Microsoft est confronté à un problème majeur suite à la publication d'une faille zero-day appelée YellowKey. Cet outil, présenté par un chercheur en sécurité utilisant le pseudonyme de Chaotic Eclipse, permet d'ouvrir des lecteurs protégés par BitLocker à l'aide d'une simple clé USB et de quelques fichiers stockés dans un répertoire système caché. Cette affaire est particulièrement médiatisée, non seulement en raison de la vulnérabilité elle-même, mais aussi de la manière dont elle a été divulguée. L'auteur de l'exploit affirme avoir déjà tenté de signaler ces vulnérabilités à Microsoft. Selon lui, certains signalements ont été rejetés ou ignorés, ce qui l'a incité à diffuser publiquement des outils supplémentaires. Des preuves de concept fonctionnelles sont déjà apparues en ligne, et des utilisateurs ont commencé à tester l'exploit sur des ordinateurs fonctionnant sous Windows 11 et Windows Server. L'élément le plus troublant de toute cette affaire réside dans la simplicité de l'attaque. YellowKey ne requiert aucun matériel spécialisé ni connaissances avancées en cryptographie. D'après les informations publiées, il suffit d'une clé USB contenant des fichiers spécialement conçus, de démarrer l'ordinateur en mode de récupération Windows et d'exécuter une simple combinaison de touches lors du redémarrage du système. Après quelques instants, l'utilisateur est censé obtenir un accès en ligne de commande lui permettant de consulter l'intégralité du contenu du disque précédemment chiffré. Sans avoir à saisir de mot de passe, de clé de récupération ni de message d'avertissement. Des chercheurs ayant mené leurs propres tests confirment que cette faille fonctionne sur certaines configurations utilisant BitLocker. Le comportement des fichiers utilisés lors de l'attaque est également sujet à controverse. Après utilisation, ils sont censés disparaître automatiquement des clés USB. Ce mécanisme a immédiatement suscité de nombreux commentaires suggérant une faille de sécurité cachée dans Windows. Cependant, rien ne permet actuellement de conclure à une action intentionnelle de Microsoft.

BitLocker est l'une des fonctionnalités de sécurité les plus importantes utilisées sur les ordinateurs Windows. Ce mécanisme de chiffrement est actif sur des millions d'ordinateurs portables d'entreprise, d'ordinateurs gouvernementaux et d'appareils personnels. Sous Windows 11, cette fonctionnalité est souvent activée automatiquement lors de la configuration du système. Le principe de BitLocker repose sur le stockage des clés de chiffrement dans le module TPM. Cela empêche la lecture des données en retirant un disque dur d'un ordinateur et en le connectant à un autre. Cependant, YellowKey compromet la sécurité liée au vol physique d'un appareil. Le vol d'un ordinateur portable pourrait suffire à accéder aux données de son propriétaire. Chaotic Eclipse affirme également que la sécurité supplémentaire d'un code PIN TPM ne résout pas le problème. Le chercheur prétend avoir développé une variante de l'exploit fonctionnelle dans ce cas de figure, mais n'a pas encore publié de démonstration complète. Au moment de la publication, Microsoft n'avait pas encore fait de déclaration officielle concernant YellowKey ni la seconde faille, GreenPlasma. Cette dernière permettrait une élévation de privilèges locale jusqu'au niveau SYSTEM en manipulant le processus CTFMon et la mémoire partagée de Windows. Des experts en sécurité soulignent que GreenPlasma pourrait constituer une menace importante pour les environnements serveur. Concrètement, un utilisateur système standard pourrait obtenir les privilèges les plus élevés et prendre le contrôle de l'infrastructure de l'entreprise. Il s'agit d'un nouvel épisode dans le conflit qui oppose Chaotic Eclipse à Microsoft. Ces derniers mois, le chercheur a publié des exploits BlueHammer et RedSun, qui ciblaient également la sécurité de Windows Defender et les mécanismes d'autorisation du système. Selon l'auteur, certaines de ces vulnérabilités ont ensuite été corrigées discrètement.