Un développeur qui se fait appeler cpaczek a eu une idée un peu folle, celle de transformer le plafond de son salon en fenêtre sur le ciel. Son projet, baptisé Skylight, affiche en temps réel chaque avion qui passe réellement au-dessus de chez lui, à l'endroit exact où il se trouve dans le ciel.

Tout part de l'ADS-B (Automatic Dependent Surveillance-Broadcast), la norme par laquelle les avions diffusent en continu leur position, leur altitude et leur identité depuis un transpondeur embarqué, des signaux que n'importe qui peut capter chez soi.

En pleine flambée des prix de la mémoire et du stockage, un bricoleur du nom de Chase Fournier a imaginé une façon rigolote de recycler du vieux matériel : récupérer les puces de stockage de deux Xbox One pour les assembler en une seule clé USB de 10 Go, suffisamment compacte pour tenir dans la main.

Son astuce repose sur un composant méconnu. La carte mère d'une Xbox One S embarque une puce eMMC, autrement dit de la mémoire flash soudée qui sert de stockage interne, exactement le même type de composant que l'on trouve dans un smartphone d'entrée de gamme. Sur la console, cette puce dispose d'une capacité de 5 Go.

BitLocker, c'est le système de chiffrement intégré à Windows qui protège vos disques contre quelqu'un qui mettrait la main sur votre machine. Activé par défaut sur Windows 11 et installé sur des millions d'ordinateurs, il est censé garantir que sans votre mot de passe ou votre code de récupération, personne ne lit ce qu'il y a dessus.

Sauf qu'un chercheur en sécurité, Chaotic Eclipse, vient de publier une démonstration qui réduit cette promesse en miettes.

L'exploit s'appelle YellowKey et c'est une faille zero-day, c'est-à-dire une vulnérabilité connue avant que Microsoft ne sorte de correctif. La méthode est presque insultante de simplicité. Vous copiez un dossier nommé "FsTx", planqué dans le répertoire système "System Volume Information", sur une clé USB.

Vous redémarrez la machine en appuyant sur les bonnes touches. Et là, surprise. Windows vous propose un accès en ligne de commande avec les pleins pouvoirs, et le chiffrement BitLocker est contourné comme s'il n'avait jamais existé.

Pire encore, les fichiers utilisés pour l'attaque disparaissent après usage, ce qui ne laisse quasi aucune trace. Pour Chaotic Eclipse, ce comportement ressemble plus à une porte dérobée laissée par Microsoft qu'à une faille classique. C'est-à-dire un accès secret délibérément intégré au système, plutôt qu'un bug malheureux.

Le chercheur précise au passage que ses précédents rapports de sécurité ont été "apparemment rejetés" par les équipes de Microsoft. Bref, nous ne sommes pas dans de la collaboration sereine.

Côté machines concernées : Windows 11, Windows Server 2022 et 2025. Windows 10 passe entre les gouttes. Microsoft, pour l'instant, n'a fait aucune déclaration publique sur le sujet. Si BitLocker était le seul rempart entre vous et un voleur d'ordinateur, c'est le moment de revoir votre stratégie. 

Les entreprises qui s'appuient sur BitLocker pour leurs flottes de portables vont devoir se poser sérieusement la question d'un complément ou d'une alternative, en attendant un patch officiel qui n'arrive visiblement pas.

La théorie de la porte dérobée volontaire est évidemment difficile à prouver. Il faudrait soit un aveu de Microsoft, soit une analyse approfondie du code source qui n'est pas public.

Mais le profil de la faille (mécanisme trop propre, comportement trop spécifique, fichiers qui s'auto-nettoient) interpelle. D'autant que la fonction utilisée n'a pas de raison technique évidente d'exister dans un système destiné à empêcher l'accès au disque sans authentification.

Vous l'avez compris, une faille à laquelle on accède avec une clé USB et trois touches au démarrage, ça fait beaucoup pour un outil censé protéger des secrets industriels.

Source : Tom's Hardware