en local baptisée GreenPlasma — a été révélée en même temps que YellowKey et n'a pas non plus fait l'objet d'un correctif.

Qu'est-ce que la faille « YellowKey » de BitLocker ?

YellowKey est une faille de contournement de BitLocker sous Windows, non corrigée, révélée le 12 mai 2026, qui permet à un attaquant disposant d'un accès physique de courte durée à un appareil fonctionnant sous Windows 11, Windows Server 2022 ou Windows Server 2025 de lire l'intégralité du contenu du disque chiffré. Cette technique exploite la manière dont WinRE traite un dossier portant un nom spécifique, System Volume Information\FsTx, sur le périphérique de stockage connecté. Windows 10 n'est pas concerné.

Comment fonctionne cette attaque, en termes simples

Les étapes publiées par le chercheur sont suffisamment succinctes pour tenir sur une serviette en papier :

1. Copiez un dossier FsTx prêt à l'emploi sur une clé USB — ou enregistrez-le directement sur la partition EFI de l'appareil si l'ordinateur portable est entre les mains de l'attaquant.
2. Branchez la clé USB sur l'ordinateur Windows concerné, puis redémarrez dans l'environnement de récupération Windows (par exemple, en maintenant la touche Maj enfoncée tout en cliquant sur « Redémarrer », ou en interrompant plusieurs tentatives de démarrage).
3. Maintenez la touche Ctrl enfoncée pendant la récupération. Au lieu d'afficher le menu de récupération verrouillé, le système affiche une interface cmd.exe avec le volume protégé par BitLocker déjà déverrouillé.

À partir de ce shell, l'attaquant peut copier des fichiers, installer des logiciels malveillants persistants, récupérer des identifiants ou créer une image du disque. Des recherches indépendantes confirment que cette démonstration de faisabilité fonctionne contre la configuration BitLocker par défaut fournie sur la plupart des ordinateurs portables professionnels.

Le chercheur pense qu'il s'agit d'une porte dérobée

Dans le fichier README public du dépôt GitHub de YellowKey, le chercheur explique que le composant WinRE vulnérable est présent dans Windows 11 et Server 2022/2025, mais qu'il est fourni sous une forme allégée dans Windows 10. Il décrit cette découverte comme « l'une des plus incroyables que j'aie jamais faites, on dirait presque une porte dérobée », et affirme qu'il « ne trouve aucune autre explication que le fait que cela ait été intentionnel ». Il s'agit là de l'interprétation du chercheur, et non d'une affirmation vérifiée, alors que Microsoft n'a pas encore répondu publiquement.

Qui est réellement menacé ?

La population réellement exposée au risque est plus restreinte que ne le laissent entendre les gros titres, mais c'est précisément celle dont la plupart des PME doivent se préoccuper : toute entreprise qui remet à ses employés un ordinateur portable sous Windows 11 susceptible d'être perdu, volé ou laissé sans surveillance dans un hôtel, un aéroport, un espace de coworking ou chez un client.

• Systèmes d'exploitation concernés : Windows 11 (toutes les versions grand public et Pro actuelles), Windows Server 2022 et Windows Server 2025. Les appareils Windows 10 ne sont pas vulnérables au PoC rendu public.
• Accès requis : une brève prise de possession physique de l'appareil ou de sa partition EFI. Cela inclut notamment un ordinateur portable laissé sur un bureau pendant la nuit, un appareil expédié par coursier et ouvert pendant le transport, ou encore un appareil volé.
• Compétences requises...