Des chercheurs de la société de sécurité Intrinsec ont récemment dévoilé un outil appelé « BitUnlocker » qui peut contourner le cryptage de disque BitLocker de Windows 11 en moins de 5 minutes en utilisant uniquement le mode de protection TPM (Trusted Platform Module). L'outil exploite ce que l'on appelle une « attaque par rétrogradation » qui exploite le décalage entre le moment où le logiciel est corrigé et celui où les anciens certificats sont révoqués. En chargeant des composants plus anciens mais toujours fiables, il ouvre finalement un disque protégé par BitLocker.
Cette attaque est liée à la vulnérabilité de sécurité numérotée CVE-2025-48804, qui se trouve dans le mécanisme de traitement de l'environnement de récupération Windows (environnement de récupération Windows) et de l'image de déploiement du système (image de déploiement du système). Microsoft a publié un correctif en juillet 2025 pour y remédier. Cependant, les chercheurs ont souligné que même si la vulnérabilité est corrigée, tant que l'ancien certificat est toujours approuvé par le système, il peut toujours être contourné via la voie de rétrogradation.
À en juger par les conditions d'attaque, BitUnlocker n'est pas un outil d'attaque à distance. L'attaquant doit d'abord obtenir un accès physique au périphérique cible. Par exemple, un attaquant pourrait utiliser une clé USB pré-préparée pour fournir au gestionnaire de démarrage Windows un fichier image Windows (WIM) entièrement formaté et signé qui réussit le contrôle d'intégrité pendant la phase de démarrage, tout en incluant une charge utile malveillante. Une fois que le système a vérifié le fichier image « propre », il continue d'y lancer sans condition le code malveillant, accédant ainsi au volume déchiffré.
La vraie clé est qu’il tire parti de l’espace de « secours » dans la chaîne de certificats. Actuellement, le premier certificat racine Windows PCA 2011 de Microsoft est toujours globalement approuvé par Secure Boot, qui offre aux attaquants un espace de rétrogradation : ils peuvent charger une ancienne version du binaire du gestionnaire de démarrage contenant des vulnérabilités connues, et l'ancienne version du fichier peut toujours passer la vérification de signature de Secure Boot et être exécutée par le système en tant que composant légitime.
Cette attaque est un avertissement sévère pour les utilisateurs réguliers de PC et les passionnés qui s'appuient uniquement sur la configuration TPM par défaut pour utiliser BitLocker. Lorsque l'ancien gestionnaire de démarrage mis à niveau est en cours d'exécution, le TPM vérifie toujours les mesures de démarrage en fonction du processus existant et les compare au certificat PCA 2011, toujours fiable. Étant donné que l'environnement système « semble normal » de son point de vue, le TPM débloquera la clé principale de volume BitLocker sans aucune anomalie et l'ensemble du processus ne déclenchera aucun mécanisme d'alarme.
À l’heure actuelle, le plus grand « tampon » pour cette chaîne d’attaques reste la condition préalable au contact physique avec l’appareil. Pour les systèmes sur lesquels le TPM et la configuration du code PIN de pré-démarrage sont activés, les attaques telles que BitUnlocker perdront leur portée : le TPM nécessite des étapes de saisie manuelle supplémentaires avant de libérer la clé. Tant que le code PIN n’est pas divulgué, il est difficile pour un attaquant physique de terminer l’intégralité du processus de rétrogradation et d’obtenir la clé de déchiffrement.
De plus, les appareils qui ont terminé la mise à jour KB5025885 et migré la chaîne de confiance Secure Boot vers le nouveau certificat numérique Windows UEFI CA 2023 peuvent essentiellement bloquer ce chemin de rétrogradation. Dans cette configuration, les composants de démarrage hérités qui s'appuient sur PCA 2011 ne sont plus fiables et ne peuvent pas être utilisés comme points d'entrée. Les chercheurs ont souligné que les utilisateurs et les entreprises devraient vérifier dès que possible si leurs systèmes ont effectué les mises à jour pertinentes et, si les conditions le permettent, activer des mesures de protection supplémentaires telles que des codes PIN de pré-démarrage pour réduire le risque d'attaques physiques.
apprendre encore plus:
https://github.com/garatc/BitUnlocker