L’exploitation nécessite un accès physique, les entreprises doivent donc se pencher sur leurs politiques de sécurité des appareils.
Microsoft indique qu’il envisage un correctif pour une vulnérabilité zero-day, baptisée YellowKey, qui permet aux attaquants ayant accès à un appareil Windows de contourner la protection par cryptage Bitlocker et de lire et d’écrire des fichiers. La faille a été révélée la semaine dernière et une preuve de concept publique est déjà disponible.
La société a publié mardi un avis indiquant que les entreprises devraient agir pour atténuer le problème, suivi sous le numéro CVE-2026-45585, tout en examinant la possibilité d’un correctif. Dans son avis, il a indiqué les mesures immédiates que les entreprises devraient prendre. Une défense clé contre une éventuelle attaque consiste à limiter l’accès aux appareils vulnérables, car un accès physique est requis pour l’exploitation.
« Les organisations devraient commencer par auditer leur environnement pour détecter les conditions qui les rendent vulnérables à YellowKey », a déclaré Eric Grenier, analyste directeur principal chez Gartner. « Ils doivent également avoir une compréhension claire de leur acceptation des risques en cas de perte/vol d’un appareil et, sur la base de cette acceptation (ou non-acceptation), suivre les étapes telles que la personnalisation du démarrage sécurisé et la garantie de l’intégrité du micrologiciel et du démarrage. » .
Karl Fosaaen, vice-président de la recherche chez la société de cybersécurité NetSPI, est du même avis. « Étant donné que cette vulnérabilité nécessite un accès physique pour être exploitée, les organisations devraient se concentrer sur les contrôles de sécurité physique autour de leurs appareils Windows », a-t-il déclaré. « La mise en place de politiques et de contrôles stricts concernant l’accès physique aux appareils est une bonne première étape pour contribuer à protéger les appareils potentiellement vulnérables. S’il existe des préoccupations supplémentaires concernant la possibilité pour les attaquants d’accéder aux fichiers du système, les organisations peuvent envisager de limiter les données qu’elles autorisent les utilisateurs à stocker localement. »
L’un des problèmes auxquels sont confrontées les entreprises est la prolifération d’employés utilisant des appareils mobiles, ce qui rend plus difficile pour les organisations d’en restreindre l’accès. « On voit de plus en plus d’entreprises avoir des données d’entreprise sur leurs ordinateurs portables, et YellowKey peut laisser ces données déverrouillées », a déclaré Nathan Davies-Webb, consultant principal chez la société de sécurité basée au Royaume-Uni Acumen. C’est là qu’interviennent des politiques strictes de sécurité des appareils, par exemple en interdisant aux utilisateurs de laisser leurs appareils sans surveillance.
Cependant, a déclaré Fosaaen, ce qui rend la détection d’une attaque particulièrement difficile pour l’utilisateur individuel est qu’il n’est pas immédiatement évident qu’un appareil a été ciblé. « Si un attaquant utilisait l’exploit pour lire des fichiers à partir du volume crypté, il n’y aurait probablement aucun indicateur pour un utilisateur. Si l’attaquant implantait un logiciel malveillant, vous pourriez constater une utilisation accrue du système ou d’autres problèmes de performances », a-t-il noté.
Pour aggraver les choses, il est également possible que les conseils d’atténuation de Microsoft ne soient pas efficaces. Dans un article publié sur un site de sécurité, le chercheur Will Dormann a souligné qu’il pourrait y avoir un moyen de contourner la solution proposée par l’entreprise. Cela étant, les responsables informatiques attendront certainement un correctif de Microsoft.
Bien que Microsoft ait annoncé qu’il étudiait un tel correctif, Davies-Webb ne pense pas qu’une solution soit simple. « Je suppose fortement que c’est quelque chose qui est là par conception », a-t-il déclaré. « Microsoft se demanderait : « Si j’arrête cela, qu’est-ce que je retirerais ? » Je soupçonne fortement qu’il existe certaines fonctionnalités de Windows, peut-être quelque chose dans la fabrication, qui pourraient être affectées par n’importe quel correctif.
« En outre », a-t-il ajouté, « la publication d’un correctif pourrait prendre un certain temps. La vulnérabilité RedSun (dans Windows Defender) a été identifiée le mois dernier et n’a toujours pas été corrigée. »
