Notebookcheck Logo

Microsoft atténue le contournement de BitLocker par YellowKey, mais aucun correctif n'est encore disponible

Personnage encapuchonné devant une installation multi-écrans menant une cyberattaque.
ⓘ Magnific.com/author/dcstudio
Personnage encapuchonné devant une installation multi-écrans menant une cyberattaque.
Microsoft a publié des mesures d'atténuation pour YellowKey (CVE-2026-45585), un contournement de BitLocker qui permet aux attaquants physiques d'accéder aux disques Windows chiffrés.
Windows Software Security Microsoft Laptop / Notebook Desktop

Microsoft a publié des conseils d'atténuation pour YellowKey, le contournement de BitLocker divulgué publiquement et désormais répertorié comme CVE-2026-45585, après qu'une preuve de concept a été publiée sans divulgation coordonnée. Aucune mise à jour de sécurité complète n'est encore disponible. L'entreprise a confirmé qu'elle travaillait sur un correctif permanent et demande instamment aux administrateurs des versions Windows concernées d'appliquer immédiatement les mesures provisoires.

Ce que fait l'atténuation

L'exploit fonctionne en supprimant winpeshl.ini via Transactional NTFS (TxF)ce qui amène l'environnement de récupération WinRE à lancer un shell non restreint au lieu de charger l'interface de récupération standard. À partir de là, un attaquant disposant d'un accès physique obtient une visibilité totale et non cryptée du contenu du disque, sans avoir besoin d'informations d'identification, d'installation de logiciel ou de connexion réseau.

Les mesures d'atténuation de Microsoft résolvent le problème en désactivant autofstx.exe, l'utilitaire de récupération automatique FsTx, dans l'image WinRE. Les administrateurs doivent monter l'image WinRE sur chaque dispositif concerné, charger la ruche du registre système et supprimer l'entrée autofstx.exe de la valeur BootExecute du gestionnaire de session. Microsoft recommande également de faire passer les périphériques à haut risque du mode TPM-only BitLocker vers le mode TPM+PIN, qui rend l'exploitation physique beaucoup plus difficile.

Il s'agit d'une solution de contournement et non d'un correctif. Microsoft n'a pas confirmé la date d'arrivée d'une mise à jour complète. En attendant, toute machine exécutant une version de Windows affectée, dotée d'un port USB et capable de redémarrer en mode de récupération, constitue une cible viable pour toute personne détenant le code d'exploitation disponible publiquement.

Systèmes concernés et mesures à prendre par les administrateurs

CVE-2026-45585 a un score CVSS de 6,8 et nécessite un accès physique, mais Microsoft estime que l'exploitation est "plus probable" étant donné que la preuve de concept est déjà publique. L'avis de Microsoft concerne Windows 11 24H2, 25H2 et 26H1 sur les systèmes x64, ainsi que Windows Server 2025 et Windows Server 2025 Server Core. Windows 10 ne connaît pas de problèmes en raison de différences dans sa configuration WinRE. Les analyses techniques publiques signalent également que Windows Server 2022 est potentiellement vulnérable dans des conditions de déploiement spécifiques en raison de la même faille dans le chemin de récupération de WinRE, bien que Microsoft ne l'ait pas encore abordée formellement dans son avis.

Le chercheur à l'origine de l'exploit, connu sous le nom de Nightmare-Eclipse, l'a rendu public avant que Microsoft n'ait publié des conseils. Microsoft a qualifié l'incident de violation des pratiques de divulgation coordonnée des vulnérabilités.

Google LogoAdd as a preferred source on Google
Mail Logo

Articles en relation

> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Nouvelles > Archives des nouvelles > Archives des nouvelles 2026 05 > Microsoft atténue le contournement de BitLocker par YellowKey, mais aucun correctif n'est encore disponible
Darryl Linington, 2026-05-21 (Update: 2026-05-21)