Microsoft a refermé cette semaine une porte dérobée dans BitLocker, le mécanisme de chiffrement de Windows 11, après qu’un chercheur eut publié le code pour l’exploiter. Le correctif s’intègre au Patch Tuesday de juin 2026, qui solde plus de 200 vulnérabilités. La faille, baptisée YellowKey, transformait une clé USB en passe-partout.
YellowKey (référencée CVE-2026-45585) logeait dans l’environnement de récupération de Windows, le WinRE, ce module discret qui répare les démarrages capricieux. Un attaquant disposant d’un accès physique pouvait contourner la protection BitLocker sur les systèmes Windows 11 et Windows Server 2022 et 2025 non corrigés. Autrement dit un ordinateur volé, posé sur une table, livrait ses disques chiffrés à quiconque savait où appuyer. Le chercheur derrière la divulgation, qui signe « Nightmare Eclipse » (parfois orthographié Chaotic Eclipse), affirme que l’éditeur avait « intentionnellement » laissé cette brèche ouverte.
Deux autres failles complétaient le tableau, toutes deux taillées pour escalader les privilèges jusqu’au niveau SYSTEM. GreenPlasma (CVE-2026-45586) visait le Collaborative Translation Framework, le fameux CTFMON, et MiniPlasma (CVE-2020-17103) s’attaquait au pilote de filtre des fichiers cloud. Sur une machine pourtant à jour, un utilisateur local pouvait ainsi s’octroyer les pleins pouvoirs. Microsoft a colmaté les trois le même mardi, en publiant au passage des mesures d’atténuation pour rétablir la confiance de BitLocker dans WinRE.
Le volume de ce Patch Tuesday donne le vertige avec 206 vulnérabilités traitées, dont 33 jugées critiques et 167 importantes, selon le décompte de l’éditeur de sécurité Qualys. La liste ratisse large, de Windows DNS à Hyper-V, du noyau à Active Directory, sans oublier 360 failles Edge héritées de Chromium et corrigées en amont par Google. Une seconde faiblesse de BitLocker, référencée CVE-2026-45658, permettait elle aussi d’accéder à des données chiffrées. BitLocker aura connu un mois de juin chargé… pour ne pas dire pénible.
La méthode de divulgation a tourné au bras de fer, et c’est là que l’affaire devient singulière. Nightmare Eclipse a publié ses exploits sans prévenir Microsoft, en représailles contre la manière dont le Microsoft Security Response Center traite les chercheurs et les rémunère. L’éditeur a d’abord répliqué par la menace judiciaire, déclenchant un tollé dans la communauté cybersécurité, avant de reculer. La firme dit désormais qu’elle collaborera avec les autorités lorsqu’un chercheur « enfreint la loi et se livre à une activité malveillante causant un préjudice réel à nos clients ».
A lire également
Le chercheur, lui, accuse Microsoft d’avoir supprimé son compte GitHub et son compte Microsoft par vengeance. « On m’a personnellement dit qu’ils ruineraient ma vie, et ils l’ont fait », affirme-t-il. L’éditeur dément froidement, rappelant qu’il « ne supprime pas les comptes du portail chercheurs du MSRC » et qu’il « ne peut confirmer quel compte cette personne prétend avoir vu désactivé ». Le différend ne s’est pas éteint avec les correctifs, puisque Nightmare Eclipse a divulgué, quelques heures après leur publication, un nouvel exploit visant Microsoft Defender baptisé RoguePlanet, capable d’ouvrir une invite de commande en SYSTEM.
Voilà donc Microsoft pris en étau entre la nécessité de protéger ses clients et un chercheur qui transforme chaque Patch Tuesday en règlement de comptes. Le prochain est attendu le 14 juillet.
