Pas de correctif pour la faille zero day YellowKey contournant BitLocker

Microsoft travaille sur un correctif pour juguler la vulnérabilité YellowKey permettant à des pirates de contourner la fonction de chiffrment BitLocker de Windows. En attendant, une mesure d'atténuation est poussée ce qui ne doit pas empêcher les entreprises de passer en revue les politiques de sécurité de leurs terminaux.

Microsoft envisagerait de publier un correctif pour la faille zero day baptisée YellowKey. La faille, référencée en tant que CVE-2026-45585, permet aux attaquants ayant accès à un système Windows de contourner la protection de chiffrement de BitLocker et de lire et écrire des fichiers. Elle a été révélée la semaine dernière, et une preuve de concept publique est déjà disponible. Dans un bulletin publié mardi, la société invite les entreprises à prendre des mesures pour atténuer le problème pendant qu’elle travaille sur un correctif. Dans son alerte, Microsoft propose plusieurs mesures immédiates pour contrer une éventuelle attaque. Une défense clé consiste à limiter l’accès aux systèmes vulnérables, car l’exploitation nécessite un accès physique. « Les entreprises devraient commencer par auditer leur environnement afin d’identifier les conditions qui les rendent vulnérables à YellowKey », a déclaré Eric Grenier, analyste senior chez Gartner. « Elles devraient également avoir une compréhension claire de leur niveau d’acceptation des risques en cas de perte ou de vol d’un appareil et, en fonction de cette acceptation (ou non-acceptation), prévoir par exemple une personnalisation du Secure Boot et une vérification de l’intégrité du firmware et du boot. »

Karl Fosaaen, vice-président chargé de la recherche chez NetSPI, une entreprise spécialisée dans la cybersécurité, partage cet avis. « Étant donné que l'exploitation de cette vulnérabilité nécessite un accès physique, les entreprises devraient se concentrer sur les mesures de sécurité physique entourant leurs appareils Windows », a-t-il abondé. « La mise en place de politiques et de contrôles rigoureux concernant l'accès physique aux appareils constitue une première étape efficace pour protéger les appareils potentiellement vulnérables. Si des inquiétudes supplémentaires subsistent quant à la possibilité pour des attaquants d'accéder aux fichiers du système, les entreprises peuvent envisager de limiter les données que les utilisateurs sont autorisés à stocker localement. » Le nombre toujours plus grand d’employés utilisant des appareils mobiles complique grandement le travail des entreprises, car il leur est plus difficile d’en restreindre l’accès. « Dans de plus en plus d’entreprises, les données sont stockées sur les ordinateurs portables, et YellowKey peut faire en sorte qu’elles ne soient pas verrouillées », a fait remarquer Nathan Davies-Webb, consultant principal chez Acumen, une société de sécurité basée au Royaume-Uni. Ce point justifie des politiques de sécurité strictes pour les appareils, notamment l’interdiction pour les utilisateurs de laisser leurs matériels sans surveillance.

Des mesures d'atténuation pas forcément efficaces

Cependant, selon M. Fosaaen, ce qui rend la détection d’une attaque particulièrement difficile pour l’utilisateur individuel, c’est le peu d’évidence à se rendre compte immédiatement qu’un appareil a été ciblé. « Si un attaquant utilisait l’exploit pour lire des fichiers sur le volume chiffré, il n’y aurait probablement aucun indicateur visible pour l’utilisateur. C’est différent de l’implantation d’un logiciel malveillant, où l’on pourrait constater une augmentation de l’utilisation du système ou d’autres problèmes de performances », a-t-il expliqué. Pour aggraver encore la situation, il est également possible que les mesures d'atténuation proposées par Microsoft ne soient pas efficaces. Dans un article publié sur un site dédié à la sécurité, le chercheur Will Dormann évoque un contournement possible de la solution proposée par Microsoft. Dans ces conditions, il est probable que les responsables IT attendront avec impatience la livraison d’un correctif. Pour l’instant, l’entreprise a simplement dit qu’elle étudiait la possibilité d’un correctif, et M. Davies-Webb ne pense pas que la solution sera simple à mettre en œuvre. « Je crois fortement à un problème de conception », a-t-il poursuivi. « Mon hypothèse, c’est qu’une fonctionnalité dans Windows, peut-être liée à la construction, pourrait être affectée par un correctif », a-t-il avancé. « De plus, la publication d’un correctif pourrait prendre un certain temps. La vulnérabilité RedSun dans Windows Defender identifiée le mois dernier n’a toujours pas été corrigée. »