YellowKey, c’est le nom de la nouvelle faille zero-day Windows divulguée ces dernières heures. Elle permet de contourner la protection BitLocker de Windows de façon simple, tandis qu’une autre faille surnommée GreenPlasma a aussi été dévoilée. Voici l’essentiel à savoir.

Vous vous souvenez de Chaotic Eclipse (Nightmare Eclipse), ce chercheur mécontent du traitement reçu de la part de Microsoft ? Et bien, sachez que c’est lui qui a divulgué ces deux nouvelles failles de sécurité : YellowKey et GreenPlasma. Pour rappel, il a déjà divulgué plusieurs exploits dans Microsoft Defender : BlueHammer (CVE-2026-33825), RedSun (pas d’identifiant CVE à ce jour) et UnDefend. Il a donc récidivé.

Le contournement BitLocker avec YellowKey

YellowKey est sans doute la vulnérabilité la plus préoccupante dévoilée par ce chercheur. En effet, cette faille de sécurité agit comme une véritable porte dérobée au sein de l’environnement de récupération Windows (WinRE), normalement utilisé pour réparer les problèmes liés au démarrage.

Le chercheur à l’origine de la divulgation a documenté la marche à suivre pour reproduire l’exploitation de la faille YellowKey. Voici comment l’attaque se déroule :

• Préparation de la charge utile : il faut copier un dossier nommé tel quel vers le chemin . Le support doit utiliser un système de fichiers compatible avec Windows (le NTFS est préférable, bien que le FAT32 ou l’exFAT devraient également fonctionner).
• Connexion au système : branchez la clé USB préparée sur l’ordinateur Windows cible dont la protection BitLocker est activée.
• Amorce de WinRE : redémarrez la machine vers l’environnement de récupération Windows. Pour rappel, vous pouvez le faire en maintenant la touche SHIFT (MAJ) enfoncée tout en cliquant sur le bouton de redémarrage avec la souris.
• Manipulation au démarrage : dès l’instant où vous avez cliqué sur le bouton de redémarrage, relâchez SHIFT et maintenez immédiatement la touche CTRL enfoncée. Vous ne devez pas relâcher cette touche durant le processus.
• La magie opère : si toutes les étapes ont été exécutées correctement, un terminal (shell) va s’ouvrir.

Une fois le shell ouvert, l’attaquant obtient un accès non restreint au volume normalement chiffré et protégé par BitLocker. Autrement dit, cet exploit permet bien de contourner le chiffrement BitLocker.

Le chercheur en sécurité Kevin Beaumont a confirmé que l’exploit YellowKey était fonctionnel. A juste titre, il donne également deux pistes pour vous protéger : ajouter un code PIN à BitLocker pour le démarrage et un mot de passe au BIOS. Ce second point est important puisque si vous bloquez le démarrage sur USB, vous bloquez cet exploit.

Toutefois, voici ce que précise Nightmare-Eclipse : “Ce qui est drôle, c’est que cette faille est extrêmement pratique : pas besoin de brancher un périphérique de stockage externe, il suffit de retirer le disque, de copier les fichiers de la partition EFI, de le remettre en place, et tout fonctionne toujours. C’est dire à quel point c’est grave.”

À l’heure actuelle, le PoC public ne fonctionne que sur la machine d’origine (où le TPM stocke les clés) et sur des configurations basées uniquement sur le composant TPM, qui déverrouillent le disque automatiquement au démarrage sans exiger d’interaction avec l’utilisateur. Ceci justifie la recommandation de Kevin Beaumont avec le code PIN BitLocker.

Néanmoins, dans son article de blog, Nightmare-Eclipse indique que le code PIN ne serait pas suffisant : “Deuxièmement, non, la combinaison TPM + code PIN ne résout pas le problème : la faille reste exploitable quoi qu’il arrive. Je me suis posé la question suivante : est-ce que cela fonctionne toujours dans un environnement TPM + code PIN ? Oui, c’est le cas, mais je ne publie pas le PoC ; je pense que ce qui circule déjà est bien assez grave comme ça.”

Enfin, sachez que cette vulnérabilité affecte Windows 11 et Windows Server 2022/2025. Windows 10 n’est pas affecté.

L’élévation de privilèges via GreenPlasma

La seconde faille, baptisée GreenPlasma, correspond à une élévation de privilèges liée à la création de sections arbitraires dans Windows CTFMON. Un utilisateur sans privilèges particuliers a ainsi la possibilité de créer des objets de section mémoire directement dans des répertoires accessibles en écriture par le compte SYSTEM.

Bien que le PoC divulgué par Nightmare-Eclipse soit volontairement incomplet pour obtenir un accès SYSTEM, le chercheur s’amuse à préciser : “Si vous êtes assez intelligent, vous pouvez transformer cela en une élévation complète des privilèges.”

Enfin, il précise que cet exploit fonctionne sur Windows 11 et Windows Server 2022/2025, tout en affirmant qu’il n’est pas certain qu’il soit opérationnel sur Windows 10.

Pour terminer cet article, rappelons les motivations de ce chercheur en sécurité. Une profonde insatisfaction face à la gestion des rapports de bugs de sécurité qu’il soumet aux équipes de Microsoft. Par exemple, il dénonce le fait que la firme de Redmond ait corrigé silencieusement la vulnérabilité RedSun, sans jamais lui attribuer d’identifiant, contrairement à BlueHammer.

Le problème, c’est qu’à force de faire des divulgations de cette façon, il risque de causer du tort à beaucoup de personnes. En effet, si Microsoft ne fait pas le nécessaire, on risque de se retrouver en difficulté quand les cybercriminels vont exploiter ces vulnérabilités…. C’est déjà le cas avec celles divulguées dans Defender.

J’ai bien peur que ce ne soit pas terminé, Nightmare-Eclipse a promis une grande surprise pour le Patch Tuesday du mois prochain…