Microsoft a publié des mesures d’atténuation officielles à propos de la faille de sécurité zero-day surnommée YellowKey. Cette vulnérabilité, désormais suivie avec la référence CVE-2026-45585, permet à un attaquant disposant d’un accès physique à une machine de contourner le chiffrement BitLocker.

Il y a quelques jours, le chercheur en sécurité Nightmare-Eclipse a divulgué une nouvelle série de failles zero-day Windows. Parmi elles, la vulnérabilité YellowKey permettant de contourner le mécanisme de chiffrement BitLocker. Désormais, n’importe qui peut exploiter cette vulnérabilité puisqu’un code d’exploitation a été publié sur GitHub. Enfin, il faut tout de même disposer d’un accès physique à la machine cible, et comme nous le verrons dans la suite de cet article, ceci dépend aussi de la façon dont BitLocker a été configuré.

CVE-2026-45585 : Microsoft est en colère

Cette faille de sécurité est désormais associée à la référence CVE-2026-45585 et à un score CVSS de 6.8 sur 10. Ce score peut sembler faible à première vue parce que la vulnérabilité est facile à exploiter. C’est probablement lié au fait qu’il est nécessaire de disposer d’un accès physique à la machine.

En effet, cette méthode d’attaque consiste à placer des fichiers “FsTx” modifiés sur une clé USB ou une partition EFI. Ensuite, il suffit de brancher ce support sur l’ordinateur cible (où BitLocker est activé), de redémarrer la machine pour accéder à l’environnement de récupération de Windows (WinRE), et de maintenir la touche CTRL enfoncée pour afficher une invite de commande avec des privilèges élevés.

Dans son bulletin de sécurité, la firme de Redmond a déclaré : “Microsoft est conscient d’une vulnérabilité de contournement des fonctionnalités de sécurité dans Windows, désignée publiquement sous le nom de YellowKey”. Surtout, Microsoft n’a pas caché son mécontentement face aux agissements du chercheur Nightmare-Eclipse : “Le proof of concept pour cette vulnérabilité a été rendu public, violant les bonnes pratiques de divulgation coordonnée des vulnérabilités.” – Le bras de fer continue entre les deux parties.

Microsoft et Nightmare-Eclipse sont au moins d’accord sur un point : les systèmes affectés par cette vulnérabilité. Windows 10 est bien épargné, contrairement à ces versions :

• Windows 11 version 26H1 (x64)
• Windows 11 version 24H2 (x64)
• Windows 11 version 25H2 (x64)
• Windows Server 2025 (y compris la version Core)

Les mesures d’atténuation recommandées par Microsoft

Pour faire face à cette menace en l’absence de correctif immédiat, Microsoft préconise une manipulation technique à effectuer manuellement sur chaque machine. Ceci peut avoir du sens sur les postes sensibles, en particulier pour les nomades.

Cette manipulation consiste à modifier l’image WinRE afin d’empêcher l’exécution automatique du composant vulnérable. Voici les six étapes à suivre depuis une invite de commandes exécutée en tant qu’administrateur.

• Étape 1 : montez l’image WinRE sur l’appareil

Créez un dossier qui servira de point de montage (par exemple ) et chargez-y l’image WinRE :

• Étape 2 : montez la ruche de registre système de l’image WinRE

Chargez le registre de l’image pour pouvoir le modifier :

• Étape 3 : modifiez la valeur BootExecute

Dans la ruche contenant le registre monté, localisez la valeur sous l’entrée suivante :

Modifiez cette valeur de type dans en procédant à la suppression de l’entrée .

• Étape 4 : enregistrez et déchargez la ruche de registre

Une fois la modification effectuée, libérez la ruche :

• Étape 5 : démontez l’image WinRE mise à jour

Appliquez les changements et fermez l’image :

• Étape 6 : rétablir la relation de confiance de BitLocker pour votre WinRE

Réinitialisez le service pour appliquer définitivement la protection sur l’image WinRE de votre machine :

Un script Batch prêt à l’emploi et qui automatise l’ensemble de ces actions a également été partagé par Jernej Simončič. Voici le code qu’il propose :

Une autre recommandation a été émise, notamment par le chercheur en sécurité Will Dormann : passer d’un mode TPM à un mode TPM + code PIN pour le déverrouillage de BitLocker. Ceci signifie qu’il y a un code PIN à saisir à chaque démarrage de l’ordinateur, alors qu’avec le mode TPM seul, c’est la puce de sécurité qui gère cela toute seule.

En réalité, l’utilisation d’un code PIN avec BitLocker permet de bloquer l’attaque YellowKey. C’est une mesure d’atténuation viable, mais contraignante au quotidien pour l’utilisateur. Si vous configurez BitLocker sur de nouvelles machines, vous pouvez ajuster votre stratégie de groupe ou votre stratégie Intune pour exiger le code PIN.

Enfin, sachez que Microsoft n’a pas spécifié quand sera disponible le correctif de sécurité. La prochaine échéance, c’est le Patch Tuesday de juin 2026 prévu pour le mardi 9 juin.