Quando la sicurezza “di default” non basta: il caso del BitLocker di Windows 11
C’è un’idea che da anni accompagna il marketing di Microsoft: Windows 11 è “sicuro per impostazione predefinita”. TPM, Secure Boot, cifratura integrata, difese hardware e software stratificate. Una specie di fortezza digitale moderna, pronta a proteggere anche l’utente meno esperto.
Poi però arriva la realtà. E la realtà, questa volta, si chiama YellowKey.
Un ricercatore indipendente ha pubblicato un exploit zero-day che, secondo le analisi circolate in questi giorni, sarebbe in grado di aggirare le protezioni standard di BitLocker su Windows 11, consentendo l’accesso ai dati di un disco cifrato in scenari di attacco con accesso fisico alla macchina. In altre parole: il computer può essere spento, protetto, “blindato” da tutte le impostazioni di default… ma non così intoccabile come si pensava.
La promessa della sicurezza “senza configurazioni”
Il punto interessante non è solo tecnico, ma filosofico.
BitLocker, soprattutto nella configurazione automatica con TPM, è pensato per essere trasparente: l’utente non deve fare nulla, il sistema decide per lui cosa è sicuro. Ed è proprio qui che nasce la contraddizione: più la sicurezza diventa invisibile, più diventa difficile capire dove si trovi davvero il suo confine.
Il caso YellowKey sembra inserirsi perfettamente in questa zona grigia. Non si parla di un attacco remoto mirabolante stile film hollywoodiano, ma di una combinazione di condizioni locali e comportamenti del sistema di recovery che, in determinate circostanze, finiscono per indebolire proprio quella barriera che dovrebbe essere “invalicabile”.
Il problema non è il bug. È l’illusione
La reazione più comune a notizie di questo tipo è sempre la stessa: “Microsoft sistemerà tutto con una patch”. Ed è vero, probabilmente accadrà anche questa volta.
Ma il punto più scomodo è un altro: quanto possiamo davvero fidarci dell’idea di sicurezza “predefinita”?
Per anni ci è stato venduto il concetto che bastasse avere TPM attivo e BitLocker abilitato per essere al sicuro da furti di dati. Ora scopriamo che anche i meccanismi di recupero e manutenzione del sistema operativo possono diventare un punto debole. Non perché siano “mal progettati” in senso assoluto, ma perché la complessità moderna rende quasi impossibile prevedere tutte le interazioni.
E più il sistema cresce, più cresce anche la superficie d’attacco. È una legge non scritta dell’informatica, ma spesso dimenticata nei comunicati stampa.
La solita domanda scomoda
Ogni volta che emerge una vulnerabilità di questo tipo, la discussione si divide in due: da una parte chi minimizza (“serve accesso fisico, quindi è irrilevante”), dall’altra chi alza il livello di allarme.
La verità, come sempre, sta nel mezzo. L’accesso fisico non è un dettaglio trascurabile, soprattutto in contesti aziendali, laptop rubati, ambienti condivisi o scenari di sorveglianza mirata. Ma non è nemmeno un attacco da laboratorio privo di rilevanza pratica.
È una minaccia reale, ma circoscritta. E proprio per questo fastidiosa: perché colpisce l’area in cui ci sentivamo più tranquilli.
Sicurezza o marketing?
Forse il punto più controverso non è l’exploit in sé, ma la narrazione che lo precede.
Quando un sistema operativo viene presentato come “sicuro by design”, l’aspettativa implicita è che certe classi di problemi siano già risolte. Ma ogni nuova vulnerabilità riapre la stessa domanda: quanto è “by design” e quanto è semplicemente “by default”?
E soprattutto: quanto della sicurezza moderna è reale ingegneria e quanto è fiducia delegata al produttore?
In conclusione
Il caso YellowKey non è (ancora) la fine di BitLocker, né la prova che Windows 11 sia insicuro per definizione. Ma è un promemoria piuttosto scomodo: la sicurezza informatica non è mai una condizione, è un equilibrio instabile.
E quando un sistema diventa abbastanza complesso da nascondere le sue stesse debolezze… forse la domanda giusta non è “quanto è sicuro?”, ma “in quali condizioni smette di esserlo?”
Bibliografia e fonti
- Ars Technica – Zero-day exploit completely defeats default Windows 11 BitLocker protections
https://arstechnica.com/security/2026/05/zero-day-exploit-completely-defeats-default-windows-11-bitlocker-protections/ - Microsoft Learn – BitLocker Drive Encryption overview
https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/ - NIST – Guidelines for Encryption and Data Protection (SP 800-111 / SP 800-111 rev.)
https://csrc.nist.gov/publications - Trusted Computing Group – TPM Main Specification
https://trustedcomputinggroup.org/resource/tpm-library-specification/ - ENISA (European Union Agency for Cybersecurity) – Endpoint Security Guidelines
https://www.enisa.europa.eu/publications
