Une attaque baptisée BitUnlocker permettrait de contourner le chiffrement BitLocker en moins de cinq minutes sur certains PC Windows. Elle ne demande ni mot de passe, ni clé de récupération, ni matériel coûteux. Les ordinateurs portables sous Windows 10 et Windows 11 avec TPM 2.0 sont concernés dès qu’un attaquant obtient un accès physique à la machine.
Un PC volé avec BitLocker n’est pas forcément protégé
BitLocker est souvent perçu comme une barrière suffisante en cas de vol d’un ordinateur portable. BitUnlocker montre que cette protection peut être contournée dans un scénario bien précis : quand l’attaquant a le PC entre les mains.
Le danger est clair. Une personne malveillante pourrait accéder aux fichiers d’un appareil chiffré sans connaître le mot de passe de session et sans disposer de la clé de récupération BitLocker.
D’après les informations disponibles, l’opération peut prendre moins de cinq minutes.
BitUnlocker s’attaque à WinRE, pas au chiffrement lui-même
BitUnlocker ne casse pas BitLocker par force brute. L’attaque vise l’environnement de récupération de Windows, appelé WinRE.
Ce système sert à réparer Windows lorsque le démarrage échoue ou qu’un problème bloque la machine. Microsoft l’a rendu plus pratique en lui permettant d’effectuer certaines réparations automatiquement, sans demander sans cesse une authentification.
C’est cette facilité qui ouvre la porte à l’attaque.
Les pirates forcent le PC à utiliser une ancienne version vulnérable de WinRE. Ils peuvent ensuite récupérer en mémoire les clés BitLocker, dont les FVEK, utilisées pour déchiffrer le disque.
Une fois ces clés extraites, les données deviennent accessibles.
Les PC Windows 10 et Windows 11 avec TPM 2.0 sont touchés
Les machines modernes sous Windows 10 et Windows 11 équipées d’un TPM 2.0 font partie des systèmes concernés.
C’est inquiétant, car cette configuration est justement censée renforcer la sécurité de BitLocker. Le TPM doit aider à protéger les clés de chiffrement et empêcher l’accès aux données en cas de vol.
Avec BitUnlocker, le problème ne vient pas d’un mot de passe faible. Il vient du chemin de récupération Windows, exploité avant que la protection ne joue pleinement son rôle.
Le vrai risque concerne les ordinateurs perdus ou laissés sans surveillance
Cette attaque exige un accès physique au PC. Elle ne permet donc pas de vider un ordinateur à distance depuis Internet.
Le risque devient sérieux pour les ordinateurs portables volés, oubliés dans un train, laissés dans une voiture ou abandonnés quelques minutes dans un lieu public.
Pour une entreprise, cela peut signifier l’exposition de documents internes, de fichiers clients ou de données confidentielles. Pour un particulier, cela peut toucher des photos, des documents administratifs, des mots de passe enregistrés ou des fichiers personnels.
Microsoft prépare des protections, mais la prudence reste nécessaire
Microsoft travaille avec les chercheurs à l’origine de la découverte pour renforcer WinRE. Les correctifs doivent notamment rendre plus difficiles les attaques par retour vers une ancienne version vulnérable.
La priorité est de durcir l’environnement de récupération, afin qu’il ne puisse plus servir de point d’entrée contre BitLocker.
En attendant une protection largement déployée, il faut limiter au maximum l’accès physique aux machines contenant des données sensibles.
Un mot de passe fort, un verrouillage rapide de la session et une surveillance stricte des appareils restent essentiels. Pour les données les plus sensibles, une couche de chiffrement supplémentaire peut aussi réduire le risque.
BitLocker garde son utilité, mais cette attaque rappelle une chose simple : un PC chiffré n’est pas intouchable s’il tombe entre de mauvaises mains.
Passionné de téléphones mobiles, de maison intelligente et d’intelligence artificielle. Pendant mon temps libre, j’aime nager, faire du vélo et programmer de nouvelles applications.
