CVE-2026-45585 YellowKey : votre BitLocker ne vous protège plus - patch et mitigation
PoC public, pas de patch, accès total au disque avec une clé USB. Ce que chaque PME française doit faire dans les 48 heures.

Alerte sécurité - 20 Mai 2026
CVE-2026-45585 (YellowKey) est une vulnérabilité 0-day avec PoC public sur GitHub. Microsoft a publié des mitigations le 20 mai 2026 mais aucun patch n'est disponible. Tout Windows 11 24H2/25H2/26H1 et Windows Server 2025 avec BitLocker en mode TPM-only est exposé. Application des mitigations recommandée immédiatement.
Un chercheur en sécurité connu sous le pseudonyme Chaotic Eclipse (Nightmare-Eclipse) a publié la semaine dernière un exploit fonctionnel baptisé YellowKey, désormais tracké sous CVE-2026-45585. Le principe est brutal : avec une clé USB préparée et 5 minutes d'accès physique à un laptop Windows 11 protégé par BitLocker, un attaquant obtient un shell avec accès total au volume chiffré. Sans laisser de trace. Sans PIN. Sans mot de passe.
Pour les PME françaises, l'impact est immédiat. BitLocker est le standard de chiffrement des laptops d'entreprise en France - des centaines de milliers de postes sont concernés. Un laptop volé dans un train, dans une voiture, ou laissé sans surveillance le temps d'une réunion suffit désormais à exposer l'intégralité des données de l'entreprise. Cet articlé vous explique comment fonctionne l'attaque, quels systèmes sont touchés, et surtout comment vous protéger maintenant.
1. YellowKey CVE-2026-45585 : comment ca fonctionne
La vulnérabilité exploite une faille dans l'utilitaire autofstx.exe (FsTx Auto Recovery Utility), un composant du système de fichiers transactionnel NTFS intégré à l'environnement de récupération Windows (WinRE). En mode WinRE, cet utilitaire démarre automatiquement via l'entrée BootExecute du registre système. YellowKey abuse de ce comportement pour supprimer un fichier clé (winpeshl.ini) et décléncher l'ouverture d'un shell non restreint.
Déroulement de l'attaque YellowKey (étape par étape)
Préparer une clé USB avec les fichiers FsTx craftés (disponibles publiquement sur GitHub depuis le 14 mai 2026)
Brancher la clé USB sur le laptop cible (Windows 11 avec BitLocker TPM-only activé)
Redémarrer la machine en forçant le démarrage dans Windows Recovery Environment (WinRE)
Maintenir la touche CTRL pendant le chargement de WinRE
Un shell spawn avec accès total et non restreint au volume BitLocker - toutes les données sont lisibles
Le CVSS de 6.8 est trompeur. Il est abaissé par le vecteur d'attaque physique (AV:P), mais l'impact réel est maximal : confidentialité, intégrité et disponibilité des données toutes à HIGH. Un laptop volé dans un café ou un train représente un risque immédiat et concret. Source : Microsoft MSRC CVE-2026-45585.
2. Systèmes Windows touchés
YellowKey n'affecte pas toutes les versions de Windows. La faille est spécifique aux systèmes récents qui embarquent la version vulnérable de l'utilitaire FsTx. Les versions antérieures (Windows 10, Windows Server 2019, Windows Server 2022) ne sont pas concernées par cette CVE spécifique.
| Système | Statut | Mitigation disponible |
|---|---|---|
| Windows 11 26H1 (x64) | Vulnérable | Oui (manuelle) |
| Windows 11 25H2 (x64) | Vulnérable | Oui (manuelle) |
| Windows 11 24H2 (x64) | Vulnérable | Oui (manuelle) |
| Windows Server 2025 | Vulnérable | Oui (manuelle) |
| Windows Server 2025 Core | Vulnérable | Oui (manuelle) |
| Windows 10 (toutes versions) | Non affecté | N/A |
| Windows Server 2019/2022 | Non affecté | N/A |
Pour vérifier rapidement la version de Windows sur vos postes : winver dans Exécuter, ou via PowerShell : (Get-WmiObject Win32_OperatingSystem).Caption. Si vous avez migré vers Windows 11 dans les 18 derniers mois, vous êtes très probablement exposés.
3. Risques concrets pour les PME françaises
La combinaison BitLocker + YellowKey + PoC public crée un scénario de risque immédiat et très concret pour les entreprises françaises. Trois situations typiques illustrent l'exposition réelle :
Laptop volé en déplacement professionnel
Un commercial perd son laptop dans un TGV. Avant YellowKey : BitLocker activé = données inaccèssibles = pas de violation RGPD notifiable. Après YellowKey : le voleur dispose d'un PoC sur GitHub, d'une clé USB à 5€, et de 5 minutes. Toutes les données sont accèssibles. Obligation de notification CNIL sous 72h (Art. 33 RGPD) et potentiellement aux clients concernés (Art. 34).
Accès physique non surveillé aux locaux
Personnel de nettoyage, prestataire externe, stagiaire malveillant : 5 minutes seul devant un poste déverrouillé ou éteint suffisent. Le scénario est d'autant plus préoccupant que la plupart des PME n'ont pas de contrôle d'accès physique granulaire dans leurs espaces de travail.
Serveurs Windows Server 2025 en datacenter partagé
Pour les PME hébergeant des serveurs Windows Server 2025 dans des datacenters avec colocation, un accès physique par un tiers (technicien d'astreinte, autre locataire) représente un vecteur d'attaque réel. La mitigation TPM+PIN s'applique aussi aux serveurs avec un module TPM.
Du point de vue RGPD, la position de la CNIL est claire : le chiffrement des données est une mesure de sécurité adéquate seulement si l'accès aux données chiffrées est effectivement impossible. Avec un PoC public, cette condition n'est plus remplie pour les systèmes non mitigés. Les PME de Paris et de toutes les grandes métropoles doivent traitér ceci comme une violation potentielle en cours. Notre articlé sur les droits après une fuite de données détaille les obligations de notification.
4. Mitigation immédiate - ce que vous devez faire maintenant
Microsoft a publié deux niveaux de mitigation le 20 mai 2026. Aucun patch binaire n'est disponible à ce jour. Les actions suivantes doivent être déployées en priorité sur tous les postes et serveurs exposés.
Mitigation 1 - TPM+PIN (recommandée)
- - PowerShell admin :
Add-BitLockerKeyProtector -MountPoint C: -TPMAndPinProtector - - Panneau de config BitLocker - Modifier le démarrage
- - Via Intune/GPO pour déploiement en masse
- - Bloque YellowKey : le PIN est requis avant WinRE
Mitigation 2 - Patch WinRE (technique)
- - Monter l'image WinRE sur chaque machine
- - Monter la ruche registre système de WinRE
- - Supprimer
autofstx.exedu BootExecute - - Démonter, valider, recommiter WinRE
Script PowerShell - Activer TPM+PIN via GPO (à adapter)
# Vérifier l'état BitLocker actuel
Get-BitLockerVolume -MountPoint C:
# Passer en TPM+PIN (demande création du PIN)
Add-BitLockerKeyProtector -MountPoint "C:" -TPMAndPinProtector
# Vérifier que le protecteur TPM-only n'est plus actif
$protectors = (Get-BitLockerVolume C:).KeyProtector
$protectors | Select-Object KeyProtectorType
Pour les environnements avec Intune, activez la stratégie "Require additional authentication at startup" et configurez "Configuré TPM startup PIN" sur "Require startup PIN with TPM". Cette configuration s'applique à la fois aux postes non chiffrés et à ceux déjà chiffrés en mode TPM-only. Pour les PME de Lyon et des grandes métropoles avec des parcs importants, un déploiement via Intune ou SCCM est recommandé plutôt qu'une intervention poste par poste.
5. Contexte et comparaison avec d'autres failles récentes
YellowKey s'inscrit dans une tendance inquiétante de 2026 : la multiplication de vulnérabilités avec PoC public et délai de patch long. En comparaison avec les autres CVE récentes sur lesquelles 2LKATIME a publié des analyses :
| CVE | CVSS | PoC public | Patch dispo |
|---|---|---|---|
| CVE-2026-45585 YellowKey (BitLocker) | 6.8 | Oui | Non |
| CVE-2026-46333 ssh-keysign-pwn | 7.8 | Oui | Oui |
| CVE-2026-42945 nginx-rift | 9.8 | Oui | Oui |
| CVE-2026-43284 Dirty Frag | 7.0 | Partiel | Oui |
Ce qui distingue YellowKey des autres : c'est la première faille de 2026 à cibler directement le chiffrement des données au repos sur Windows, et elle arrive dans un contexte où les contrôles réglementaires CNIL sur la protection des données se renforcent. La combinaison PoC public + pas de patch + impact RGPD direct en fait un sujet prioritaire pour tout RSSI ou DSI de PME française.
Le chercheur Will Dormann a confirmé sur Mastodon que la mitigation TPM+PIN est efficace contre YellowKey : "With this change, the Transactional NTFS replaying that delêtes winpeshl.ini no longer happens." La migration TPM+PIN est donc la priorité absolue avant l'arrivée d'un patch officiel. Source : infosec.exchange @wdormann.
FAQ - CVE-2026-45585 YellowKey
CVE-2026-45585 YellowKey est-il déjà patché ?
Non. Au 20 mai 2026, Microsoft n'a pas encore publié de patch officiel. Seules des mitigations manuelles sont disponibles : supprimer autofstx.exe du BootExecute dans l'image WinRE et passer de TPM-only à TPM+PIN. Un patch complet est attendu dans un prochain Patch Tuesday.
Quels systèmes Windows sont touchés par YellowKey ?
Windows 11 versions 24H2, 25H2 et 26H1 (x64), Windows Server 2025 et Windows Server 2025 Server Core. Les versions antérieures (Windows 10, Server 2019, Server 2022) ne sont pas concernées par cette vulnérabilité.
Un attaquant distant peut-il exploiter CVE-2026-45585 ?
Non. YellowKey nécessite un accès physique : brancher une clé USB et redémarrer en mode WinRE. Cela limité le risque aux scénarios de vol de laptop, d'accès non autorisé aux locaux, ou d'attaque insider - scénarios très concrets en entreprise.
Comment appliquer la mitigation TPM+PIN rapidement ?
Via PowerShell admin : Add-BitLockerKeyProtector -MountPoint C: -TPMAndPinProtector. Via l'interface : Panneau de configuration > Chiffrement BitLocker > Modifier le démarrage > Demander un PIN. Via Intune ou GPO pour un déploiement en masse sur le parc.
Un laptop volé avec BitLocker est-il une violation RGPD notifiable à la CNIL ?
Oui, si YellowKey n'est pas mitigé. La CNIL considère le chiffrement comme mesure adéquate seulement si l'accès aux données est effectivement impossible. Avec un PoC public, un laptop volé sans TPM+PIN exposé l'entreprise à une obligation de notification sous 72h (Art. 33 RGPD) et potentiellement aux personnes concernées (Art. 34).
Sources
Microsoft Security Response Center - CVE-2026-45585
msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45585Advisory officiel Microsoft - mitigations publiées le 20 mai 2026
The Hacker News - Microsoft Releases Mitigation for YellowKey BitLocker Bypass CVE-2026-45585
thehackernews.com/2026/05/microsoft-releases-mitigation-for.htmlAnalyse technique complète - Ravie Lakshmanan - 20 mai 2026
SecurityWeek - Microsoft Rolls Out Mitigations for 'YellowKey' BitLocker Bypass
securityweek.com/microsoft-rolls-out-mitigations-for-yellowkey-bitlocker-bypass/Contexte et impact - SecurityWeek - mai 2026
Vulert - CVE-2026-45585 YellowKey BitLocker Bypass
vulert.com/blog/yellowkey-bitlocker-bypass-cve-2026-45585/Détails CVSS et vecteurs d'attaque - mai 2026
Will Dormann (@wdormann) - Confirmation mitigation TPM+PIN
infosec.exchange/@wdormann/116604563324444723Chercheur en sécurité - validation technique de la mitigation - mai 2026
Votre parc Windows 11 est-il protégé contre YellowKey ?
Vérifier l'état BitLocker de tous vos postes, identifier ceux en mode TPM-only, et déployer la mitigation TPM+PIN sur l'ensemble du parc en moins de 48h : c'est exactement ce que 2LKATIME réalise dans le cadre d'un audit de sécurité endpoints. Nos auditeurs OSCP et OSEP vous livrent un rapport d'exposition et un plan de remédiation actionnable - pas une liste de recommandations génériques.