Microsoft a publié des mesures d’atténuation officielles à propos de la faille de sécurité zero-day surnommée YellowKey. Cette vulnérabilité, désormais suivie avec la référence CVE-2026-45585, permet à un attaquant disposant d’un accès physique à une machine de contourner le chiffrement BitLocker.
Il y a quelques jours, le chercheur en sécurité Nightmare-Eclipse a divulgué une nouvelle série de failles zero-day Windows. Parmi elles, la vulnérabilité YellowKey permettant de contourner le mécanisme de chiffrement BitLocker. Désormais, n’importe qui peut exploiter cette vulnérabilité puisqu’un code d’exploitation a été publié sur GitHub. Enfin, il faut tout de même disposer d’un accès physique à la machine cible, et comme nous le verrons dans la suite de cet article, ceci dépend aussi de la façon dont BitLocker a été configuré.
CVE-2026-45585 : Microsoft est en colère
Cette faille de sécurité est désormais associée à la référence CVE-2026-45585 et à un score CVSS de 6.8 sur 10. Ce score peut sembler faible à première vue parce que la vulnérabilité est facile à exploiter. C’est probablement lié au fait qu’il est nécessaire de disposer d’un accès physique à la machine.
En effet, cette méthode d’attaque consiste à placer des fichiers “FsTx” modifiés sur une clé USB ou une partition EFI. Ensuite, il suffit de brancher ce support sur l’ordinateur cible (où BitLocker est activé), de redémarrer la machine pour accéder à l’environnement de récupération de Windows (WinRE), et de maintenir la touche CTRL enfoncée pour afficher une invite de commande avec des privilèges élevés.
Dans son bulletin de sécurité, la firme de Redmond a déclaré : “Microsoft est conscient d’une vulnérabilité de contournement des fonctionnalités de sécurité dans Windows, désignée publiquement sous le nom de YellowKey”. Surtout, Microsoft n’a pas caché son mécontentement face aux agissements du chercheur Nightmare-Eclipse : “Le proof of concept pour cette vulnérabilité a été rendu public, violant les bonnes pratiques de divulgation coordonnée des vulnérabilités.” – Le bras de fer continue entre les deux parties.
Microsoft et Nightmare-Eclipse sont au moins d’accord sur un point : les systèmes affectés par cette vulnérabilité. Windows 10 est bien épargné, contrairement à ces versions :
Windows 11 version 26H1 (x64)
Windows 11 version 24H2 (x64)
Windows 11 version 25H2 (x64)
Windows Server 2025 (y compris la version Core)
Les mesures d’atténuation recommandées par Microsoft
Pour faire face à cette menace en l’absence de correctif immédiat, Microsoft préconise une manipulation technique à effectuer manuellement sur chaque machine. Ceci peut avoir du sens sur les postes sensibles, en particulier pour les nomades.
Cette manipulation consiste à modifier l’image WinRE afin d’empêcher l’exécution automatique du composant vulnérable. Voici les six étapes à suivre depuis une invite de commandes exécutée en tant qu’administrateur.
Étape 1 : montez l’image WinRE sur l’appareil
Créez un dossier qui servira de point de montage (par exemple c:\mount) et chargez-y l’image WinRE :
mkdir C:\mount reagentc /mountre /path C:\mount
Étape 2 : montez la ruche de registre système de l’image WinRE
Chargez le registre de l’image pour pouvoir le modifier :
reg load HKLM\WinREHive C:\mount\Windows\System32\config\SYSTEM
Étape 3 : modifiez la valeur BootExecute
Dans la ruche contenant le registre monté, localisez la valeur BootExecute sous l’entrée suivante : HKLM\WinREHive\ControlSet001\Control\Session Manager.
Modifiez cette valeur de type REG_MULTI_SZ dans Session Manager en procédant à la suppression de l’entrée autofstx.exe.
Étape 4 : enregistrez et déchargez la ruche de registre
Une fois la modification effectuée, libérez la ruche :
reg unload HKLM\WinREHive
Étape 5 : démontez l’image WinRE mise à jour
Appliquez les changements et fermez l’image :
reagentc /unmountre /path C:\mount /commit
Étape 6 : rétablir la relation de confiance de BitLocker pour votre WinRE
Réinitialisez le service pour appliquer définitivement la protection sur l’image WinRE de votre machine :
reagentc /disable reagentc /enable
Un script Batch prêt à l’emploi et qui automatise l’ensemble de ces actions a également été partagé par Jernej Simončič. Voici le code qu’il propose :
@echo off
setlocal enabledelayedexpansion
net.exe session 1>nul 2>&1 || (
powershell -command “Start-Process -FilePath ‘%~dpf0’ -Verb ‘runas'”
exit /b
)
set MP=%SYSTEMDRIVE%\WinREMount
mkdir %MP%
echo Mounting WinRE partition, this can take a while…
reagentc /mountre /path %MP%
reg load HKLM\WinRESys %MP%\Windows\System32\config\SYSTEM
set REG=HKLM\WinRESys\ControlSet001\Control\Session Manager
for /F “usebackq tokens=2,* skip=2” %%A IN (`reg query “%REG%” /v BootExecute`) DO set OLDVAL=%%B
if “%OLDVAL%”==”” set OLDVAL=x
if “%OLDVAL%”==”%OLDVAL:autofstx.exe=X%” (
echo autofstx.exe not present in WinRE
) else (
if “%OLDVAL%”==”%OLDVAL:\0=X%” (
echo Setting empty BootExecute
reg add “%REG%” /v BootExecute /f /t REG_MULTI_SZ /d “”
) else (
set NEWVAL=%OLDVAL:autofstx.exe=%
set NEWVAL=!NEWVAL:\0\0=\0!
if “!NEWVAL:~0,2!”==”\0” set NEWVAL=!NEWVAL:~2!
echo Setting BootExecute to !NEWVAL!
reg add “%REG%” /v BootExecute /f /t REG_MULTI_SZ /d “!NEWVAL!”
)
)
reg unload HKLM\WinRESys
echo Unmounting WinRE partition, this can take a while, too…
reagentc /unmountre /path %MP% /commit
rd %MP%
echo Resetting WinRE BitLocker trust…
reagentc /disable
reagentc /enable
pause
Une autre recommandation a été émise, notamment par le chercheur en sécurité Will Dormann : passer d’un mode TPM à un mode TPM + code PIN pour le déverrouillage de BitLocker. Ceci signifie qu’il y a un code PIN à saisir à chaque démarrage de l’ordinateur, alors qu’avec le mode TPM seul, c’est la puce de sécurité qui gère cela toute seule.
En réalité, l’utilisation d’un code PIN avec BitLocker permet de bloquer l’attaque YellowKey. C’est une mesure d’atténuation viable, mais contraignante au quotidien pour l’utilisateur. Si vous configurez BitLocker sur de nouvelles machines, vous pouvez ajuster votre stratégie de groupe ou votre stratégie Intune pour exiger le code PIN.
Enfin, sachez que Microsoft n’a pas spécifié quand sera disponible le correctif de sécurité. La prochaine échéance, c’est le Patch Tuesday de juin 2026 prévu pour le mardi 9 juin.
Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.