Un chercheur en cybersécurité a récemment découvert une vulnérabilité majeure affectant BitLocker, le système de chiffrement intégré à Windows 11. La faille permet de contourner la protection des données chiffrées d’une façon très simple. Selon les investigations menées par Nightmare-Eclipse, l’expert à l’origine de la découverte de la faille, il suffit de copier un dossier spécifique sur une clé USB, de l’insérer dans l’ordinateur ciblé, puis de démarrer la machine en maintenant la touche Ctrl enfoncée.
L’opération ouvre automatiquement l’environnement de récupération WinRE (Windows Recovery Environment) de Windows. Dans celui-ci, l’invite de commandes donne un accès complet au disque chiffré et à toutes les données qu’il contient, comme si BitLocker n’existait pas. La faille a été baptisée YellowKey. Face au tollé, Microsoft s’est engagé à enquêter et à déployer un correctif de sécurité dans les plus brefs délais.
À lire aussi : Sur Windows 11, comment sécuriser la clé de récupération du chiffrement BitLocker et l’effacer des serveurs Microsoft ?
Deux solutions pour contrer YellowKey
Quelques jours plus tard, l’éditeur américain a décidé de mettre en avant deux solutions pour se protéger, faute de pouvoir proposer un véritable correctif. Tout d’abord, Microsoft consiste à supprimer une entrée dans le registre Windows liée au programme « autofstx.exe ». Cette manipulation empêche le composant vulnérable de se lancer automatiquement au démarrage de WinRE. Il s’agit d’une opération plutôt technique, qu’on réservera aux administrateurs système.
Par ailleurs, la vulnérabilité ne fonctionne pas sur des systèmes équipés d’une puce TPM (Trusted Platform Module) avec code PIN. C’est ce qu’a découvert le chercheur en sécurité Will Dormann, de la société Tharros, démentant les conclusions de Nightmare-Eclipse. Cela ajoute un code PIN que vous devrez saisir à chaque démarrage pour déchiffrer le disque. Il est impératif de configurer un code PIN pour se protéger. L’utilisation d’une puce TPM ne suffit pas. Ce paramètre se modifie via PowerShell, le panneau de configuration ou Microsoft Intune pour les entreprises.
Microsoft regrette une « violation des bonnes pratiques »
Dans la foulée, Microsoft a fustigé les pratiques de Nightmare-Eclipse. L’éditeur regrette que le chercheur ait divulgué la faille sur Internet avant de le prévenir, tout en publiant un code d’exploitation fonctionnel pour YellowKey. C’est une « violation des bonnes pratiques de gestion des vulnérabilités », estime Microsoft. Pour mettre la pression sur Microsoft, le chercheur a aussi mis en ligne un proof-of-concept (PoC), qui démontre concrètement comment il est possible d’exploiter la faille. Ce document risque évidemment de donner des idées aux cybercriminels.
Notez que Nightmare-Eclipse n’en est pas à son coup d’essai. Le chercheur a déjà divulgué plusieurs failles de sécurité Windows de la même manière, dont MiniPlasma, BlueHammer ou encore GreenPlasma. Il accompagne à chaque fois ses découvertes d’une démonstration technique visant à provoquer une réaction rapide de la part de Microsoft.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
