Un chercheur en sécurité connu sous le pseudonyme Chaotic Eclipse a publié un exploit zero-day nommé YellowKey, ciblant BitLocker, le système de chiffrement intégré à Windows. La faille permet d’accéder intégralement à un disque protégé sans fournir le moindre mot de passe ni clé de récupération.
Cette divulgation intervient dans un contexte tendu. Le même chercheur avait déjà publié deux autres exploits, BlueHammer et RedSun, après que ses rapports de divulgation responsable auraient été ignorés par les équipes de sécurité de Microsoft.
A lire aussi
- Yarbo : le même mot de passe root sur toutes ses tondeuses connectées à 5 000 €
- Microsoft tranche : 16 Go de RAM ne suffit plus pour jouer sans compromis
Comment fonctionne l’attaque
La procédure est relativement simple. Il suffit de copier un dossier spécifique, nommé « FsTx », dans la section « System Volume Information » d’une clé USB ordinaire, puis de redémarrer le système vers l’environnement de récupération Windows en maintenant la touche Contrôle enfoncée.
Le système redémarre alors sans afficher aucun menu ni demander de confirmation. L’utilisateur se retrouve directement dans une ligne de commande avec des privilèges élevés et un accès complet au contenu du disque, pourtant chiffré par BitLocker.
Tom’s Hardware indique avoir reproduit l’attaque avec succès. L’un des éléments les plus préoccupants est que les fichiers déposés sur la clé USB disparaissent automatiquement après utilisation, un comportement caractéristique de ce que l’on associe généralement à une porte dérobée intentionnelle.
Une portée large et des configurations vulnérables
BitLocker est activé par défaut dans Windows 11 et protège des millions de machines à travers le monde, dans des environnements personnels, professionnels et gouvernementaux. L’exploit fonctionnerait également sur Windows Server 2022 et 2025, mais pas sur Windows 10.
Chaotic Eclipse précise par ailleurs qu’une configuration combinant TPM et code PIN ne constitue pas une protection suffisante. Il affirme disposer d’une variante de l’exploit adaptée à ce scénario, sans en avoir publié de preuve de concept pour le moment.
La dépendance au TPM (Trusted Platform Module) pose ici une question de fond. Microsoft avait rendu ce composant obligatoire pour installer Windows 11, en arguant de gains en matière de sécurité. Si BitLocker peut être contourné malgré la présence d’un TPM, la pertinence de cette exigence matérielle devient discutable.
Un second exploit et toujours pas de réponse officielle
Chaotic Eclipse a publié simultanément un second exploit, baptisé GreenPlasma. Celui-ci viserait à obtenir des privilèges système en manipulant le processus CTFMon pour injecter un objet mémoire partagé dans des zones normalement inaccessibles.
GreenPlasma ne dispose pas encore d’une preuve de concept complète, mais l’auteur en décrit le mécanisme avec précision. En environnement serveur, un tel accès permettrait à n’importe quel utilisateur ordinaire de prendre le contrôle de l’ensemble du système et des données qu’il héberge.
Au moment de la publication de l’article de Tom’s Hardware, Microsoft n’avait formulé aucune réponse officielle concernant YellowKey ni GreenPlasma. BlueHammer avait été corrigé, et RedSun aurait fait l’objet d’un correctif silencieux, sans communication publique de la part de l’éditeur.
Dans ce contexte, la fiabilité de BitLocker comme solution de chiffrement est directement remise en cause. Les entreprises et administrations qui s’appuient sur cet outil pour protéger des données sensibles n’ont actuellement aucun correctif disponible.
Source : Tom’s Hardware
