Suivre 
BitLocker est conçu pour protéger les données au repos même lorsqu’un appareil est perdu, volé ou éteint, c’est pourquoi un contournement de ce modèle de confiance attire immédiatement l’attention. La vulnérabilité CVE-2026-45585, connue publiquement sous le nom de YellowKey, est un défaut de contournement de fonctionnalité de sécurité Windows que Microsoft affirme permettre à un attaquant ayant un accès physique de contourner les protections BitLocker et d’accéder aux données chiffrées sur les systèmes affectés. Le problème est suivi avec un score CVSS de 6,8 et affecte les versions Windows 11 24H2, 25H2 et 26H1 pour les systèmes basés sur x64, ainsi que Windows Server 2025, y compris Server Core.
Pour les défenseurs commençant l’analyse CVE-2026-45585, le point le plus important est que la faiblesse ne concerne pas le cryptage de BitLocker en lui-même. Help Net Security, citant NCSC Pays-Bas, note que le défaut se trouve dans l’environnement de récupération entourant BitLocker plutôt que dans la cryptographie protégeant le disque. Les rapports publics indiquent également qu’un chercheur connu sous le nom de Nightmare Eclipse a divulgué le zero-day et publié une preuve de concept, qui selon Help Net Security et The Hacker News peut être facilement exploitée.
Analyse CVE-2026-45585
CVE-2026-45585 est exploité via l’environnement de récupération Windows plutôt que par une voie d’attaque à distance. Selon The Hacker News, l’attaque implique de placer des fichiers FsTx spécialement conçus sur un lecteur USB ou une partition EFI, de connecter le support à un système Windows cible avec BitLocker activé, de redémarrer en mode WinRE, et de déclencher une ligne de commande non restreinte en maintenant la touche CTRL enfoncée. Si elle réussit, l’attaquant accède au volume protégé par BitLocker pendant la séquence de récupération pré-démarrage.
En termes pratiques, le CVE-2026-45585 publié n’est pas un dropper de malware traditionnel mais une configuration de séquence de récupération malveillante qui abuse du comportement de confiance pré-démarrage. C’est aussi pourquoi les détails publics de CVE-2026-45585 importent tant opérationnellement : toute machine affectée avec un port USB accessible ou un chemin EFI et une possibilité de redémarrage pourrait devenir une cible si un attaquant peut manipuler physiquement l’appareil. Le PoC public de CVE-2026-45585 a déjà réduit la barrière à la reproduction.
Du point de vue de la surveillance, la détection de CVE-2026-45585 est plus complexe que pour les vulnérabilités transmises par le réseau car l’exploitation est locale et pré-démarrage. Il n’y a pas d’IOCs CVE-2026-45585 publiés par les fournisseurs dans les rapports cités, donc la manière la plus réaliste de détecter l’exposition CVE-2026-45585 est via un examen des actifs : identifier les systèmes Windows 11 et Windows Server 2025 affectés, déterminer s’ils dépendent de la protection BitLocker par TPM uniquement, et vérifier si l’atténuation temporaire de Microsoft a été appliquée à l’image WinRE.
Du point de vue de l’exposition, CVE-2026-45585 affecte les organisations qui dépendent de BitLocker pour protéger les ordinateurs portables non surveillés, les stations de travail mobiles ou les serveurs portables contre l’accès hors connexion après un vol ou un accès physique temporaire. Puisque le défaut contourne une fonctionnalité de sécurité plutôt que de casser le cryptage lui-même, le principal risque est la perte de confidentialité lorsqu’un attaquant peut accéder au flux de récupération avant que l’utilisateur légitime ne reprenne le contrôle de l’appareil.
Atténuation CVE-2026-45585
Les conseils d’atténuation actuels de Microsoft pour CVE-2026-45585 offrent deux voies principales. La première est de modifier l’image WinRE montée en supprimant autofstx.exe de la valeur REG_MULTI_SZ du gestionnaire de session BootExecute, puis de sauvegarder les modifications du registre hors ligne, démonter et valider l’image mise à jour, et rétablir la confiance BitLocker pour WinRE. The Hacker News indique que Microsoft a ensuite complété l’avis avec un script automatisant ce flux de travail en toute sécurité en montant WinRE, modifiant la ruche SYSTEM hors ligne, supprimant l’entrée si présente, et refermant WinRE pour que la confiance BitLocker reste intacte.
La deuxième voie d’atténuation est d’éloigner les appareils de la protection TPM uniquement et de demander TPM+PIN au démarrage. Microsoft dit que cela peut être fait sur des systèmes déjà chiffrés via PowerShell, la ligne de commande ou le Panneau de configuration. Pour les systèmes qui ne sont pas encore chiffrés, il est conseillé aux administrateurs d’activer Exiger une authentification supplémentaire au démarrage via la stratégie de groupe ou Intune et de configurer un PIN de démarrage avec le TPM. Help Net Security note que les chercheurs pensent que la première atténuation est efficace car elle empêche l’utilitaire de récupération automatique FsTx de se lancer automatiquement au démarrage de WinRE, bien qu’un chercheur ait également affirmé qu’un contournement séparé pour TPM+PIN est actuellement retenu.
FAQ
Qu’est-ce que CVE-2026-45585 et comment fonctionne-t-il ?
CVE-2026-45585 est un contournement de fonctionnalité de sécurité BitLocker dans Windows, également appelé YellowKey. Il fonctionne en abusant du comportement de confiance dans l’environnement de récupération Windows afin qu’un attaquant avec accès physique puisse déclencher une ligne de commande non restreinte et accéder au volume chiffré pendant la récupération pré-démarrage.
Quand le CVE-2026-45585 a-t-il été découvert pour la première fois ?
Les deux rapports cités ne divulguent pas de date de découverte privée. Publiquement, Help Net Security indique que le zero-day a été divulgué environ une semaine avant l’atténuation de Microsoft, et les deux rapports situent la sortie de l’atténuation de Microsoft au 20 mai 2026, avec une mise à jour de script supplémentaire notée par Help Net Security le 21 mai 2026.
Quel est l’impact de CVE-2026-45585 sur les systèmes ?
L’impact principal est un accès non autorisé aux données protégées par BitLocker. Une attaque réussie peut permettre à quiconque ayant un accès physique de contourner la protection entourant le disque chiffré et lire des données qui devraient rester protégées au repos.
CVE-2026-45585 peut-il encore m’affecter en 2026 ?
Oui. Les systèmes exécutant les versions affectées de Windows 11 et Windows Server 2025 peuvent encore être exposés en 2026 s’ils n’ont pas appliqué l’atténuation de Microsoft et dépendent toujours du comportement de récupération vulnérable, en particulier lorsque l’accès physique ne peut pas être strictement contrôlé.
Comment puis-je me protéger de CVE-2026-45585 ?
Appliquez l’atténuation WinRE de Microsoft en supprimant autofstx.exe du paramètre BootExecute hors ligne et en refermant la confiance BitLocker, ou exigez TPM+PIN au lieu de la protection de démarrage TPM uniquement. Pour les nouveaux déploiements, activez l’authentification supplémentaire au démarrage via la stratégie pour que BitLocker ne repose pas uniquement sur le chemin par défaut plus faible.
