BitLocker

🗓️ Contexte Article publié le 27 mai 2026 sur Tom’s Hardware, relatant un conflit public entre le chercheur en sécurité Nightmare-Eclipse (alias Chaotic Eclipse) et Microsoft/MSRC, ayant conduit à la publication de plusieurs zero-days Windows sans coordination de divulgation responsable. ⚔️ Conflit chercheur / éditeur Le différend a débuté début avril avec la publication sans préavis du zero-day BlueHammer. Eclipse affirme que Microsoft a refusé toute communication, supprimé son compte Microsoft utilisé pour les rapports de bugs, puis banni son compte GitHub. Il allègue également ne pas avoir reçu de paiement du programme MSRC Bug Bounty (qui prévoit des récompenses de 30 000 $ à 250 000 $ selon la criticité). Eclipse a migré vers GitLab suite au bannissement. ...

🗓️ Contexte Publié le 13 mai 2026 par Cybernews, cet article rapporte la troisième vague de divulgations publiques de zero-days Windows par un chercheur anonyme se faisant appeler “Chaotic Eclipse” ou “Nightmare Eclipse”, qui affirme avoir été lésé personnellement par Microsoft. 🔓 Exploit 1 : “Yellow Key” — Bypass BitLocker L’exploit nommé “Yellow Key” permet de contourner entièrement le chiffrement BitLocker sur les systèmes affectés. Le vecteur d’attaque requiert : Brancher une clé USB contenant l’exploit sur la machine cible Redémarrer dans l’environnement de récupération Windows (WinRE) Entrer une combinaison de touches spécifique Un shell avec accès non restreint au volume chiffré est alors obtenu Le chercheur suspecte que le composant vulnérable a été intentionnellement planté dans l’environnement de récupération, car il est présent dans une installation Windows normale mais sans les fonctionnalités déclenchant le bypass. Les systèmes affectés sont Windows 11, Windows Server 2022 et Windows Server 2025 (Windows 10 non concerné). L’exploit est disponible publiquement sur GitHub et a été confirmé fonctionnel par le chercheur KevTheHermit. ...

🗓️ Contexte Publié le 13 mai 2026 par Cybernews, cet article rapporte la troisième vague de divulgations publiques de zero-days Windows par un chercheur en sécurité anonyme, opérant sous les alias “Chaotic Eclipse” et “Nightmare Eclipse”. Ces publications sont systématiquement effectuées juste après le Patch Tuesday de Microsoft. 🔓 Exploit 1 : “Yellow Key” — Bypass de BitLocker Le premier exploit, nommé “Yellow Key”, permet de contourner entièrement le chiffrement BitLocker sur les systèmes affectés. Le vecteur d’attaque nécessite : ...

📅 Contexte Article publié le 13 avril 2026 sur Tomsguide.fr, basé sur le document technique Microsoft Support KB5062710. Il traite de l’expiration imminente des certificats cryptographiques fondant la chaîne de confiance du Secure Boot Windows, émis en 2011 à l’époque de Windows 8. 🔐 Certificats concernés et calendrier Microsoft a publié un calendrier précis d’expiration : Certificat KEK (Key Enrollment Key) : expiration en juin 2026 Certificat UEFI CA : expiration en juin 2026 Certificat Windows Production PCA : expiration en octobre 2026 Des versions de remplacement millésimées 2023 doivent prendre le relais. ...

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

Selon Project Black (référence citée), cette publication décrit une technique d’accès physique bien connue permettant de contourner l’écran de connexion Windows en détournant la fonction d’accessibilité Sticky Keys. Le cœur de l’attaque consiste à remplacer l’exécutable de Sticky Keys (sethc.exe) par l’invite de commandes (cmd.exe) dans C:\Windows\System32. Une fois à l’écran de login, l’appui sur MAJ cinq fois déclenche alors un shell en privilèges SYSTEM au lieu de l’outil d’accessibilité. Ce contournement permet de réinitialiser des mots de passe ou de créer des comptes administrateurs sans s’authentifier. ⚠️ ...