Votre PC Windows 11 est-il protégé en cas de vol ? YellowKey prouve que non !
Microsoft aurait-il volontairement intégré un accès caché ?
BitLocker est l’un des boucliers de sécurité les plus importants de Windows 11. Son rôle est de chiffrer le disque d’un PC afin d’empêcher un voleur ou une personne non autorisée d’accéder aux fichiers. Il faut normalement une clé de récupération, un mot de passe ou une méthode d’authentification adaptée.
La faille YellowKey fait voler à éclat cette protection de Microsoft. Un chercheur en sécurité, connu sous les pseudonymes Chaotic Eclipse et Nightmare-Eclipse, a publié un code de démonstration permettant de contourner BitLocker dans certaines conditions. La faille concerne Windows 11 ainsi que Windows Server 2022 et Windows Server 2025. Windows 10 ne serait pas concerné selon les analyses disponibles à ce stade.
Une attaque qui nécessite un accès physique au PC
YellowKey n’est pas une attaque à distance. Un pirate ne peut pas l’utiliser en envoyant un e-mail piégé ou en visitant un site web. L’attaque nécessite un accès physique à la machine. C’est une précision importante car la faille rend vulnérable surtout les PC volés, perdus, confiés à un tiers ou laissés sans surveillance dans un environnement sensible.
La méthode utilise l’environnement de récupération de Windows, connu sous le nom WinRE. Il s’agit du mode disponible en cas de défaillance pour réparer un démarrage défaillant, accéder aux options de récupération ou résoudre certains problèmes système. Le problème vient du comportement de WinRE lorsqu’il traite certains fichiers préparés à l’avance sur un support externe ou sur une partition non chiffrée du système.
Par prudence, nous ne détaillons pas les manipulations permettant de reproduire l’attaque. Le point à retenir est cependant très simple. Dans certains cas, une personne ayant le PC entre les mains peut obtenir un accès à des données normalement protégées par BitLocker, sans disposer de la clé de récupération ce qui est alarmant.
Les PC protégés que par TPM sont les plus exposés
Le risque semble particulièrement important pour les machines où BitLocker repose uniquement sur le TPM, la puce de sécurité intégrée au PC. C’est une configuration courante, car elle permet à Windows de déverrouiller automatiquement le disque au démarrage, sans demander de code à l’utilisateur. Si c’est pratique la démarche se transforme en faiblesse si l’attaque intervient pendant la phase de récupération de Windows.
Plusieurs spécialistes recommandent d’activer une protection supplémentaire, comme un code PIN BitLocker au démarrage, en particulier sur les PC portables professionnels ou les machines contenant des données sensibles. Pour le moment, et c’est une bonne nouvelle, les reproductions indépendantes de cette attaque démontrent que la faille YellowKey n’est pas exploitable avec des systèmes protégés par TPM + PIN. Le chercheur à l’origine de la publication affirme cependant qu’une autre variante pourrait aussi contourner cette configuration, mais cette version n’a pas été publiée ni confirmée.
Microsoft reste étonnamment silencieux
À ce stade, YellowKey reste une faille documentée publiquement par un chercheur et confirmée par plusieurs spécialistes mais elle ne dispose pas encore d’un identifiant CVE officiel. En clair Microsoft n’a pas reconnu officiellement son existence et aucun correctif n’est pour le moment disponible au moment de la rédaction de cette actualité.
Si la sécurité BitLocker reste une protection efficace, l’existence de YellowKey est une faille importante voir une porte dérobée.
Pourquoi certains parlent de « porte dérobée » ?
Le chercheur à l’origine de YellowKey décrit cette défaillance comme une possible porte dérobée. Cette formulation est très forte et repose sur le fait que le composant problématique se trouverait dans l’environnement de récupération de Windows et non dans le système principal.
Il faut toutefois rester prudent. Il n’existe actuellement aucune preuve crédible démontrant qu’il s’agit d’une porte dérobée intentionnelle. À ce stade, nous pouvons parler que d’une vulnérabilité grave dans le fonctionnement de WinRE et de BitLocker. Nous ne pouvons pas affirmer que Microsoft aurait volontairement intégré un accès caché.
Que peuvent faire les utilisateurs de Windows 11 ?
Pour un particulier, le risque principal concerne le vol ou la perte d’un ordinateur portable. Pour une entreprise, le sujet est plus sérieux, car des PC chiffrés avec BitLocker sont souvent considérés comme protégés même en cas de disparition physique.
Il faut garder Windows 11 à jour, surveiller les prochains correctifs Microsoft, éviter de laisser un ordinateur sensible sans surveillance et renforcer la protection BitLocker sur les machines importantes. L’ajout d’un code PIN au démarrage, le verrouillage du BIOS ou de l’UEFI par mot de passe, la limitation du démarrage sur périphérique USB et la protection de l’environnement de récupération sont des boucliers supplémentaires indispensables.
YellowKey n’est pas arrivée seule. Le même chercheur a également révélé la vulnérabilité GreenPlasma. Il s’agit d’une faille d’élévation de privilèges liée à CTFMON, un composant de Windows. Elle ne vise pas directement BitLocker, mais elle pourrait permettre à un utilisateur local d’obtenir davantage de privilèges sur une machine compromise.
