À peine Microsoft a-t-il corrigé plusieurs failles de sécurité importantes qu'un autre problème a déjà fait surface. Un chercheur controversé, connu sous le pseudonyme de Nightmare Eclipse, a publié une nouvelle faille de sécurité appelée GreatXML, qui, selon lui, permet d'accéder à des données chiffrées protégées par BitLocker. Cette publication a immédiatement suscité une réaction au sein de la communauté de la cybersécurité. La raison est simple : BitLocker constitue depuis des années l’une des couches de protection des données les plus importantes de Windows. Il est utilisé aussi bien par les entreprises que par des millions de particuliers qui stockent des informations sensibles sur leurs ordinateurs. Si ces informations s’avèrent exactes, Microsoft serait confronté à l’un des défis de sécurité les plus sérieux de ces derniers mois. Nightmare Eclipse s'est imposé comme l'un des noms les plus en vue de la sécurité informatique ces dernières semaines. Ce chercheur publie régulièrement des exploits pour des vulnérabilités non corrigées de Windows, critiquant ouvertement la communication de Microsoft avec la communauté de découverte de vulnérabilités. GreatXML est apparu le lendemain de la publication d'une autre faille, baptisée RoguePlanet. Cette faille permettait une élévation de privilèges locale et le contrôle du système depuis le compte SYSTEM. Au total, Nightmare Eclipse a déjà exposé huit vulnérabilités zero-day. Six vulnérabilités précédentes ont été corrigées lors de la mise à jour du Patch Tuesday de juin. Le conflit entre le chercheur et Microsoft dure depuis des mois et prend une ampleur considérable. Certains experts pensent que l'auteur anonyme des failles pourrait être un ancien employé de Microsoft, bien qu'aucune preuve officielle n'ait été présentée.

La dernière faille exploitée concerne des mécanismes liés à la récupération système Windows et à Microsoft Defender Offline. Nightmare Eclipse affirme avoir découvert cette vulnérabilité par hasard, en quelques heures seulement. D'après la description publiée, elle peut être exploitée sur les ordinateurs ayant déjà effectué une analyse hors ligne avec Microsoft Defender. Le chercheur affirme qu'une modification appropriée des fichiers utilisés par l'environnement de récupération Windows permet de lancer une invite de commandes avec un accès complet au volume chiffré. C’est précisément cet élément qui a suscité le plus de polémiques. BitLocker a été conçu pour protéger les données même en cas d’accès physique à l’appareil. Toute méthode permettant de contourner ces mesures de sécurité fait immédiatement l’objet d’un examen attentif de la part des experts. Peu après la publication du code, les premières tentatives indépendantes de reproduction de la vulnérabilité sont apparues. L'une d'elles a été menée par Will Dormann, chercheur en sécurité de renom. Les résultats se sont avérés moins concluants que ne l'avait laissé entendre l'auteur de l'exploit. Dormann a confirmé que certains des comportements décrits se produisent effectivement. Il a également souligné d'importantes limitations de ce scénario. Lors de ses tests, l'obtention de cet effet nécessitait l'exécution d'une analyse Defender Offline depuis un système Windows connecté. Cette opération requiert des privilèges d'administrateur avant le début de la procédure. Selon le chercheur, cela soulève une question importante : si une personne dispose déjà d’un accès administrateur à un ordinateur, elle peut simplement désactiver BitLocker sans utiliser de méthodes supplémentaires.

Des doutes sont également apparus lors de la tentative de reproduction du scénario sur différentes versions de Windows 11. Selon Dormann, certaines caractéristiques décrites par Nightmare Eclipse n'ont pas été confirmées en pratique. Dans plusieurs configurations testées, le système n'a pas lancé automatiquement le mode d'analyse attendu après avoir suivi les étapes indiquées. Cela ne signifie pas que la vulnérabilité n'existe pas. Toutefois, cela indique que son impact peut être plus limité ou dépendre de configurations matérielles et logicielles spécifiques. Ces informations sont cruciales pour les professionnels de la sécurité. Dans le domaine de l'exploitation des failles de sécurité, même de petites différences de configuration peuvent déterminer l'efficacité d'une attaque entière. Microsoft a confirmé enquêter sur la faille de sécurité RoguePlanet et examiner les allégations concernant la sécurité de Windows. Au moment de la publication, l'entreprise n'avait pas encore communiqué sa position sur GreatXML ni annoncé de correctif. Dans le même temps, le géant de Redmond a rappelé qu'aucune des vulnérabilités récemment révélées par Nightmare Eclipse n'avait été signalée auparavant par les canaux officiels de divulgation responsable.

Quelle que soit l'évaluation finale de GreatXML, ces dernières semaines ont été marquées par une activité croissante de la part de personnes publiant des failles de sécurité non corrigées sans contact préalable avec les fournisseurs de logiciels. Pour Microsoft, cela signifie réagir aux nouvelles menaces dans des délais extrêmement courts. Pour les administrateurs et les entreprises utilisant Windows, cela signifie que même les mécanismes de protection des données les plus éprouvés nécessitent une vigilance constante. Les prochains jours nous diront si GreatXML représente une véritable menace pour les utilisateurs de BitLocker ou s'il s'agit simplement d'une autre vulnérabilité bien moins importante que ne le laissaient entendre les premiers rapports.