Faille Acropalypse : beaucoup de bruit pour (presque) rien
Depuis plusieurs jours, la Toile bruisse d'effroi devant une étrange faille de sécurité qui concerne Windows et les smartphones Pixel. Mais si la vulnérabilité existe bel et bien, il y a très peu de risques qu'elle fasse des dégâts…
Si vous suivez l"actualité sur le Net et les réseaux sociaux, vous avez peut-être entendu parler de façon alarmiste d'Acropalypse – aussi dénommée aCropalypse selon les auteurs –, une étrange faille de sécurité qui concernerait à la fois la smartphones Pixel de Google et Windows, dans ses versions 10 et 11. Découverte il y a peu par des chercheurs spécialisés en cybersécurité, cette vulnérabilité permettrait à des hackers de récupérer facilement des données confidentielles d'utilisateurs, et, par là-même, de mener à bien toutes sortes d'actions malveillantes (usurpation d'identité, vol de coordonnées bancaires, etc.). Bref, la panoplie habituelle de dangers qui menacent nos vies numériques et qui fait toujours peur dans les chaumières, selon une recette ancestrale pour vendre du papier ou du clic. Mais de quoi s'agit-il exactement ? Et que risque-on vraiment ?
Tout a commencé avec une alerte lancée par Simon Aarons et David Buchanan, deux experts en sécurité, qui ont détecté en janvier 2023 une vulnérabilité dans les smartphones de Google. Baptisée Acropalypse, référencée sous le doux nom de CVE-2023-21036 selon la nomenclature en usage, et aussitôt signalée au géant de Mountain View, comme il se doit, cette faille permettrait de retrouver des informations supprimées dans des captures d'écran réalisées avec les Pixel. Plus exactement, il serait possible d'annuler a posteriori des retouches effectuées sur ces images et ainsi de dévoiler des portions modifiées, et destinées, notamment, à cacher des informations privées (noms, numéros de téléphone, adresses mail, coordonnées bancaires, etc.). Le genre de données privées particulièrement sensibles qu'i vaut mieux ne pas exposer aux yeux de tous, quand on partage une capture d'écran sur des réseaux sociaux, sur un forum de discussion, dans un blog ou dans un mail…
Introducing acropalypse: a serious privacy vulnerability in the Google Pixel's inbuilt screenshot editing tool, Markup, enabling partial recovery of the original, unedited image data of a cropped and/or redacted screenshot. Huge thanks to @David3141593 for his help throughout! pic.twitter.com/BXNQomnHbr
— Simon Aarons (@ItsSimonTime) March 17, 2023
Très curieusement, le 21 mars 2023, quelques jours après la révélation du problème par Simon Aarons sur Twitter, un certain Christian Blume a signalé le même défaut dans Windows, comme le rapporte Engadget. Plus précisément, dans les captures d'écran réalisées avec Snipping Tool, l'outil de capture d'écran livré en standard dans Windows 10 et 11. Là encore, il serait possible de retrouver l'image originale – et donc les informations volontairement masquées – dans une capture effectuée et retouchée avec le logiciel. Panique à bord ! Au point que Microsoft, informé de la situation, s'est empressé de corriger le problème en diffusant de nouvelles versions du fameux outil – rebaptisé Outil capture d'écran dans les éditions françaises – numérotées 11.2302.20.0 dans Windows et 10.2008.3001.0 dans Windows 11. "Nous avons publié une mise à jour de sécurité pour ces outils via CVE-2023-28303. Nous recommandons aux clients d'appliquer la mise à jour", a ainsi indiqué Microsoft, en reconnaissant l'existence du souci. Ouf !
Acropalypse : une faille très difficile à exploiter
Seulement voilà : à y regarder de plus près, ce problème est-il aussi grave qu'on le dit ? Pas vraiment. Au point que même Microsoft qualifie la faille "de faible gravité". En effet, qu'il s'agisse des téléphones Pixel ou des PC sous Windows, cette vulnérabilité ne concerne que les captures réalisées et retouchées avec l'outil intégré au système. Et donc pas celles qui sont effectuées et/ou modifiées ensuite avec un autre logiciel. En outre, dans le cas de Windows, seules les images enregistrées au même emplacement que l'originale et avec le même nom peuvent être exploitées par des hackers, pour peu qu'elles soient évidemment accessibles publiquement. Par ailleurs, il semblerait que seules les fichiers PNG – un format qui autorise la transparence, et donc la persistance d'informations graphiques masquées par des retouches – soit réellement exploitables, même si les chercheurs prétendent que le problème concerne également les images en Jpeg, ce qui paraît étonnant. Enfin, toujours selon les experts qui se sont penchés sur la question, toutes les infos masquées ne seraient pas récupérables.
Bref, si l'on fait le bilan, il faut réunir de nombreuses conditions pour, éventuellement, risquer de se voir dérober quelques infos confidentielles. D'autant que le problème ne toucherait que les images "brutes", avant qu'elles soient publiées sur des réseaux sociaux, lesquels procèdent généralement à des traitements – compression, changement de format, recadrage…– pour les alléger. En clair, même si le problème ne date pas d'hier et que quelques vieilles captures trainent ici et là avec des données récupérables, le risque semble infinitésimal. Vous connaissez beaucoup de personnes qui font des captures d'écran sur des Pixel – n'en déplaise à Google, ces smartphones sont moins courants que des iPhone ou des Galaxy… – ou avec l'outil de Windows, qui les modifient avec l'outil intégré sans changer leur nom, leur emplacement ou leur format, et qui les publient telles quelles ? On cherche… Était-il bien raisonnable de crier au loup ?