Vulnérabilité critique “YellowKey” : Contournement de BitLocker

La faille YellowKey permet à un attaquant disposant d’un accès physique de contourner le chiffrement BitLocker. En manipulant des fichiers spécifiques sur une clé USB lors de la séquence de récupération (WinRE), un utilisateur malveillant peut obtenir un accès non restreint aux données chiffrées sans nécessiter d’identifiants ni de connexion réseau.

Points clés :

• Vulnérabilité : CVE-2026-45585 (Score CVSS : 6.8).
• Mécanisme : Exploitation de la confiance accordée à l’utilitaire de récupération automatique (autofstx.exe) dans l’environnement de récupération Windows (WinRE).
• Cibles : Windows 11 (versions 26H1, 24H2, 25H2) et Windows Server 2025.
• Accessibilité : Ne requiert aucune installation logicielle préalable, uniquement un accès physique au port USB.

Recommandations :

1. Atténuation technique : Modifier l’image WinRE pour supprimer la valeur autofstx.exe de la clé de registre BootExecute dans le gestionnaire de session. Cela empêche l’exécution automatique de l’outil vulnérable.
2. Renforcement de la sécurité : Passer d’un mode de protection “TPM-only” à “TPM+PIN”. L’exigence d’un code PIN au démarrage bloque efficacement l’exploitation de cette faille, même en cas d’accès physique.
3. Politiques de groupe : Sur les machines non encore chiffrées, forcer l’authentification supplémentaire au démarrage via Microsoft Intune ou les GPO en exigeant un code PIN avec le TPM.

Source