YellowKey et GreenPlasma : Deux failles zero-day Windows s'attaquent à BitLocker

Des chercheurs en sécurité ont divulgué publiquement deux vulnérabilités zero-day non corrigées dans Windows, baptisées YellowKey et GreenPlasma, ciblant respectivement le chiffrement BitLocker et le framework de saisie CTFMON. Du code d'exploitation de démonstration (proof-of-concept) a déjà été rendu public, ce qui signifie que la vulnérabilité zero-day affectant BitLocker n'est pas simplement théorique. Pour les millions d'utilisateurs et d'organisations qui s'appuient sur BitLocker comme pierre angulaire de leur stratégie de protection des données, cette divulgation constitue un sérieux signal d'alarme.

Ce que font réellement YellowKey et GreenPlasma

YellowKey est la plus immédiatement préoccupante des deux. Elle cible BitLocker, la fonctionnalité de chiffrement intégral du disque intégrée à Windows 10 et 11, ainsi qu'à Windows Server 2022 et 2025. En exploitant une faiblesse dans l'environnement de récupération Windows, la vulnérabilité permet à un attaquant disposant d'un accès physique à une machine de contourner les protections BitLocker par défaut et d'accéder au contenu d'un disque chiffré. Concrètement, un ordinateur portable volé, jusqu'alors considéré comme sécurisé grâce au chiffrement BitLocker, pourrait voir ses données lues sans le bon code PIN ou mot de passe.

GreenPlasma cible CTFMON, un processus Windows en arrière-plan qui gère la saisie de texte, la reconnaissance de l'écriture manuscrite et les paramètres de langue. Cette vulnérabilité permet une élévation locale de privilèges, ce qui signifie qu'un attaquant ayant déjà pris pied sur un système peut élever ses permissions à un niveau supérieur, pouvant potentiellement atteindre un accès administrateur ou de niveau SYSTEM. Ces deux vulnérabilités représentent ensemble une combinaison dangereuse : l'une brise le mur protégeant vos données au repos, tandis que l'autre permet une compromission plus profonde du système une fois qu'un attaquant est à l'intérieur.

Au moment de la rédaction de cet article, Microsoft n'a publié de correctifs pour aucune des deux vulnérabilités. Du code de démonstration est disponible publiquement, ce qui abaisse considérablement le seuil d'exploitation par des acteurs malveillants moins sophistiqués.

Qui est exposé et quelles données sont en danger

Toute personne utilisant un système Windows 11 ou Windows Server 2022 et 2025 avec BitLocker activé est potentiellement concernée par YellowKey. L'exigence d'un accès physique limite certes la surface d'attaque par rapport à un exploit entièrement distant, mais cette nuance ne devrait pas rassurer outre mesure. Les ordinateurs portables utilisés par des employés en mode hybride, les appareils stockés dans des espaces de bureau partagés, et les machines saisies ou inspectées aux postes frontières constituent autant de scénarios de menace réalistes.

Pour GreenPlasma, le profil de risque est plus large à certains égards. Les vulnérabilités d'élévation locale de privilèges sont fréquemment combinées à d'autres techniques d'attaque. Un e-mail de phishing délivrant une charge initiale à faibles privilèges, par exemple, pourrait être suivi d'un exploit GreenPlasma pour obtenir le contrôle total du système. Les environnements d'entreprise, les agences gouvernementales et les particuliers gérant des fichiers sensibles sont tous dans la ligne de mire.

Les données exposées vont des documents personnels et des relevés financiers à la propriété intellectuelle d'entreprise et aux identifiants stockés sur le disque. Les organisations opérant dans des cadres réglementaires tels que HIPAA, RGPD ou CMMC devront évaluer si ces vulnérabilités affectent leurs obligations réglementaires.

Pourquoi les utilisateurs de BitLocker ne peuvent pas se fier uniquement au chiffrement de disque

La divulgation de YellowKey illustre une limitation fondamentale que les utilisateurs soucieux de leur vie privée négligent souvent : le chiffrement ne protège les données que tant que le mécanisme de chiffrement lui-même reste intact. BitLocker a été conçu pour se protéger contre les attaques hors ligne, principalement les scénarios où un disque est retiré et lu sur une autre machine. Il n'a pas été conçu pour être une forteresse imprenable face à un attaquant sophistiqué armé d'un exploit zero-day ciblant le processus même qui gère le déverrouillage du disque.

C'est l'argument fondamental en faveur de la défense en profondeur. S'appuyer sur un seul contrôle de sécurité, aussi fiable soit-il, crée un point de défaillance unique. Lorsque ce contrôle est contourné, il ne reste plus rien entre un attaquant et vos données. La même logique s'applique aux menaces au niveau réseau : chiffrer le trafic en transit via un VPN ne vous protège pas si votre terminal a déjà été compromis, et sécuriser votre terminal ne protège pas les données circulant en clair sur un réseau non fiable.

L'émergence de ces deux vulnérabilités rappelle également que les acteurs malveillants n'ont pas toujours besoin d'une infrastructure sophistiquée pour causer des dommages graves. Comme documenté dans des campagnes telles que les faux sites gouvernementaux ciblant des citoyens dans le monde entier, l'ingénierie sociale et les outils courants sont fréquemment combinés avec des exploits disponibles publiquement, avec des effets dévastateurs. Un PoC public pour un contournement de BitLocker abaisse considérablement le niveau de compétence requis.

Mesures de défense en profondeur : correctifs, VPN et sécurité multicouche

En attendant que Microsoft publie des correctifs officiels, les utilisateurs et les administrateurs devraient prendre les mesures suivantes.

Surveiller les mises à jour de sécurité Microsoft. Maintenez Windows Update activé et vérifiez les correctifs hors bande, notamment compte tenu de la disponibilité publique du code PoC. Lorsque les correctifs arrivent, priorisez leur déploiement.

Activer BitLocker avec un code PIN. La configuration BitLocker par défaut avec TPM uniquement est plus vulnérable à ce type d'attaque. Configurer BitLocker pour exiger un code PIN avant le démarrage ajoute une couche de friction qui élève le niveau requis pour les attaquants physiques.

Restreindre l'accès physique. Pour les machines à haute valeur, les contrôles de sécurité physique sont importants. Les salles de serveurs verrouillées, les câbles antivol pour les ordinateurs portables et des politiques claires concernant les appareils sans surveillance réduisent tous la surface d'attaque de YellowKey.

Superposer vos contrôles de sécurité. Le chiffrement du disque est une couche, pas une stratégie complète. Combinez-le avec des outils de détection et de réponse sur les terminaux, un chiffrement au niveau réseau pour les données en transit, une authentification forte et une segmentation du réseau. Un VPN garantit que même si un attaquant pivote depuis un terminal compromis, les données sortantes ne sont pas exposées en clair sur le réseau.

Auditer les comptes privilégiés. Compte tenu du risque d'élévation de privilèges de GreenPlasma, vérifiez quels comptes disposent de droits d'administrateur local sur les terminaux. Réduire les privilèges inutiles limite l'impact potentiel si un exploit est utilisé.

Ce que cela signifie pour vous

Les divulgations de YellowKey et GreenPlasma rappellent concrètement qu'aucun outil de sécurité unique n'offre une protection complète. Si l'ensemble de votre stratégie de sécurité des données repose sur BitLocker, il est temps d'auditer la pile dans son ensemble. Demandez-vous ce qui se passe si BitLocker est contourné : existe-t-il une autre couche protégeant vos fichiers les plus sensibles ? Votre trafic réseau est-il chiffré indépendamment de votre disque ? Vos identifiants et clés de récupération sont-ils stockés en lieu sûr ?

Les mesures proactives comptent davantage avant un incident qu'après. Passez en revue vos contrôles de sécurité actuels, appliquez les atténuations disponibles et considérez ces divulgations comme une opportunité de renforcer les couches que BitLocker seul ne peut pas couvrir.