YellowKey & BitUnlocker : Analyse de la vulnérabilité de contournement de BitLocker sous Windows qui ressemble à une porte dérobée
YellowKey et BitUnlocker : Deux découvertes indépendantes de la même classe de vulnérabilité — la frontière de confiance du déverrouillage automatique de WinRE est exploitée pour contourner le chiffrement intégral de BitLocker. L’une a été trouvée par un chercheur externe qui la qualifie de porte dérobée ; l’autre a été trouvée par la propre équipe STORM de Microsoft et corrigée sous la forme de quatre CVE.
Les Deux Faces d’une Même Pièce
En moins d’un an, deux équipes abordant le problème depuis des directions complètement différentes sont arrivées à la même conclusion terrifiante : la protection par défaut TPM uniquement de BitLocker peut être contournée silencieusement via l’environnement de récupération Windows (WinRE), donnant à toute personne ayant un accès physique un accès complet en ligne de commande à un lecteur « chiffré ».
| Aspect | BitUnlocker (Microsoft STORM) | YellowKey (Nightmare-Eclipse) |
|---|---|---|
| Découvreur | Équipe STORM de Microsoft | Chercheur indépendant Nightmare-Eclipse |
| Divulgué | Black Hat USA 2025 / DEF CON 33 (août 2025) | GitHub / divulgation publique (mai 2026) |
| Corrigé | Patch Tuesday de juillet 2025 (4 CVE) | Aucun correctif à ce jour |
| Vecteur d’attaque | Manipulation BCD + PBR en plusieurs étapes | Une seule clé USB, touche CTRL maintenue au démarrage de WinRE |
| Versions affectées | Windows 10/11 + Server | Windows 11 + Server 2022/2025 uniquement |
Ce qui est troublant : aucune des deux ne nécessite de casser l’AES. Aucune ne nécessite de forcer la clé de récupération. Les deux marchent simplement à travers une porte laissée ouverte.
BitUnlocker : Microsoft Trouve Ses Propres Failles
L’équipe STORM de Microsoft a présenté BitUnlocker au Black Hat USA 2025 et au DEF CON 33. Elle a découvert quatre vecteurs d’attaque distincts dans WinRE, tous corrigés lors du Patch Tuesday de juillet 2025 :
CVE-2025-48804 : Injection de Fichier SDI
Le processus de démarrage de WinRE utilise un fichier Boot.sdi (Image de Déploiement Système). Les chercheurs ont découvert qu’ils pouvaient ajouter une image Windows malveillante au Boot.sdi légitime. Comme WinRE ne valide pas correctement le WIM après l’en-tête SDI, l’image non fiable démarre comme si elle était fiable, héritant des privilèges de déverrouillage automatique de WinRE pour les volumes BitLocker.
CVE-2025-48800 : Abus de tttracer.exe
L’opération planifiée d’analyse hors ligne de WinRE exécute des analyses antivirus sur les volumes chiffrés. L’utilitaire tttracer.exe (débogueur de voyage dans le temps), un binaire légitime signé par Microsoft, peut être utilisé pour exécuter cmd.exe par procuration sans déclencher le mécanisme de verrouillage de BitLocker. L’invite de commande hérite des autorisations spéciales de WinRE pour accéder aux volumes chiffrés.
CVE-2025-48003 : Raccourci Clavier de SetupPlatform.exe
SetupPlatform.exe — un composant qui reste dans le registre des applications de confiance après les mises à niveau de Windows — enregistre un raccourci clavier Shift+F10 qui lance une invite de commande. Crucialement, cela ne déclenche pas un re-verrouillage des volumes BitLocker. Un attaquant qui peut influencer la configuration ReAgent.xml de WinRE peut exploiter cela pour un accès persistant.
CVE-2025-48818 : Déchiffrement Complet via PBR
Le joyau de la couronne. En manipulant les magasins de données de configuration de démarrage (BCD), les attaquants peuvent rediriger le flux de réinitialisation par bouton (PBR) de WinRE. Le fichier ResetSession.xml inclut une directive DecryptVolume. En plaçant un magasin BCD malveillant sur le volume de récupération non protégé, l’attaquant trompe PBR pour qu’il déchiffre complètement le volume du système d’exploitation protégé par BitLocker.
Les quatre CVE ont reçu un score CVSS v3.1 de 6,8 (Moyen) — en raison de la nécessité d’un accès physique. Mais comme tout professionnel de la sécurité le sait, « accès physique requis » est une piètre consolation lorsqu’un ordinateur portable est volé dans un café.
YellowKey : Celui Qui a Brisé Internet
En mai 2026, le chercheur Nightmare-Eclipse a publié YellowKey sur GitHub avec une description qui est immédiatement devenue virale :
« L’une des découvertes les plus insensées que j’aie jamais faites, ça ressemble presque à une porte dérobée mais qu’en sais-je, peut-être que je suis juste fou. »
L’Exploit en 5 Étapes
- Créez un dossier
FsTxsur une clé USB à l’emplacementUSB:\System Volume Information\FsTx - Branchez la clé USB sur une machine Windows 11 protégée par BitLocker
- Maintenez la touche SHIFT enfoncée et cliquez sur Redémarrer (démarre dans WinRE)
- Au redémarrage du système, relâchez SHIFT et appuyez et maintenez CTRL
- Un shell de commande apparaît avec un accès complet et sans restriction au volume chiffré par BitLocker
C’est tout. Pas de charge utile complexe. Pas de cassage cryptographique. Pas de clé de récupération. Juste une clé USB et le bon timing de pression de touches.
Pourquoi Ça Marche
Le composant responsable de ce comportement existe uniquement dans les images WinRE. Il vérifie un indicateur appelé FailRelock dans un fichier de configuration (RecoverySimulation.ini). Lorsqu’il est défini, après que WinRE déverrouille le lecteur BitLocker pendant le processus de récupération, il ne le verrouille tout simplement jamais.
Le fichier RecoverySimulation.ini sur la clé USB déclenche le « mode test » pour les outils de récupération de WinRE :
[Simulation]
Active=Yes
FailRelock=1Une fois le mode test actif, cmd.exe de WinRE hérite de l’état déverrouillé — et lit et écrit sur le volume chiffré comme si BitLocker n’existait pas.
Nightmare-Eclipse a démontré que cela affecte Windows 11 et Server 2022/2025 mais pas Windows 10, suggérant que le code vulnérable a été introduit dans la version de WinRE livrée avec Windows 11.
Porte Dérobée ou Bug ? Les Preuves
Ce qui rend YellowKey particulièrement inquiétant, c’est le schéma de preuves qui suggère une intentionnalité :
| Observation | Implication |
|---|---|
Le drapeau de débogage FailRelock existe uniquement dans WinRE, pas dans le composant Windows normal portant le même nom | Une installation de test délibérée a été livrée en production |
| Le même nom de binaire existe dans Windows normal sans la fonctionnalité de contournement | Ce n’est pas un résidu de débogage générique — il a été spécifiquement placé dans WinRE |
| Seuls Windows 11+ sont affectés (pas Windows 10) | Le code a été introduit dans la nouvelle image WinRE pour Windows 11 |
| Aucune documentation, aucun outil de configuration, aucune référence publique | Les drapeaux de débogage/test standard sont généralement documentés en interne — celui-ci semble avoir été intentionnellement caché |
The Register a cité des experts en sécurité qui ont déclaré qu’il est « impossible de vérifier » s’il s’agit d’une porte dérobée intentionnelle sur la base des informations disponibles. Mais les preuves circonstancielles sont, au minimum, suffisamment suspectes pour exiger une explication détaillée de Microsoft.
Comparaison : YellowKey vs BitUnlocker
| Dimension | BitUnlocker | YellowKey |
|---|---|---|
| Sophistication technique | Élevée — manipulation BCD, PBR et XML en plusieurs étapes | Faible — simple clé USB + combinaison de touches |
| Temps d’exécution | ~10-30 minutes | ~2 minutes |
| Persistance | Peut déchiffrer le volume en permanence | Accès uniquement par session |
| CVE | CVE-2025-48800, 48003, 48804, 48818 | Aucun CVE assigné |
| État du correctif | Corrigé juillet 2025 | Non corrigé |
| Windows 10 affecté | Oui | Non |
| Suspicion de porte dérobée | Non (divulgation standard de vulnérabilité) | Oui (chercheur affirme intention) |
Les deux sont complémentaires : BitUnlocker démontre que même l’équipe de sécurité de Microsoft a trouvé des problèmes de confiance systémiques dans WinRE, tandis que YellowKey suggère que le problème pourrait être pire que ce que l’on imaginait — peut-être par conception.
Pourquoi Seul le TPM Ne Suffit Pas
La configuration par défaut de BitLocker sur les appareils Windows modernes utilise la protection TPM uniquement. Le TPM valide l’intégrité du démarrage (registres PCR) et libère automatiquement la clé de chiffrement si le système démarre normalement. Cela offre une expérience utilisateur transparente — pas de saisie de mot de passe à chaque démarrage.
Mais cela signifie aussi : quiconque peut démarrer l’appareil peut obtenir la clé.
| Mode de protection | Résistance à YellowKey | Expérience utilisateur |
|---|---|---|
| TPM uniquement | Brisé | Meilleure (pas de mot de passe) |
| TPM + PIN | Résistant | Bonne (PIN au démarrage) |
| TPM + clé USB | Résistant | Mauvaise (nécessite une clé USB) |
| Mot de passe uniquement | Résistant | Mauvaise (mot de passe à chaque démarrage) |
| Clé de récupération | N/A | Utilisation d’urgence uniquement |
L’exploit YellowKey fonctionne parce que le déverrouillage automatique TPM uniquement fait implicitement confiance à WinRE. Lorsque vous ajoutez un PIN, le TPM ne libère pas la clé sans le PIN — même dans WinRE. Cela brise la chaîne d’attaque.
Défense en Profondeur : Stratégies d’Atténuation
Immédiat (Sans Redémarrage)
Spécifiquement pour YellowKey, jusqu’à ce que Microsoft publie un correctif :
- Activer le protecteur TPM + PIN — Exécutez
manage-bde -protectors -add C: -TPMAndPINdepuis une invite de commande élevée - Définir un mot de passe BIOS/UEFI — Empêche la falsification de la sélection du périphérique de démarrage
- Désactiver le démarrage externe — Configurez l’UEFI pour démarrer uniquement depuis le stockage interne
- Désactiver WinRE — (Non recommandé pour la production, mais en dernier recours)
reagentc /disable
Long Terme (Politique Organisationnelle)
| Contrôle | Implémentation |
|---|---|
| Stratégie de groupe BitLocker | Exiger Authentification supplémentaire au démarrage → Configurer le PIN de démarrage TPM : Exiger le PIN de démarrage avec TPM |
| Secure Boot + DBX | Assurez-vous que Secure Boot est activé avec la dernière liste de révocation (dbx) |
| System Guard de Windows Defender | Activez System Guard Secure Launch (protection SMM) |
| Mettre à jour WinRE | Appliquez les dernières mises à jour de la pile de service WinRE (KB5034231 et suivantes) |
| Déverrouillage réseau BitLocker | Pour les postes de travail joints au domaine, utilisez le déverrouillage réseau pour éviter les pièges du TPM uniquement |
Détection
Il n’existe pas de détection fiable basée sur les journaux pour YellowKey, car l’exploit opère entièrement dans WinRE avant le démarrage du système d’exploitation. Cependant :
- Surveillance du comportement pré-démarrage : Les appareils qui démarrent inopinément dans WinRE devraient déclencher une enquête
- Audits d’accès physique : Suivez les appareils qui ont été hors de vue
- Journaux de démarrage USB : Le firmware UEFI peut enregistrer les sélections de périphériques de démarrage
Ce Que Cela Signifie Pour le Modèle de Menace de BitLocker
Le modèle de menace traditionnel pour BitLocker était :
Attaquant avec accès physique : Protégé sauf s’il possède la clé de récupération ou peut forcer TPM + PIN.
Le modèle de menace mis à jour après YellowKey :
Attaquant avec accès physique à Windows 11+ : Compromission complète en ~2 minutes avec une clé USB et une touche maintenue.
C’est un changement de paradigme. Cela signifie :
- BitLocker TPM uniquement sur Windows 11 est effectivement décoratif contre un attaquant physique déterminé
- Le vol d’ordinateur portable équivaut désormais à une violation de données sauf si TPM+PIN ou des protections plus fortes sont activées
- Les déploiements d’entreprise reposant sur la configuration par défaut de BitLocker sont exposés — l’ère de « cocher la case et oublier » est terminée
La partie la plus troublante est l’asymétrie : l’attaquant n’a besoin que d’une clé USB et de deux minutes d’accès physique. Le défenseur doit déployer des changements de politique, former les utilisateurs et s’assurer que chaque appareil a TPM+PIN activé.
Calendrier de Divulgation
| Date | Événement |
|---|---|
| 2024-2025 | L’équipe STORM de Microsoft recherche les surfaces d’attaque de WinRE |
| 2025-07 | Microsoft corrige les CVE de BitUnlocker lors du Patch Tuesday de juillet |
| 2025-08 | STORM présente BitUnlocker au Black Hat USA et au DEF CON 33 |
| 2026-05-12 | Nightmare-Eclipse publie YellowKey sur GitHub |
| 2026-05-13 | The Register confirme YellowKey avec des experts en sécurité |
| 2026-05-13 | Le rétro-ingénierie de la communauté confirme le mécanisme du drapeau de débogage FailRelock |
| 2026-05-14 | Cet article est publié — aucun correctif officiel de Microsoft |
Le Tableau d’Ensemble : Un Schéma d’Échecs de Confiance WinRE
YellowKey n’est pas un incident isolé. En regardant le paysage plus large :
| Vulnérabilité | Année | Composant | Impact |
|---|---|---|---|
| CVE-2024-20666 | 2024 | Secure Boot / BitLocker | Contournement de fonctionnalité de sécurité |
| CVE-2025-48800 | 2025 | WinRE / tttracer | Contournement BitLocker via analyse hors ligne |
| CVE-2025-48003 | 2025 | WinRE / SetupPlatform | Contournement BitLocker via raccourci clavier |
| CVE-2025-48804 | 2025 | WinRE / Boot.sdi | Contournement de la vérification de démarrage |
| CVE-2025-48818 | 2025 | WinRE / PBR | Déchiffrement complet du volume BitLocker |
| YellowKey | 2026 | WinRE / drapeau de débogage FsTx | Contournement BitLocker en une touche |
La surface d’attaque WinRE/WinPE s’est avérée à plusieurs reprises être le maillon le plus faible de la chaîne de BitLocker. La décision architecturale de Microsoft de faire implicitement confiance à WinRE pour le déverrouillage automatique — sans attestation cryptographique de ce que fait WinRE — crée une tension de conception fondamentale : comment permettre la récupération sans permettre l’abus de la récupération ?
Jusqu’à présent, chaque réponse a échoué.
Conclusion
YellowKey et BitUnlocker représentent le même problème fondamental : l’accès privilégié de WinRE aux volumes BitLocker ne peut pas être correctement sécurisé par une politique logicielle seule lorsqu’un attaquant avec accès physique peut manipuler l’environnement de récupération lui-même.
Si vous êtes responsable de la sécurité Windows dans votre organisation :
Auditez votre configuration BitLocker aujourd’hui. Si TPM+PIN n’est pas imposé, supposez que vos données chiffrées sont accessibles à quiconque avec un tournevis et une clé USB.
Formez vos utilisateurs. Un ordinateur portable volé n’est plus seulement une perte matérielle — avec YellowKey, c’est une violation de données garantie si seul le TPM est utilisé.
Surveillez la réponse de Microsoft. Si le Patch Tuesday passe sans aborder YellowKey, la théorie de la « porte dérobée » devient considérablement plus difficile à écarter.
Références
- Dépôt GitHub de YellowKey : https://github.com/Nightmare-Eclipse/YellowKey
- Couverture de The Register : https://www.theregister.com/2026/05/13/disgruntled-researcher-releases-two-more-microsoft-zero-days/
- Blog BitUnlocker de Microsoft : https://techcommunity.microsoft.com/blog/microsoft-security-blog/bitunlocker-leveraging-windows-recovery-to-extract-bitlocker-secrets/4442806
- CVE-2025-48800 (MSRC) : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-48800
- CVE-2025-48003 (MSRC) : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-48003
- CVE-2025-48804 (MSRC) : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-48804
- CVE-2025-48818 (MSRC) : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-48818
- Analyse Saltt Tech : https://www.saltt.tech/insights/bitunlocker-a-deep-technical-analysis-of-a-full-volume-encryption-bypass
Infographie
Figure 1 : Flux de l’exploit YellowKey — insertion USB → démarrage WinRE → CTRL maintenu → shell sans restriction sur volume chiffré