Une nouvelle faille « zero-day » de BitLocker sous Windows, baptisée « YellowKey », permet à un pirate muni d'une clé USB de déverrouiller des disques chiffrés sous Windows 11 et Windows Server 2022/2025. Cette faille a été révélée le 12 mai 2026 par un chercheur utilisant les pseudonymes Chaotic Eclipse et Nightmare Eclipse, et n'a pas encore fait l'objet d'un correctif. La vulnérabilité exploite l'environnement de récupération Windows (WinRE), utilisé pour résoudre les problèmes de démarrage, et expose ainsi les ordinateurs portables équipés de ces systèmes d'exploitation aux attaques par accès physique.BitLocker est une fonctionnalité de chiffrement complet des volumes incluse dans les versions de Microsoft Windows à partir de Windows Vista. Elle est conçue pour protéger les données en chiffrant des volumes entiers. Par défaut, elle utilise l'algorithme AES (Advanced Encryption Standard) en mode CBC (Cipher Block Chaining) ou en mode XTS « (Xor–encrypt–xor (XEX)-based tweaked codebook mode with ciphertext stealing) » avec une clé de 128 ou 256 bits. Le mode CBC n'est pas appliqué à l'ensemble du disque ; il est appliqué à chaque secteur individuellement.
Un chercheur opérant sous le pseudonyme Nightmare-Eclipse (également connu sous le nom de Chaotic Eclipse) a publié le 12 mai 2026 une preuve de concept (PoC) fonctionnelle permettant de contourner le chiffrement de disque BitLocker sous Windows 11, Windows Server 2022 et Windows Server 2025. Cette faille, baptisée YellowKey, ne nécessite qu'un accès physique à l'appareil et une clé USB. Pas de clé de récupération. Pas de mot de passe. Pas de matériel coûteux.
Cette attaque exploite une faille dans le code de l'environnement de récupération Windows (Windows Recovery Environment ou WinRE) qui relit les données de journalisation NTFS provenant d'un dossier nommé FsTx sur un disque connecté. Lorsque WinRE relit ces journaux, il supprime le fichier qui verrouille normalement le shell de récupération, et au redémarrage suivant, l'attaquant se retrouve face à une invite de commande avec le disque protégé par BitLocker déjà monté et accessible en lecture.
À la date du 14 mai 2026, Microsoft n'a pas encore publié de correctif et aucun numéro CVE n'a été attribué. Une deuxième faille découverte par le même chercheur — une faille d'élévation de privilèges en local baptisée GreenPlasma — a été révélée en même temps que YellowKey et n'a pas non plus fait l'objet d'un correctif.
Qu'est-ce que la faille « YellowKey » de BitLocker ?
YellowKey est une faille de contournement de BitLocker sous Windows, non corrigée, révélée le 12 mai 2026, qui permet à un attaquant disposant d'un accès physique de courte durée à un appareil fonctionnant sous Windows 11, Windows Server 2022 ou Windows Server 2025 de lire l'intégralité du contenu du disque chiffré. Cette technique exploite la manière dont WinRE traite un dossier portant un nom spécifique, System Volume Information\FsTx, sur le périphérique de stockage connecté. Windows 10 n'est pas concerné.
Comment fonctionne cette attaque, en termes simples
Les étapes publiées par le chercheur sont suffisamment succinctes pour tenir sur une serviette en papier :
- Copiez un dossier FsTx prêt à l'emploi sur une clé USB — ou enregistrez-le directement sur la partition EFI de l'appareil si l'ordinateur portable est entre les mains de l'attaquant.
- Branchez la clé USB sur l'ordinateur Windows concerné, puis redémarrez dans l'environnement de récupération Windows (par exemple, en maintenant la touche Maj enfoncée tout en cliquant sur « Redémarrer », ou en interrompant plusieurs tentatives de démarrage).
- Maintenez la touche Ctrl enfoncée pendant la récupération. Au lieu d'afficher le menu de récupération verrouillé, le système affiche une interface cmd.exe avec le volume protégé par BitLocker déjà déverrouillé.
À partir de ce shell, l'attaquant peut copier des fichiers, installer des logiciels malveillants persistants, récupérer des identifiants ou créer une image du disque. Des recherches indépendantes confirment que cette démonstration de faisabilité fonctionne contre la configuration BitLocker par défaut fournie sur la plupart des ordinateurs portables professionnels.
Le chercheur pense qu'il s'agit d'une porte dérobée
Dans le fichier README public du dépôt GitHub de YellowKey, le chercheur explique que le composant WinRE vulnérable est présent dans Windows 11 et Server 2022/2025, mais qu'il est fourni sous une forme allégée dans Windows 10. Il décrit cette découverte comme « l'une des plus incroyables que j'aie jamais faites, on dirait presque une porte dérobée », et affirme qu'il « ne trouve aucune autre explication que le fait que cela ait été intentionnel ». Il s'agit là de l'interprétation du chercheur, et non d'une affirmation vérifiée, alors que Microsoft n'a pas encore répondu publiquement.
Qui est réellement menacé ?
La population réellement exposée au risque est plus restreinte que ne le laissent entendre les gros titres, mais c'est précisément celle dont la plupart des PME doivent se préoccuper : toute entreprise qui remet à ses employés un ordinateur portable sous Windows 11 susceptible d'être perdu, volé ou laissé sans surveillance dans un hôtel, un aéroport, un espace de coworking ou chez un client.
- Systèmes d'exploitation concernés : Windows 11 (toutes les versions grand public et Pro actuelles), Windows Server 2022 et Windows Server 2025. Les appareils Windows 10 ne sont pas vulnérables au PoC rendu public.
- Accès requis : une brève prise de possession physique de l'appareil ou de sa partition EFI. Cela inclut notamment un ordinateur portable laissé sur un bureau pendant la nuit, un appareil expédié par coursier et ouvert pendant le transport, ou encore un appareil volé.
- Compétences requises : faibles. L'exploit est fourni sous forme de fichiers à copier sur une clé USB et ne nécessite que quelques pressions sur les touches du clavier. Il ne requiert aucune expertise au niveau du noyau.
- Exposition du réseau : aucune. Il ne s'agit pas d'une attaque à distance. Les pare-feu, les VPN et les filtres de messagerie ne sont d'aucune utilité.
Que ce soit pour un cabinet d'avocats de Paris dont les collaborateurs transportent les dossiers de leurs clients sur des ordinateurs portables de l'entreprise, une société d'ingénierie de Montréal équipée de postes de travail déployés sur site, un cabinet médical de Dallas disposant de postes de travail portables sur des chariots, ou une start-up de Seattle dont les fondateurs voyagent chaque semaine, le modèle de menace vient de changer. L'idée selon laquelle « un disque chiffré est synonyme de sécurité » était déjà une hypothèse imparfaite. Elle s'avère désormais manifestement fausse sur le terminal Microsoft le plus répandu en entreprise.
BitLocker avec un code PIN de pré-démarrage vous protège-t-il ?
C'est la question que tous les responsables informatiques et tous les fournisseurs de services gérés se voient poser cette semaine, et la réponse honnête est la suivante : probablement oui pour l'exploit rendu public, mais ce n'est pas certain. Considérez la combinaison TPM + code PIN comme une mesure de renforcement efficace, et non comme une solution infaillible.
L'outil YellowKey, mis à la disposition du public, cible la configuration BitLocker par défaut dont sont équipés la plupart des ordinateurs portables professionnels sous Windows 11 : TPM uniquement, pas d'authentification avant le démarrage, déverrouillage transparent au démarrage. L'ajout d'un code PIN avant le démarrage (paramètre « TPM + PIN » ou « TPM + Startup PIN » dans la stratégie de groupe) nécessite la saisie d'un code secret par l'utilisateur avant le chargement du système d'exploitation, ce qui, à lui seul, renforce considérablement la sécurité.
Toutefois, deux réserves importantes découlent directement des rapports publics :
- Le chercheur affirme l'existence d'une variante pour TPM+PIN. Nightmare-Eclipse a déclaré publiquement que cette même faille pouvait être exploitée contre des configurations TPM+PIN, mais a refusé de publier cette preuve de concept, affirmant lors d'entretiens que « ce qui circule déjà est suffisamment grave ». Tant que Microsoft n'aura pas confirmé l'étendue de la faille sous-jacente, il convient de considérer cette affirmation comme non vérifiée, mais crédible, émanant de la personne qui a découvert le bug.
- Le chercheur JaGoTu, qui a testé de manière indépendante le PoC rendu public, a constaté que l'efficacité de la combinaison TPM+code PIN semble dépendre de l'implémentation spécifique de WinRE fournie avec une version donnée de Windows. En d'autres termes : un code PIN renforce la sécurité, mais n'élimine pas de manière certaine la voie d'attaque.
La documentation officielle de Microsoft sur BitLocker recommande depuis longtemps l'authentification avant démarrage (TPM + code PIN, TPM + clé de démarrage ou TPM + code PIN + clé de démarrage) pour les terminaux de grande valeur, précisément parce que le mode TPM seul laisse au processus de démarrage le soin de décider quand libérer la clé. YellowKey nous rappelle une fois de plus que « le processus de démarrage » inclut l'environnement de récupération, et que cet environnement est accessible depuis une clé USB.
La stratégie de sécurité à adopter cette semaine : activez le TPM et le code PIN sur les ordinateurs portables Windows 11 contenant des données sensibles, et considérez qu'il s'agit d'une mesure d'atténuation plutôt que d'une protection totale...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.