Le géant de Redmond se retrouve une fois de plus à réagir dans la précipitation. Un chercheur en sécurité, connu sous le pseudonyme Chaotic Eclipse, a publiquement divulgué l’exploit, court-circuitant le processus de divulgation coordonnée habituel. La faille, d’un score CVSS de 6.8, touche plusieurs versions de Windows 11 et Windows Server 2025. La cause ? Une confiance mal placée dans le comportement de l’environnement de récupération de Windows (WinRE), permettant à un attaquant de s’octroyer un accès total au volume protégé avant même le démarrage du système.
Comment une simple clé USB peut-elle déjouer le chiffrement BitLocker ?
L’attaque ne requiert ni mot de passe, ni logiciel complexe. Le mécanisme de cette faille de sécurité repose sur l’injection de fichiers malveillants, baptisés ‘FsTx’, sur une clé USB ou directement dans la partition de démarrage EFI. En redémarrant la machine dans l’environnement de récupération Windows et en maintenant une touche enfoncée, l’attaquant obtient une console de commande avec des privilèges illimités. Le chiffrement saute et les données sont exposées.
Le véritable coupable est un utilitaire nommé autofstx.exe, qui s’exécute automatiquement au lancement de WinRE. C’est son comportement qui est détourné pour supprimer un fichier de configuration crucial, ouvrant ainsi une brèche béante. Le fait que cette manipulation se déroule avant le chargement complet de l’OS rend la plupart des outils de sécurité traditionnels totalement aveugles. Il s’agit d’un angle mort parfait pour un attaquant patient.
Quelles sont les solutions proposées par Microsoft en l’absence de patch ?
Puisqu’une véritable rustine logicielle se fait attendre, Microsoft a détaillé deux stratégies de contournement. La première est technique et s’adresse principalement aux administrateurs système. Elle consiste à modifier manuellement l’image de récupération Windows sur chaque machine pour empêcher l’exécution automatique du programme fautif. Une opération qui, bien que documentée, n’est pas à la portée du premier venu et difficile à déployer à grande échelle.
La seconde solution est toutefois bien plus accessible. Microsoft recommande fortement d’abandonner la configuration par défaut de BitLocker « TPM-only » (Trusted Platform Module, la puce de sécurité de votre carte mère) pour passer à une authentification « TPM+PIN« . L’ajout de ce simple code PIN, demandé au démarrage, suffit à bloquer net l’attaque YellowKey, car le disque reste chiffré tant que le bon code n’est pas fourni. Une protection simple pour un problème complexe de chiffrement BitLocker.
Cette faille physique est-elle vraiment une menace sérieuse ?
La nécessité d’un accès physique à la machine relativise la menace pour l’utilisateur lambda. Votre ordinateur de bureau, bien au chaud chez vous, a peu de chances d’être visé. Cependant, le scénario change radicalement pour le monde de l’entreprise et les professionnels nomades. Un ordinateur portable volé dans un train, une machine laissée sans surveillance dans un bureau… Voilà les cibles parfaites. Le vol de données devient trivial.
BitLocker a été conçu précisément pour protéger les données dans ces cas de figure. Voir une telle protection contournée aussi directement est inquiétant. Cette faille est un rappel cinglant que la sécurité physique n’est pas une option, c’est le premier rempart. Une protection logicielle, aussi robuste soit-elle, ne peut rien si on laisse la porte de la maison grande ouverte. En attendant une mise à jour de sécurité officielle, l’activation du code PIN s’impose comme une évidence.
Foire Aux Questions (FAQ)
Qu’est-ce qu’une faille « zero-day » ?
Une faille « zero-day » est une vulnérabilité logicielle qui a été découverte et potentiellement exploitée par des attaquants avant que l’éditeur du logiciel n’ait eu le temps de développer et de publier un correctif. Le « jour zéro » est celui où la faille est rendue publique, laissant les utilisateurs sans défense le temps qu’un patch soit disponible.
Suis-je concerné si j’utilise une version plus ancienne de Windows ?
Non. Selon les informations fournies par Microsoft, la vulnérabilité YellowKey (CVE-2026-45585) impacte spécifiquement Windows 11 (versions 24H2, 25H2, 26H1), Windows Server 2025 et Windows Server 2025 (Server Core). Les versions antérieures comme Windows 10 ne sont pas listées comme étant affectées.
Activer un PIN au démarrage va-t-il ralentir mon ordinateur ?
L’impact sur la vitesse est négligeable. L’ajout d’un PIN ne fait que retarder le déchiffrement du disque de quelques secondes, le temps pour vous de saisir le code. Il n’affecte en rien les performances de votre machine une fois le système d’exploitation démarré. C’est un léger inconvénient pour un gain de sécurité majeur.