Une faille zero-day baptisée GreatXML permet de contourner entièrement le chiffrement BitLocker sur Windows, sans modifier le système d'exploitation principal, sans code PIN, et sans que l'utilisateur s'en aperçoive. Le chercheur en sécurité NightmareEclipse a découvert et développé un proof of concept fonctionnel en seulement quatre heures. Aucun correctif Microsoft n'existe à ce jour. Si votre organisation s'appuie sur BitLocker comme principale barrière contre la compromission des données en cas de vol de poste, vous devez lire ce qui suit attentivement.
GreatXML n'est pas un exploit qui force le chiffrement par brute force, ni qui attaque la clé TPM directement. Son approche est bien plus subtile : il abuse d'une interaction entre deux composants Windows parfaitement légitimes, le Windows Recovery Environment et le mécanisme de scan hors ligne de Windows Defender, pour obtenir un accès shell avec des privilèges élevés sur un volume chiffré. L'attaquant contourne BitLocker non pas en cassant la cryptographie, mais en manipulant l'environnement qui précède le chargement du système d'exploitation, là où les protections habituelles ne s'appliquent pas encore.
Ce qui rend GreatXML particulièrement dangereux, c'est sa discrétion opérationnelle. La technique ne laisse pas de traces évidentes dans les journaux d'événements Windows standard, et elle n'exige aucune modification des fichiers système du volume principal. Tout se passe dans la partition de récupération, un espace que la plupart des outils de supervision ne surveillent pas. Pour comprendre pourquoi cela fonctionne, il faut examiner précisément l'interaction entre WinRE et le fichier unattend.xml.
Le Windows Recovery Environment est un environnement de récupération allégé, pré-système, conçu pour permettre des opérations de maintenance, de réparation et de réinitialisation en dehors du système d'exploitation principal. Il est accessible via la combinaison Shift + Redémarrer depuis l'écran de connexion Windows, ou automatiquement lors de certaines séquences de démarrage échoué. Cet environnement traite des fichiers de configuration spécifiques au moment de son initialisation, dont unattend.xml, situé dans le répertoire Recovery à la racine de la partition de récupération système.
Selon SecurityWeek, la technique GreatXML consiste à placer un fichier unattend.xml modifié à cet emplacement précis. Lorsque WinRE démarre, il traite automatiquement cette configuration malveillante, ce qui ouvre un shell avec des droits élevés permettant un accès direct au volume BitLocker. La mécanique est simple à l'exécution : l'attaquant n'a pas besoin d'exploiter une vulnérabilité dans le code de BitLocker lui-même. Il détourne un fichier de configuration que Windows fait confiance par conception.
La connexion avec Windows Defender Offline Scan est le second vecteur d'entrée. Cette fonctionnalité redémarre délibérément la machine en WinRE pour analyser les logiciels malveillants actifs qui résistent à une suppression depuis Windows en cours d'exécution. C'est précisément cette interaction entre WinRE et les fichiers de configuration non protégés qui constitue la surface d'attaque exploitée par GreatXML, comme le précise CybersecurityNews.
La réponse instinctive de nombreux responsables sécurité sera : "Nous utilisons la protection TPM, nous sommes couverts." Ce raisonnement est erroné dans le contexte de GreatXML. D'après l'analyse publiée par Cyderes, le contournement fonctionne quel que soit le mode de protection BitLocker configuré, y compris la protection TPM uniquement. La raison est directe : le TPM libère automatiquement la clé de déchiffrement lors d'un démarrage normal mesuré, sans exiger de code PIN. WinRE représente un contexte de démarrage différent, mais sur de nombreuses configurations, le TPM valide tout de même la chaîne de démarrage et la clé est libérée avant que l'environnement malveillant n'entre en jeu.
La protection TPM avec PIN préboot constitue une atténuation partielle, mais elle ne rend pas GreatXML inopérant dans tous les scénarios. Le problème de fond reste que BitLocker, dans sa configuration par défaut la plus répandue en entreprise, fait confiance à WinRE comme environnement légitime. Et WinRE fait confiance à unattend.xml sans validation cryptographique de son contenu. C'est cet enchaînement de confiances implicites que l'exploit exploite, pas une faiblesse dans l'algorithme AES-256 qui sous-tend BitLocker.
NightmareEclipse est le chercheur en sécurité à qui l'on doit la découverte et le développement de GreatXML. Ce qui frappe dans la chronologie, c'est la rapidité d'exécution : entre l'observation initiale de l'interaction anormale entre WinRE et unattend.xml et un proof of concept pleinement fonctionnel, il s'est écoulé quatre heures, selon CybersecurityNews. Ce délai dit beaucoup sur la complexité réelle de l'exploitation : il ne s'agit pas d'une vulnérabilité qui nécessite des mois de rétro-ingénierie. Un attaquant compétent, sachant où chercher, peut répliquer cette technique rapidement.
La divulgation est intervenue sans correctif disponible. Au moment où GreatXML a été rendu public, Microsoft n'avait publié aucun patch pour adresser ce vecteur. Ce type de situation, une divulgation de zero-day sans correctif synchronisé, crée une fenêtre d'exposition indéfinie pour les organisations. Contrairement aux vulnérabilités publiées dans le cadre du Patch Tuesday, où une mise à jour est disponible dès l'annonce, GreatXML laisse les équipes de sécurité dans la position délicate de devoir gérer un risque sans solution technique directe de Microsoft.
Pour les équipes qui suivent les renseignements sur les cybermenaces, le signal d'alerte ici ne vient pas d'un groupe de menace étatique ou d'un acteur ransomware connu : il vient d'un chercheur individuel qui a démontré en quelques heures que l'une des protections les plus déployées en entreprise présente une faille fondamentale dans sa conception opérationnelle.
GreatXML affecte Windows dans sa configuration standard avec BitLocker activé, ce qui représente une part significative des parcs informatiques d'entreprise, bancaires et gouvernementaux dans la région EMEA. La technique cible la partition de récupération, un composant présent sur toute installation Windows moderne. Selon GBHackers, l'exploit fonctionne sur un large spectre de configurations Windows, indépendamment du mode de gestion du poste, qu'il soit administré par politique de groupe classique ou par une solution MDM.
Un point technique mérite une attention particulière, car il détermine directement l'étendue de votre exposition. Cyderes précise que lorsqu'une machine a subi au moins un scan Windows Defender Offline dans son historique, elle devient définitivement vulnérable à l'exploitation sans nécessiter de connexion préalable au système. Cette condition est critique à interpréter correctement.
Windows Defender Offline Scan est une fonctionnalité que les équipes de sécurité utilisent délibérément, souvent après détection d'un malware persistant ou lors d'une investigation de réponse sur incident. En d'autres termes, les machines sur lesquelles vous avez réalisé des opérations de sécurité actives sont potentiellement les plus exposées. La question à poser immédiatement à votre équipe est : sur quels postes avons-nous lancé un scan Defender hors ligne au cours des douze derniers mois ? L'inventaire de ces machines devient une priorité de remédiation.
Pour les postes qui n'ont jamais subi ce type de scan, la vulnérabilité reste présente, mais son exploitation requiert une étape préparatoire supplémentaire. La distinction n'est pas une garantie de sécurité ; c'est une gradation du risque.
Si vous gérez votre parc via Microsoft Intune, VMware Workspace ONE, ou toute autre solution MDM, ne partez pas du principe que vos politiques de configuration vous protègent de GreatXML. GBHackers confirme que la technique fonctionne quel que soit le mode d'administration du poste. Les politiques MDM contrôlent la configuration du système d'exploitation principal et les paramètres BitLocker, mais elles ne surveillent pas le contenu de la partition de récupération en temps réel. Un attaquant ayant eu un accès physique à un poste, même brièvement, peut avoir placé un unattend.xml malveillant sans que votre console de gestion ne le détecte.
C'est un rappel que la gestion centralisée des postes ne constitue pas une protection contre les attaques qui opèrent en dehors du périmètre que ces outils surveillent. La partition de récupération reste un angle mort dans la plupart des architectures de supervision d'entreprise. Si votre organisation gère des postes nomades, des laptops d'executives ou des machines dans des environnements physiques peu contrôlés, ce vecteur mérite une évaluation immédiate dans votre analyse de risques.
GreatXML ne signe pas la mort de BitLocker. Il redéfinit ce que BitLocker peut et ne peut pas garantir. Le chiffrement de disque protège vos données contre un attaquant qui extrait physiquement le disque dur pour le lire sur une autre machine. Cette protection reste intacte. Ce que GreatXML démontre, c'est que BitLocker ne protège pas contre un attaquant qui dispose d'un accès physique au poste en état de fonctionner, avec sa partition de récupération intacte, et qui sait manipuler l'environnement pré-système.
Beaucoup d'organisations ont construit leur stratégie de protection des données sur l'équation suivante : poste volé égale données inaccessibles grâce à BitLocker. Cette équation tenait dans un modèle de menace où l'attaquant voulait lire le disque hors contexte. Elle ne tient plus face à un attaquant qui a du temps devant lui, des compétences techniques, et un accès à la machine complète, même temporairement.
Les implications réglementaires ne sont pas négligeables. Sous le RGPD, une violation de données sur un poste chiffré peut bénéficier d'une exemption d'obligation de notification si le chiffrement est jugé approprié et intègre. Si GreatXML permet de contourner ce chiffrement, l'argument de l'exemption devient fragile. Votre DPO et votre équipe juridique doivent être informés de cette nuance, en particulier si votre organisation traite des données de santé, des données financières ou des informations relevant de la défense nationale.
La défense en profondeur reprend ici tout son sens. BitLocker doit être une couche parmi d'autres, pas la couche finale. L'accès conditionnel, la segmentation réseau, la surveillance des comportements anormaux au niveau des endpoints, la gestion des identités et des accès privilégiés : ces contrôles complémentaires réduisent la valeur de l'accès qu'un attaquant obtiendrait même s'il parvenait à contourner le chiffrement.
En l'absence de correctif Microsoft, les actions disponibles sont des mesures d'atténuation, pas des solutions définitives. La première est d'activer le PIN préboot BitLocker sur tous les postes qui présentent un risque d'accès physique non autorisé : laptops, postes dans des locaux accessibles à des tiers, machines de démonstration. Cette configuration force l'utilisateur à saisir un code PIN avant que le TPM ne libère la clé de déchiffrement, ce qui complique l'exploitation de GreatXML même si elle ne l'élimine pas totalement.
La seconde mesure est de surveiller activement les modifications dans la partition de récupération. La plupart des solutions EDR ne couvrent pas cet espace par défaut ; vérifiez votre configuration. Un fichier unattend.xml placé dans le répertoire Recovery de la partition système est le signal direct d'une tentative d'exploitation. Cette vérification peut être scriptée et intégrée dans vos contrôles de conformité périodiques.
Troisièmement, révisez votre politique d'utilisation de Windows Defender Offline Scan. Cette fonctionnalité reste utile, mais son usage doit désormais être tracé et les machines concernées marquées comme nécessitant une surveillance renforcée. Un inventaire des machines ayant subi ce type de scan est une action immédiate. Enfin, les organisations dont les postes hébergent des données très sensibles devraient envisager des solutions de chiffrement complémentaires à BitLocker, notamment des outils qui appliquent le chiffrement au niveau des fichiers ou des dossiers, indépendamment de l'environnement de démarrage.
La détection de GreatXML repose sur la surveillance d'un vecteur que peu d'équipes SOC couvrent activement : la partition de récupération Windows. L'indicateur primaire est la présence d'un fichier unattend.xml dans le répertoire \Recovery\ à la racine de la partition de récupération système. Ce fichier n'est pas présent par défaut dans une installation Windows standard non modifiée. Sa présence doit être traitée comme un signal d'alerte immédiat.
Les indicateurs de compromission associés à ce vecteur incluent également des redémarrages non planifiés en mode WinRE, visibles dans les journaux d'événements Windows sous les identifiants d'événement liés aux séquences de récupération. Un démarrage en WinRE qui n'est pas corrélé à une action utilisateur documentée ou à un incident technique connu mérite une investigation. Les journaux du système BIOS ou UEFI, si votre matériel les expose, peuvent également révéler des séquences de démarrage anormales.
Du côté des contrôles préventifs, une vérification d'intégrité périodique de la partition de récupération peut être intégrée dans vos scripts de conformité. Sous PowerShell, la commande reagentc /info fournit des informations sur l'état et l'emplacement de WinRE ; coupler cette vérification avec un hash de la partition de récupération au moment du déploiement initial permet de détecter toute modification ultérieure. Ce contrôle peut être poussé via votre solution MDM ou votre outil de gestion des configurations.
Sur le plan du renseignement, les acteurs qui s'intéressent au vol de données sur postes physiques, notamment les groupes spécialisés dans l'espionnage industriel et les accès initiaux revendus sur des forums du dark web, ont désormais un vecteur documenté et public contre BitLocker. La probabilité que GreatXML apparaisse dans des kits d'exploitation ou des offres de services sur des marchés clandestins est réelle. Une surveillance de ces espaces pour détecter des mentions de cette technique ou des offres d'accès à des postes spécifiques constitue un signal d'alerte précoce pertinent.
Oui. Pour placer le fichier unattend.xml malveillant dans la partition de récupération et ensuite forcer un redémarrage en WinRE, un attaquant doit avoir eu un accès physique direct au poste, ou disposer de droits d'administration suffisants pour écrire dans cette partition depuis Windows. L'exploitation pure à distance sans privilèges préalables n'est pas décrite dans les sources disponibles sur GreatXML. Cela ne minimise pas le risque : un accès physique de quelques minutes suffit, lors d'une conférence, dans un espace de coworking, ou dans un bureau peu surveillé.
La machine reste vulnérable dans le sens où la technique peut être appliquée, mais la condition décrite par Cyderes précise qu'un historique de scan Defender hors ligne rend l'exploitation possible sans connexion préalable au système. Si aucun scan hors ligne n'a été effectué, l'attaquant doit franchir une étape préparatoire supplémentaire. La distinction affecte la facilité d'exploitation, pas l'existence de la vulnérabilité elle-même.
Non. Au moment de la divulgation publique de GreatXML par NightmareEclipse, aucun correctif officiel n'avait été publié par Microsoft, selon CybersecurityNews. Il s'agit d'un zero-day sans patch disponible. Surveillez les bulletins de sécurité Microsoft et les mises à jour du Patch Tuesday pour toute annonce de correctif adressant ce vecteur. En attendant, les mesures d'atténuation décrites dans cet article restent vos seuls leviers techniques directs.
Les sources disponibles indiquent que GreatXML fonctionne sur un large spectre de configurations Windows, sans restriction à une version spécifique. La technique exploite l'interaction entre WinRE et unattend.xml, deux composants présents dans Windows 10 et Windows 11. GBHackers confirme que l'exploit cible ces mécanismes sans nécessiter de modification du système d'exploitation principal, ce qui le rend applicable indépendamment de la version majeure de Windows concernée.
Non, pas dans le scénario décrit par les recherches disponibles. L'exploitation nécessite de modifier physiquement le contenu de la partition de récupération, ce qui implique soit un accès physique direct au poste, soit des droits d'administration élevés déjà acquis sur la machine cible. Dans ce second cas, l'attaquant dispose déjà d'un niveau d'accès suffisamment élevé pour causer d'autres types de dommages. GreatXML est avant tout un vecteur de menace physique ou post-compromission, particulièrement pertinent dans les scénarios de vol de poste ou d'accès non autorisé aux locaux.
Ce type de menace illustre un problème structurel : les informations critiques sur une campagne active circulent d'abord dans des canaux fermés, forums clandestins et groupes Telegram privés, avant d'atteindre les équipes de sécurité par les canaux habituels. Le temps perdu dans cet écart est souvent celui où l'exploitation est la plus active.
Defendis surveille ces sources en continu. Votre équipe reçoit des signaux d'alerte pertinents avant que l'incident ne devienne public, avec le contexte nécessaire pour agir : nature de la menace, infrastructure associée, secteurs ciblés. Sans que vos analystes aient à patrouiller eux-mêmes dans des espaces qu'ils ne devraient pas avoir à fréquenter.
