Une faille zero-day contourne les protections BitLocker par défaut sur Windows 11

Une faille critique contourne BitLocker sur Windows 11 en quelques secondes

Une faille zero-day, baptisée YellowKey, circule actuellement en ligne. Elle permet à toute personne disposant d’un accès physique à un système sous Windows 11 de contourner les protections BitLocker par défaut et d’accéder intégralement à un disque chiffré en quelques secondes seulement.

Cette vulnérabilité, révélée cette semaine par un chercheur sous le pseudonyme Nightmare-Eclipse, cible spécifiquement les configurations standard de BitLocker, l’outil de chiffrement de volume complet de Microsoft. Conçu pour rendre les données inaccessibles sans la clé de déchiffrement, BitLocker repose sur un module de plateforme sécurisée (TPM) pour stocker cette clé. Il est obligatoire pour de nombreuses organisations, y compris celles travaillant avec des gouvernements.

Le fonctionnement de l’exploit YellowKey

L’exploit YellowKey exploite un dossier personnalisé nommé FsTx, associé à un fichier système appelé fstx.dll. Bien que la documentation en ligne sur ce dossier soit rare, il semble lié à la fonctionnalité Transactional NTFS de Microsoft. Cette technologie permet aux développeurs de gérer des opérations de fichiers en transactions avec une « atomicité transactionnelle », garantissant que les modifications sont soit appliquées intégralement, soit annulées en cas d’échec.

En manipulant ce mécanisme, l’exploit YellowKey parvient à contourner les protections BitLocker sans nécessiter de connaissances techniques avancées. Une fois le système compromis, l’attaquant peut accéder librement aux données du disque chiffré, même sans connaître le mot de passe ou la clé de récupération.

Risques et recommandations

Cette faille représente une menace majeure pour les entreprises et les utilisateurs individuels utilisant Windows 11 avec BitLocker activé par défaut. Bien que Microsoft n’ait pas encore publié de correctif, les experts en cybersécurité recommandent les mesures suivantes :

• Désactiver l’accès physique non autorisé aux postes de travail, notamment dans les environnements sensibles.
• Mettre à jour les politiques de sécurité pour inclure des restrictions sur l’utilisation de périphériques USB ou d’autres supports amovibles.
• Surveiller les journaux d’événements pour détecter toute tentative suspecte d’accès au système.
• Envisager des alternatives de chiffrement en attendant un correctif officiel, si la situation le justifie.

Pour l’instant, la faille YellowKey reste un outil puissant entre les mains des cybercriminels. Les utilisateurs sont invités à rester vigilants et à suivre les annonces de Microsoft concernant une éventuelle correction.