En bref

  • Un chercheur en sécurité mécontent a publié un exploit zero-day Windows baptisé BlueHammer, permettant une élévation de privilèges vers SYSTEM.
  • Tous les systèmes Windows non patchés sont vulnérables ; Microsoft n'a pas encore publié de correctif officiel.
  • Les administrateurs doivent appliquer des mesures de durcissement immédiates en attendant un patch.

Ce qui s'est passé

Le 3 avril 2026, un chercheur en sécurité opérant sous le pseudonyme Chaotic Eclipse a publié sur GitHub un exploit fonctionnel pour une vulnérabilité inédite dans Windows. Baptisé BlueHammer, cet exploit combine une faille de type TOCTOU (time-of-check to time-of-use) avec une confusion de chemin pour accéder à la base SAM (Security Account Manager), qui contient les hash de mots de passe des comptes locaux.

Le chercheur a exprimé sa frustration envers le Microsoft Security Response Center (MSRC), déclarant : « Je ne bluffais pas, et je recommence. » Selon ses déclarations, il avait signalé la vulnérabilité de manière responsable, mais le traitement par Microsoft l'a poussé à divulguer publiquement l'exploit. Il a ajouté avec ironie : « Un grand merci au leadership du MSRC pour avoir rendu cela possible. »

Une fois l'accès à la base SAM obtenu, un attaquant local peut escalader ses privilèges jusqu'au niveau SYSTEM, obtenant ainsi un contrôle total sur la machine compromise. L'exploit ne nécessite aucune interaction utilisateur au-delà de l'exécution locale initiale, ce qui le rend particulièrement dangereux dans les environnements d'entreprise où un poste de travail compromis peut servir de pivot.

Pourquoi c'est important

Cette divulgation illustre une tension récurrente dans l'écosystème de la sécurité : le décalage entre les attentes des chercheurs et la réactivité des éditeurs. Lorsqu'un chercheur estime que sa découverte n'est pas traitée sérieusement, la tentation de la divulgation publique grandit, avec des conséquences potentiellement désastreuses pour des millions d'utilisateurs.

BlueHammer est classé comme zero-day selon la propre définition de Microsoft, puisqu'aucun correctif n'est disponible. Les équipes de sécurité doivent donc agir en mode dégradé : surveiller les accès à la base SAM, restreindre les privilèges locaux et renforcer la détection des mouvements latéraux. Les entreprises utilisant des postes Windows partagés ou des environnements avec des utilisateurs à faible confiance sont particulièrement exposées.

Ce qu'il faut retenir

  • BlueHammer est un exploit d'élévation de privilèges locale (LPE) combinant TOCTOU et confusion de chemin, donnant un accès SYSTEM.
  • Aucun correctif Microsoft n'est disponible à ce jour ; l'exploit est public sur GitHub.
  • Appliquer immédiatement des contrôles compensatoires : restriction des accès locaux, monitoring de la base SAM et segmentation réseau renforcée.

Comment se protéger de BlueHammer en l'absence de patch ?

En attendant un correctif officiel de Microsoft, il est recommandé de restreindre les privilèges locaux au strict minimum, de surveiller les accès anormaux à la base SAM via un EDR, d'activer les règles ASR (Attack Surface Reduction) et de segmenter le réseau pour limiter les mouvements latéraux en cas de compromission d'un poste.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact