Quelques jours après la publication publique du PoC YellowKey, Microsoft réagit enfin en publiant des mesures de mitigation temporaires pour limiter les risques d’exploitation de cette faille BitLocker désormais suivie sous l’identifiant CVE-2026-45585.

Cette vulnérabilité permet de contourner certaines protections BitLocker sur Windows 11 et Windows Server en exploitant l’environnement de récupération Windows (WinRE).

YellowKey exploite WinRE pour contourner BitLocker

Comme nous l’évoquions dans notre précédent article, YellowKey permettrait à un attaquant disposant d’un accès physique :

• de démarrer dans WinRE
• d’utiliser des fichiers spécialement préparés
• puis d’obtenir un accès aux volumes BitLocker sans clé de récupération

Le PoC publié par le chercheur Nightmare-Eclipse (également connu sous le nom Chaotic Eclipse) exploite notamment des mécanismes Transactional NTFS et certains comportements du système de récupération Windows.

Microsoft confirme désormais officiellement le problème et attribue le CVE-2026-45585 à cette faille.

Microsoft recommande de désactiver autofstx.exe

Le point technique le plus intéressant concerne la mitigation proposée par Microsoft.

La firme recommande de supprimer l’entrée autofstx.exe de la clé de registre BootExecute utilisée par le Session Manager Windows.

Concrètement, autofstx.exe correspond au composant FsTx Auto Recovery Utility utilisé dans WinRE pour rejouer certaines transactions NTFS pendant les opérations de récupération système.

Selon plusieurs analyses sécurité, YellowKey exploiterait justement ce mécanisme Transactional NTFS afin :

• de manipuler certains fichiers système
• de supprimer winpeshl.ini
• puis d’obtenir une invite de commande non restreinte dans WinRE

En désactivant autofstx.exe, Microsoft bloque donc une partie importante de la chaîne d’exploitation.

Microsoft recommande aussi TPM + PIN

Autre point important : Microsoft recommande désormais explicitement d’utiliser BitLocker avec une configuration TPM + PIN plutôt que TPM seul.

Aujourd’hui, beaucoup de PC Windows 11 utilisent BitLocker en mode TPM-only :

• le TPM déverrouille automatiquement le disque au boot
• aucun code PIN n’est demandé
• l’expérience utilisateur reste transparente

Le problème est que ce mode devient plus vulnérable aux attaques physiques ou aux manipulations du processus de démarrage.

Avec TPM + PIN :

• un code doit être saisi avant le boot Windows
• le TPM seul ne suffit plus
• l’attaque YellowKey devient beaucoup plus difficile à exploiter

Microsoft recommande aussi :

• de protéger l’UEFI/BIOS par mot de passe
• de verrouiller l’ordre de boot
• de limiter le démarrage USB
• de surveiller les accès WinRE inhabituels

Pourquoi Microsoft ne publie pas encore de correctif

Pour le moment, aucun patch complet n’est disponible.

Microsoft explique travailler sur une mise à jour de sécurité future mais préfère publier immédiatement des mitigations afin de réduire les risques pendant la période de vulnérabilité publique.

Le contexte est compliqué car :

• le PoC a déjà été publié
• plusieurs chercheurs ont reproduit la faille
• les exploitations pourraient rapidement apparaître
• BitLocker est activé par défaut sur beaucoup de PC Windows 11

Microsoft précise toutefois qu’aucune exploitation active massive n’a encore été observée pour le moment.

Une série de zero-days Windows publiés publiquement

YellowKey s’inscrit dans une série inhabituelle de divulgations publiques réalisées par Nightmare-Eclipse depuis plusieurs semaines :

• BlueHammer
• RedSun
• GreenPlasma
• MiniPlasma
• UnDefend
• YellowKey

Plusieurs de ces PoC visent :

• les privilèges SYSTEM
• BitLocker
• WinRE
• les protections Windows historiques

Le chercheur accuse Microsoft d’avoir ignoré certains rapports de vulnérabilités, ce qui aurait conduit à ces divulgations publiques après Patch Tuesday.

Pour approfondir ces sujets, consultez ces actualités :

L’article YellowKey : Microsoft publie une mitigation pour le zero-day BitLocker (CVE-2026-45585) est apparu en premier sur malekal.com.

Un code d'exploitation a été publié pour PinTheft, une faille dans le noyau Linux permettant d'effectuer une élévation de privilèges en local. Qui est affecté ?

Le post PinTheft : ce nouvel exploit offre les droits root sur Arch Linux a été publié sur IT-Connect.

Linus Torvalds perd patience : la mailing list dédiée à la sécurité du noyau Linux est en train de craquer sous le poids des rapports de bugs soumis par IA.

Le post « C’est ingérable » : pourquoi Linus Torvalds tape du poing sur la table face à l’IA a été publié sur IT-Connect.

Un employé de GitHub a installé une extension VS Code malveillante sur son PC : les pirates ont pu mettre la main sur environ 3 800 dépôts de code internes.

Le post Piratage GitHub : 3 800 dépôts internes volés suite au hack du PC d’un employé a été publié sur IT-Connect.

Ce 14 mai 2026, Microsoft a déployé une version préliminaire de la mise à jour de juin 2026 de Windows 11 sur le canal Release Preview du programme Windows Insider. Cette future mise à jour à destination de Windows 11 version 25H2 (build 26200.8521) et Windows 11 version 24H2 (build 26100.8521) va être déployée auprès du grand … Lire la suite

Source

Microsoft vient d'annoncer que le Hotpatching pour Windows Server 2025, piloté via Azure Arc, est désormais gratuit ! Voici comment en profiter.

Le post Le Hotpatching est désormais gratuit pour Windows Server 2025 a été publié sur IT-Connect.

Découvrez DirtyDecrypt, une nouvelle faille Linux (CVE-2026-31635) correspondant à une élévation de privilèges en local. Elle permet d'obtenir les droits root.

Le post La faille DirtyDecrypt menace les serveurs Linux : un PoC a été publié a été publié sur IT-Connect.

Windows Autopatch in the Intune admin center now includes an updated Secure Boot status report that provides device-level visibility into certificate readiness ahead of the 2026 expiry deadline. The report shows which devices have Secure Boot enabled, whether their certificates are up to date, and whether automatic or manual deployment applies. New columns for trust configuration, confidence level, and alerts help you make targeted decisions instead of broad deployments.

Source

The May 2026 cumulative update KB5089549 added a new C:\Windows\SecureBoot\ExampleRolloutScripts folder containing seven PowerShell scripts. These scripts are part of Microsoft's sample toolkit for managing Secure Boot certificate migration across enterprise environments. This article explains what each script does, how to run it, and its limitations.

Source

Protégez votre entreprise contre la fraude et l'usurpation d'identité (dont le vishing) grâce à la vérification biométrique effectuée avec Specops Verified ID.

Le post Comment vérifier l’identité d’un utilisateur avec certitude avant d’agir sur son compte ? a été publié sur IT-Connect.

Découvrez comment l'IA accélère la découverte de vulnérabilités, entraînant une explosion des CVE en 2026, y compris dans le monde de l'open source.

Le post +563 % pour Chrome, +180 % pour VMware : l’IA provoque un tsunami historique de failles a été publié sur IT-Connect.

Ce 15 mai 2026, Microsoft a mis en ligne une nouvelle version préliminaire de Windows 11 26H2 (build 26300.8493) sur le canal Expérimental du programme Windows Insider. Au programme : la possibilité de repositionner la barre des tâches (en haut, à gauche ou à droite), une nouvelle option pour une barre des tâches plus compacte, … Lire la suite

Source

Microsoft reconnaît officiellement que la mise à jour de sécurité KB5089549 pour Windows 11 peut échouer à l’installation avec l’erreur 0x800f0922 sur certains PC.

Le problème touche principalement Windows 11 25H2 après le Patch Tuesday de mai 2026 et semble lié aux nouvelles mises à jour du Secure Boot 2023 intégrées dans cette cumulative.

L’erreur 0x800f0922 revient encore sur Windows Update

L’erreur 0x800f0922 n’est pas nouvelle sous Windows Update. Elle apparaît généralement lorsque Windows rencontre un problème pendant :

• la phase de démarrage sécurisé
• la partition EFI
• les composants de récupération
• ou certaines opérations liées au boot

Avec KB5089549, Microsoft confirme que certains systèmes peuvent :

• échouer pendant l’installation
• annuler la mise à jour
• revenir automatiquement à la version précédente
• afficher 0x800f0922 dans l’historique Windows Update

Dans certains cas, plusieurs redémarrages successifs peuvent également survenir avant l’échec final.

Le problème semble lié au Secure Boot 2023

Cette mise à jour contient notamment les nouveaux certificats Secure Boot 2023 qui remplacent progressivement les anciens certificats UEFI de 2011 arrivant à expiration en juin 2026.

Or, la mise à jour de ces composants sensibles du démarrage Windows nécessite :

• des modifications UEFI
• des mises à jour de certificats
• des opérations sur la partition EFI
• des vérifications TPM/Secure Boot

Sur certaines configurations, ces opérations échoueraient pendant la phase d’installation.

Microsoft précise que le problème touche principalement les systèmes utilisant certaines configurations TPM ou Secure Boot spécifiques.

Techniquement, pourquoi l’erreur 0x800f0922 se produit ?

Le problème semble principalement lié à la partition système EFI (ESP — EFI System Partition), utilisée par Windows pour stocker les composants de démarrage UEFI, Secure Boot et BitLocker.

Avec KB5089549, Microsoft déploie notamment les nouveaux certificats Secure Boot 2023 ainsi que des modifications des fichiers de boot. Or, ces opérations nécessitent d’écrire de nouveaux fichiers dans la partition EFI.

Le souci est que beaucoup de PC disposent d’une partition EFI très petite :

• 100 Mo
• 260 Mo
• parfois moins sur certaines anciennes installations OEM

Et cette partition contient déjà :

• les fichiers de boot Windows
• les certificats Secure Boot
• les fichiers BitLocker
• des composants OEM
• parfois plusieurs anciens chargeurs EFI

Microsoft explique que les systèmes disposant de 10 Mo ou moins d’espace libre dans l’ESP sont particulièrement touchés.

Pendant l’installation :

• Windows télécharge la cumulative
• prépare les nouveaux fichiers de boot
• commence la phase de redémarrage
• tente de mettre à jour les composants EFI/Secure Boot

Mais lors de la phase de reboot — vers 35-36 % d’installation — l’espace devient insuffisant et le processus échoue. Windows déclenche alors automatiquement un rollback avec le message : “Nous n’avons pas pu terminer les mises à jour d’annulation du message d’erreur des modifications.”

Dans les journaux, plusieurs erreurs reviennent fréquemment :

• SpaceCheck: Insufficient free space
• ServicingBootFiles failed. Error = 0x70
• SpaceCheck: <value> used by third-party/OEM files outside of Microsoft boot directories

Le dernier message est particulièrement intéressant car il montre que certains constructeurs OEM ajoutent leurs propres fichiers EFI dans la partition système, réduisant encore davantage l’espace disponible.

Cela explique aussi pourquoi le problème est difficile à corriger globalement :

• chaque constructeur utilise un firmware différent
• les tailles de partition EFI varient énormément
• certains OEM ajoutent beaucoup de composants personnalisés
• certaines anciennes installations Windows ont des partitions EFI sous-dimensionnées

Microsoft recommande actuellement d’utiliser un Known Issue Rollback (KIR) côté entreprise afin de désactiver temporairement le changement responsable du problème.

L’installation de la mise à jour de sécurité de mai 2026 peut échouer avec une erreur 0x800f0922

KB5089549 avait déjà corrigé les problèmes BitLocker

Le contexte est un peu ironique car KB5089549 corrige justement un autre problème important introduit par les précédentes mises à jour Windows 11.

Les mises à jour KB5083769 et KB5082052 provoquaient chez certains utilisateurs des écrans de récupération BitLocker après installation des updates mensuels.

Microsoft avait alors expliqué que :

• certains profils PCR7/TPM
• certaines configurations Secure Boot
• et certaines chaînes de démarrage UEFI

entraient en conflit avec les nouvelles mises à jour de sécurité du démarrage Windows.

KB5089549 était censée corriger définitivement ces problèmes BitLocker sur Windows 11 25H2.

Mais visiblement, la mise à jour introduit maintenant de nouveaux soucis d’installation chez certains utilisateurs.

Microsoft travaille sur un correctif

Pour le moment, Microsoft n’a pas publié de solution définitive.

La firme indique enquêter sur :

• les échecs 0x800f0922
• les problèmes de boot liés au Secure Boot 2023
• certaines incompatibilités TPM/UEFI

Un futur correctif devrait être publié dans une prochaine cumulative ou via Known Issue Rollback (KIR).

En attendant, Microsoft recommande surtout :

• de laisser plusieurs tentatives d’installation
• de vérifier que le BIOS/UEFI est à jour
• de ne pas désactiver Secure Boot
• d’éviter les modifications manuelles de la partition EFI

Pourquoi cette transition Secure Boot devient compliquée

Depuis plusieurs mois, Microsoft déploie progressivement une énorme transition de sécurité autour du démarrage Windows :

• nouveaux certificats Secure Boot 2023
• remplacement des certificats 2011
• nouvelles chaînes de confiance UEFI
• renforcement TPM
• nouvelles politiques de démarrage sécurisé

Le problème est que Windows doit rester compatible avec :

• des millions de PC
• des BIOS OEM très différents
• des firmwares parfois anciens
• des configurations TPM variées

Résultat : la moindre modification du processus de boot peut provoquer :

• erreurs Windows Update
• récupérations BitLocker
• rollback des mises à jour
• problèmes de démarrage

A consulter sur le sujet :

L’article KB5089549 : Microsoft confirme des erreurs 0x800f0922 lors de l’installation de la mise à jour Windows 11 est apparu en premier sur malekal.com.

Microsoft vient de confirmer un problème avec la mise à jour de mai 2026 (KB5089549) publiée il y a quelques jours. Sur certains ordinateurs, l’installation de la mise à jour échoue avec le code d’erreur 0x800f0922. Le problème provient d’un espace libre insuffisant (moins de 10 Mo) sur la partition système EFI, une petite partition … Lire la suite

Source

Microsoft has made Platform Single Sign-On (PSSO) during Automated Device Enrollment (ADE) generally available for macOS. The new EnableRegistrationDuringSetup setting in Microsoft Intune completes device registration and SSO configuration automatically during Setup Assistant — the initial macOS setup wizard — before the user ever reaches the desktop. This article explains what PSSO is, why the new setting matters, what you need to configure it, and what limitations to expect.

Source

Microsoft Identity Manager (MIM) 2016 Service Pack 3 (SP3) became generally available on May 14, 2026, after an initial release in late March 2026 that Microsoft quietly withdrew without public explanation. SP3 is primarily a platform compatibility update: it adds support for SQL Server 2022, SharePoint Subscription Edition (SE), and Exchange Server SE. The most technically significant additions are Azure SQL Database support for the Synchronization Service using managed identities and claims-based authentication via Active Directory Federation Services (AD FS) for the MIM Portal. MIM 2016 remains supported until January 9, 2029.

Source

Les pirates de Coinbase Cartel sont parvenus à compromettre le compte GitHub de Grafana Labs et à voler la codebase après avoir compromis un jeton d'accès.

Le post Grafana se fait voler sa codebase sur GitHub mais refuse de payer la rançon des pirates a été publié sur IT-Connect.

Découvrez comment déployer phpIPAM avec Docker pour gérer votre plan d'adressage IP et structurer votre réseau avec cette solution open source.

Le post phpIPAM : une solution open source pour gérer les adresses IP a été publié sur IT-Connect.

Découvrez iodéOS, l'OS mobile open source français qui réduit votre dépendance à Google tout en protégeant votre vie privée, avec des apps open source.

Le post iodéOS : l’alternative française à Android qui dégooglise et mise sur la vie privée a été publié sur IT-Connect.