BitLocker YellowKey : votre disque chiffré est-il vraiment à l’abri ?
Vous avez activé BitLocker, le chiffrement de disque intégré à Windows. Logique : si on vous vole votre PC portable, le voleur tombe sur un disque illisible, et vos données restent au chaud. C’est exactement la promesse. Sauf qu’une faille baptisée YellowKey, révélée en mai 2026, montre que dans sa configuration par défaut, BitLocker se contourne avec un simple accès physique à la machine. Pas de matériel d’espion, pas de logiciel exotique. Juste quelques minutes seul avec votre PC.
Pas de panique pour autant. Le risque est réel mais ciblé, et la parade tient en un réglage. Je vous explique ce qu’est YellowKey, qui est vraiment concerné, et les gestes à faire si vous trimballez des données sensibles sur un portable.
📌 L’essentiel à retenir
La faille BitLocker YellowKey (CVE-2026-45585) permet de contourner le chiffrement de Windows, mais uniquement avec un accès physique à la machine. Elle vise le mode TPM seul, le plus répandu. La vraie parade : passer en TPM + PIN pour réclamer un code au démarrage. Installez aussi la mitigation Microsoft de mai 2026 via Windows Update. Un PC fixe à domicile risque peu ; un portable nomade rempli de données sensibles, lui, doit agir vite.
C’est quoi YellowKey, concrètement
YellowKey est le petit nom d’une faille référencée CVE-2026-45585. Microsoft la classe comme un contournement de fonctionnalité de sécurité, avec un score de gravité de 6,8 sur 10. Elle a été révélée publiquement par un chercheur connu sous le pseudo Nightmare Eclipse, avec un code de démonstration à l’appui.
Le principe : un attaquant qui a la machine entre les mains arrive à se faufiler dans l’environnement de récupération de Windows (le mode dépannage qui se lance quand Windows ne démarre pas, appelé WinRE). Là, en manipulant des fichiers système particuliers, il déclenche un comportement de Windows qui supprime un fichier de configuration clé. Résultat : le système ouvre une fenêtre de commande sans aucune restriction, au moment précis où le disque protégé par BitLocker est déverrouillé pour la récupération. Le voleur lit alors vos données comme si de rien n’était.
Les versions touchées sont Windows 11 24H2, 25H2 et 26H1 en 64 bits, ainsi que Windows Server 2025. Si vous êtes sur une de ces versions, vous êtes potentiellement dans le périmètre.
Le détail qui change tout : l’accès physique
Voilà le point à bien comprendre, parce qu’il dédramatise beaucoup. YellowKey exige un accès physique à la machine. On ne déclenche pas cette attaque à distance pendant que vous surfez. Le scénario, c’est un PC volé, un portable oublié dans un train, un ordinateur laissé sans surveillance dans un open space ou une chambre d’hôtel.
Pour un PC de bureau fixe, posé chez vous, le risque au quotidien est faible. Pour un portable professionnel bourré de documents confidentiels qui voyage avec vous, c’est une autre histoire. C’est ce profil-là qui doit agir.
Et il y a un second point, encore plus parlant. YellowKey vise la configuration BitLocker la plus répandue : le mode TPM seul. Le TPM (Trusted Platform Module, une puce de sécurité présente sur les PC récents) déverrouille le disque automatiquement au démarrage, sans rien vous demander. Pratique, transparent, et c’est précisément cette transparence que la faille exploite. Si rien ne protège l’étape de démarrage, l’attaque a un boulevard.
La réponse de Microsoft : une parade, pas vraiment un correctif
Microsoft a réagi vite. Une mitigation a été publiée le 20 mai 2026, suivie d’une mise à jour de script le 21 mai. Le mot est important : il s’agit d’une mesure d’atténuation, pas d’un correctif classique qui rebouche le trou dans le code. La protection repose donc en partie sur des réglages à appliquer de votre côté. Autrement dit, installer les mises à jour ne suffit pas à coup sûr : il faut aussi durcir votre configuration.
Maintenant que la théorie est posée, voyons ce qui vous protège vraiment.
Les 5 gestes pour mettre vos données à l’abri
- Passez BitLocker en mode TPM + PIN. C’est la parade la plus efficace. Au lieu de déverrouiller le disque tout seul, le PC vous réclame un code PIN au démarrage, avant même que Windows ne se lance. Sans ce code, l’environnement de récupération n’a aucun disque déchiffré à se mettre sous la dent. L’activation passe par une stratégie de groupe (« Exiger une authentification supplémentaire au démarrage ») puis l’outil manage-bde ou le panneau BitLocker. Si vous gérez un parc en entreprise, c’est le réglage à pousser en priorité.
- Installez la mitigation Microsoft via Windows Update. Lancez une recherche de mises à jour et appliquez tout ce qui est proposé. La mesure publiée en mai 2026 referme une partie du chemin d’attaque. Ça ne remplace pas le PIN, ça s’ajoute.
- Pour les utilisateurs avancés : neutralisez le déclencheur. La mitigation retire la valeur autofstx.exe d’un réglage de démarrage de Windows (le BootExecute du Gestionnaire de session). Si vous êtes à l’aise avec le registre ou un script d’administration, c’est ce qui coupe le mécanisme exploité par YellowKey. À réserver à ceux qui savent ce qu’ils font : une erreur dans le registre peut empêcher le démarrage.
- Soignez la sécurité physique. Puisque tout repose sur l’accès à la machine, ne laissez pas un portable contenant des données sensibles traîner déverrouillé ou éteint dans un lieu non sûr. Éteindre complètement le PC plutôt que le mettre en veille réduit aussi d’autres vecteurs d’attaque sur la mémoire.
- Envisagez une alternative si vous voulez sortir de l’écosystème Microsoft. VeraCrypt, gratuit et open source, propose un chiffrement complet du disque avec mot de passe avant démarrage. Ce n’est pas plus simple que BitLocker, et ça demande de la rigueur (sauvegarde de la clé de récupération obligatoire), mais c’est une option crédible pour qui veut un chiffrement indépendant de Windows.
Ce qu’il faut retenir
Si vous transportez des données sensibles sur un portable, activez le mode TPM + PIN aujourd’hui : c’est le geste qui transforme YellowKey en impasse pour un voleur. Lancez Windows Update pour récupérer la mitigation de mai 2026. Et gardez en tête que cette faille ne sert à rien sans accès physique à votre machine.
Ma reco, si je devais n’en garder qu’une : le mode TPM seul, confortable mais nu, n’est plus suffisant pour un PC nomade. Le PIN au démarrage ajoute cinq secondes à votre routine et referme la porte que YellowKey tente d’ouvrir. Pour un ordinateur fixe qui ne quitte jamais votre domicile, vous pouvez voir venir, mais le réflexe reste sain.
Foire aux questions
Suis-je concerné par la faille BitLocker YellowKey ?
Vous l’êtes si votre PC tourne sous Windows 11 24H2, 25H2, 26H1 (64 bits) ou Windows Server 2025, avec BitLocker en mode TPM seul. Mais l’attaque exige un accès physique : un portable nomade est exposé, un PC fixe à domicile beaucoup moins.
YellowKey peut-elle être exploitée à distance ?
Non. La faille CVE-2026-45585 réclame que l’attaquant ait la machine entre les mains. Aucun risque pendant que vous surfez ou consultez vos mails. Le danger, c’est un PC volé, oublié ou laissé sans surveillance.
Comment passer BitLocker en mode TPM + PIN ?
Activez la stratégie de groupe « Exiger une authentification supplémentaire au démarrage », puis configurez le PIN via l’outil manage-bde ou le panneau BitLocker. Le PC vous réclamera alors un code au démarrage, ce qui bloque YellowKey.
Installer les mises à jour Windows suffit-il à me protéger ?
Pas à coup sûr. Microsoft a publié une mesure d’atténuation en mai 2026, pas un correctif classique. Elle referme une partie du chemin d’attaque, mais le geste vraiment efficace reste de passer en TPM + PIN.
Faut-il abandonner BitLocker pour une autre solution ?
Pas forcément. BitLocker reste solide une fois configuré en TPM + PIN. Si vous voulez un chiffrement indépendant de Windows, VeraCrypt est une alternative gratuite et open source, mais plus exigeante à gérer.
Commentaires
Laisser un commentaire