Deux exploits publiés la même semaine permettent de lire un disque chiffré par BitLocker avec un accès physique et une clé USB. L'un émane d'un chercheur indépendant, l'autre d'une société française. Microsoft n'a pas encore corrigé l'ensemble des failles.

Le chiffrement par défaut est une bonne idée. Encore faut-il que le cadenas tienne. © Shutterstock
Le chiffrement par défaut est une bonne idée. Encore faut-il que le cadenas tienne. © Shutterstock

Depuis l'automne 2024, Windows 11 24H2 active BitLocker par défaut à chaque installation propre. Le chiffrement intégral du disque est censé protéger les données en cas de vol ou de perte du PC. En théorie, même un attaquant qui démonte le disque ne peut pas lire son contenu sans la clé de récupération. En théorie. Parce qu'entre le 12 et le 13 mai 2026, deux affaires distinctes sont venues rappeler que la théorie et la pratique ne font pas toujours bon ménage.

BitdefenderBitdefender
8.4/10

Offre partenaire

La solution tout-en-un pour protéger votre entreprise

Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !

Protégez votre entreprise

Offre partenaire

Deux failles, deux chercheurs, un même constat

La première affaire porte un nom de code : YellowKey. Son auteur, un chercheur indépendant connu sous le pseudo Chaotic Eclipse (Nightmare-Eclipse sur GitHub), a publié un proof of concept les 12 et 13 mai. Il suffit de copier un dossier spécifique (\System Volume Information\FsTx) sur une clé USB, de redémarrer la machine vers l'environnement de récupération Windows (WinRE) avec la clé branchée, et de maintenir la touche CTRL enfoncée pendant le boot. Un shell de commande s'ouvre, avec le volume BitLocker déchiffré et accessible.

Will Dormann, ancien analyste du CERT/CC et chercheur chez Tharros Labs, a reproduit l'exploit publiquement sur Mastodon. Son constat va plus loin que le simple bypass : les « bits » NTFS transactionnels stockés sur la clé USB sont capables de modifier le contenu d'un autre volume pendant le replay. Kevin Beaumont, figure respectée de la communauté cyber, a lui aussi confirmé la validité du PoC.

Chaotic Eclipse ne s'est pas arrêté là. En parallèle, il a publié GreenPlasma, une élévation de privilèges locale exploitant le composant CTFMON de Windows (le service qui gère la barre de langue et les méthodes de saisie). Le chercheur évoque un comportement qui ressemblerait à une « backdoor », le composant vulnérable n'existant que dans l'image WinRE et nulle part ailleurs dans une installation Windows normale. Le mot est fort (et non démontré), mais il a le mérite de poser la question.

GreenPlasma © Chaotic-Eclipse

La seconde affaire est plus méthodique. La société française Intrinsec (filiale du groupe Orange Cyberdefense, basée à Issy-les-Moulineaux) a publié un PoC baptisé BitUnlocker sur GitHub, documentant l'exploitation de la CVE-2025-48804. La vulnérabilité avait été patchée par Microsoft en juillet 2025, mais l'attaque fonctionne toujours sur les machines qui n'ont pas été réinstallées depuis. La raison : le certificat PCA 2011 de Microsoft, utilisé pour signer les anciens boot managers, reste présent dans la base de données Secure Boot de la quasi-totalité des PC en circulation.

Concrètement, un attaquant avec accès physique remplace le boot manager patché par une version antérieure à juillet 2025 (toujours signée par le certificat PCA 2011, donc acceptée par Secure Boot). Il injecte ensuite une image WinRE modifiée qui lance un shell au lieu de l'assistant de récupération. Le volume BitLocker se déchiffre automatiquement via le TPM, et le tour est joué. Temps d'exécution documenté par Intrinsec : moins de cinq minutes. L'attaque fonctionne par USB ou par PXE (démarrage réseau).

Pas de correctif en vu

La mitigation recommandée par Microsoft, Dormann et Beaumont reste la même : l'activation du TPM+PIN (un code à saisir au démarrage en plus du TPM). Mais Chaotic Eclipse affirme que cette protection ne suffit pas non plus, sans toutefois publier la preuve. Il annonce par ailleurs une « grosse surprise » pour le Patch Tuesday de juin 2026. En attendant, les alternatives existent. Côté français, Cryhod (édité par Prim'X, certifié ANSSI) et ZoneCentral proposent du chiffrement de disque indépendant de BitLocker. StormShield Endpoint Security complète le tableau pour les environnements sensibles.

Microsoft n'a pas communiqué publiquement sur YellowKey au 15 mai. La CVE-2025-48804 est officiellement patchée, mais la révocation massive du certificat PCA 2011 (qui rendrait l'attaque BitUnlocker inopérante) reste, selon les termes de Microsoft, « opérationnellement difficile ». Traduction : des millions de machines devraient être mises à jour manuellement, et personne n'a envie de déclencher une nouvelle vague d'écrans bleus.