YellowKey : l’exploit qui contourne BitLocker sur Windows 11, les experts confirment le risque
Un exploit zero-day, baptisé YellowKey, permet de contourner complètement la protection BitLocker de Windows 11 en quelques secondes. Publié le 12 mai 2026 par le chercheur Chaotic Eclipse (alias Nightmare Eclipse), l’exploit donne un accès total au contenu d’un disque chiffré, sans avoir besoin de la clé de récupération. Microsoft a reconnu la vulnérabilité sous l’identifiant CVE-2026-45585, mais à ce jour, aucun correctif n’a été déployé.
YellowKey contourne BitLocker sur Windows 11, Windows Server 2022 et 2025 en configuration TPM seul
CVSS 6.8 : vulnérabilité de type « bypass de fonctionnalité de sécurité », classée CVE-2026-45585
Root cause : un composant WinRE (autofstx.exe, utilitaire de récupération FsTx) supprime winpeshl.ini et ouvre un shell CMD avec le disque déchiffré
Microsoft a publié des recommandations mais aucun patch à ce jour
Protection recommandée : activer le mode TPM + PIN et désactiver autofstx.exe dans l’image WinRE
Confirmé par Kevin Beaumont, Will Dormann (Tharros Labs) et multiple PoC indépendants
Comment fonctionne l’exploit YellowKey
L’attaque repose sur une faille dans l’environnement de récupération Windows (WinRE), et non dans le chiffrement BitLocker lui-même. Voici le mécanisme :
Étape
Mécanisme
1
Placer un dossier FsTx spécialement conçu sur une clé USB (dans System Volume Information\FsTx)
2
Branche la clé sur la machine cible Windows 11 et redémarrer vers WinRE (SHIFT + Redémarrer)
3
WinRE détecte le dossier FsTx et exécute autofstx.exe, l’utilitaire de récupération transactionnelle NTFS
4
autofstx.exe supprime winpeshl.ini, le fichier qui lance l’environnement de récupération normal
5
Sans winpeshl.ini, WinRE ouvre un shell CMD avec accès au volume BitLocker déjà déchiffré par le TPM
Résultat
Accès total au disque : copie, modification, suppression de fichiers sans aucune authentification
Le point critique : le TPM déchiffre automatiquement le disque au démarrage. L’exploit n’a pas besoin de casser le chiffrement, il profite du fait que le volume est déjà accessible lors de l’environnement de récupération. C’est la configuration TPM seul (sans PIN) qui rend l’attaque possible.
La confirmation par des experts indépendants
YellowKey n’est pas une affirmation isolée. Plusieurs experts ont confirmé le fonctionnement de l’exploit :
Kevin Beaumont, expert en cybersécurité reconnu, a confirmé que l’exploit fonctionne et a qualifié BitLocker de « backdoor » dans sa configuration par défaut
Will Dormann, analyste principal chez Tharros Labs, a reproduit l’exploit et expliqué le mécanisme technique en détail à BleepingComputer
Ars Technica a publié une analyse approfondie confirmant que l’exploit permet d’obtenir un accès complet au disque
Chaotic Eclipse a également publié le code de l’exploit sur GitHub, ce qui a permis à d’autres chercheurs de vérifier indépendamment le fonctionnement. La communauté de sécurité a unanimement confirmé la validité de la vulnérabilité.
La réponse de Microsoft : mitigation, pas de patch
Une semaine après la publication de l’exploit, Microsoft a reconnu la vulnérabilité et publié des recommandations de mitigation. Mais il n’y a pas encore de correctif. La distinction est importante :
🔴 Ce que Microsoft a fait
Reconnu la vulnérabilité sous CVE-2026-45585 (CVSS 6.8)
Publié des recommandations de mitigation pour les administrateurs
Identifié les versions affectées : Windows 11 24H2, 25H2, 26H1 et Windows Server 2025
✅ Mitigations recommandées
Activer TPM + PIN : ajouter une exigence de PIN au démarrage, ce qui bloque l’attaque même avec accès physique
Désactiver autofstx.exe : monter l’image WinRE, modifier la clé de registre BootExecute sous Session Manager pour retirer autofstx.exe
Verrouillage BIOS : empêche le boot vers WinRE sans mot de passe, ajoutant une barrière supplémentaire
Will Dormann a souligné un point crucial : « La mitigation manuelle n’est pas triviale à appliquer à grande échelle. Pour les organisations qui gèrent des parcs importants, scripter la modification WinRE et pousser la politique TPM + PIN via GPO ou Intune est faisable, mais nécessite une action délibérée. »
YellowKey s’inscrit dans une série d’exploits
YellowKey n’est pas le seul zero-day publié par Chaotic Eclipse ces dernières semaines. Le chercheur a également dévoilé :
GreenPlasma : une élévation de privilèges permettant d’obtenir les droits SYSTEM sur Windows
BlueHammer (CVE-2026-33825) : une autre élévation de privilèges locale, déjà exploitée dans la nature après sa divulgation
RedSun : une vulnérabilité Microsoft Defender qui donne les privilèges SYSTEM, que Microsoft aurait corrigée silencieusement sans assigner d’identifiant CVE
Le chercheur a annoncé une « grande surprise » pour le prochain Patch Tuesday de Microsoft, laissant penser que d’autres vulnérabilités critiques seront révélées.
Ce que YellowKey signifie pour la sécurité Windows
YellowKey expose une faiblesse structurelle de la configuration par défaut de BitLocker sur Windows 11. Le TPM seul, conçu pour la commodité, crée un faux sentiment de sécurité :
Le TPM déchiffre automatiquement : n’importe qui avec un accès physique au redémarrage peut tenter l’exploit
L’accès physique suffit : pas besoin d’être connecté au réseau, pas besoin de credentials
Windows 10 n’est pas affecté : la vulnérabilité est spécifique à Windows 11 et Windows Server 2022/2025
La configuration TPM + PIN bloque l’attaque : mais elle n’est pas activée par défaut
⚠️ Protection immédiate recommandée
Activer TPM + PIN : via l’éditeur de politique de groupe (GPO) ou Microsoft Intune, activer « Exiger une authentification supplémentaire au démarrage » et configurer « Configurer le PIN de démarrage TPM » pour exiger un PIN avec TPM
Verrouillage BIOS : configurer un mot de passe BIOS pour empêcher le boot non autorisé vers WinRE
Surveiller les Patch Tuesdays : Microsoft devrait publier un correctif lors d’un prochain Patch Tuesday, mais la date n’est pas encore confirmée
Auditer les machines sensibles : les ordinateurs portables d’entreprise sont les plus exposés, car ils peuvent être volés ou perdus avec un accès physique direct
YellowKey : questions fréquentes
YellowKey casse-t-il le chiffrement BitLocker ? ▼
Non. YellowKey ne crack pas le chiffrement. Il exploite le fait que le TPM déchiffre automatiquement le disque au démarrage, et utilise un bug dans l’environnement de récupération WinRE pour ouvrir un shell avec accès au volume déjà déchiffré.
Mon PC est-il vulnérable à YellowKey ? ▼
Si vous utilisez Windows 11 (24H2, 25H2, 26H1) ou Windows Server 2022/2025 avec BitLocker en mode TPM seul (configuration par défaut), vous êtes vulnérable. Si vous avez activé TPM + PIN, l’exploit actuel ne fonctionne pas.
Comment se protéger de YellowKey ? ▼
Deux actions principales : activer le mode TPM + PIN via GPO ou Intune pour exiger un code PIN au démarrage, et verrouiller le BIOS avec un mot de passe pour empêcher l’accès à WinRE. Microsoft recommande également de désactiver autofstx.exe dans l’image WinRE, mais cette manipulation est complexe à grande échelle.
Microsoft a-t-il corrigé YellowKey ? ▼
Non. Microsoft a reconnu la vulnérabilité (CVE-2026-45585) et publié des recommandations de mitigation, mais aucun correctif n’a été déployé à ce jour. Un patch est attendu lors d’un prochain Patch Tuesday, mais la date n’est pas confirmée.
YellowKey fonctionne-t-il sur un disque volé ? ▼
L’exploit actuel nécessite un accès à la machine d’origine, car le TPM stocke les clés de chiffrement. Un disque retiré et monté sur une autre machine ne peut pas être déchiffré via YellowKey. En revanche, un ordinateur portable volé avec accès physique est vulnérable.
Alexi Tauzin🤖 Éditeur & Analyste IA
Fondateur d’alexitauzin.com, entrepreneur digital et analyste des technologies émergentes. Il suit de près l’évolution de l’IA, des modèles de langage aux agents autonomes, pour aider les professionnels à comprendre et anticiper les transformations du secteur.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
