Microsoft a agi rapidement pour corriger l'inquiétant bug "acropalypse", contraction de apocalypse et de crop, déjà évoqué précédemment. Un bug qui pourrait permettre à des personnes malintentionnées de récupérer des informations contenus dans des images recadrées à partir d'outils de capture d'écran de Windows.
Selon BleepingComputer, Microsoft a publié une mise à jour OOB (hors bande ou d'urgence) qui corrige le problème et dont la désignation technique est CVE-2023-28303. Microsoft recommande aux utilisateurs d'appliquer la mise à jour dès que possible, comme on peut s'y attendre.
L'installation de la mise à jour est simple : dans le Microsoft Store, cliquez sur l'icône Bibliothèque à gauche, puis sélectionnez Obtenir des mises à jour (en haut à droite). Cela devrait forcer l'application du correctif, s'il n'a pas déjà été installé automatiquement.
Continuer
Le bug - qui est similaire à celui qui a affecté la fonction Markup sur les smartphones Google Pixel - pourrait compromettre les images et les captures d'écran recadrées dans l'outil Snipping de Windows 11 et l'outil Snip and Sketch de Windows 10.
Essentiellement, la vulnérabilité CVE-2023-28303 a fait que les parties rognées d'une image PNG ou JPEG recadrée ne sont pas correctement supprimées du fichier après qu'il a été enregistré à nouveau. Ces parties peuvent contenir des informations sensibles telles que des coordonnées bancaires ou des dossiers médicaux, par exemple.
Il est important de noter que l'application du correctif ne corrigera pas les fichiers qui ont déjà été recadrés, mais uniquement ceux qui seront modifiés à l'avenir. Vous devrez recadrer vos images existantes pour vous assurer que les parties excédentaires de l'image ont été correctement supprimées.
Analyse : un correctif rapide pour un bug inquiétant
À première vue, la possibilité de récupérer des parties d'images supprimées au recadrage ne semble pas être une faille de sécurité particulièrement grave. Après tout, qui se soucie de savoir si quelqu'un parvient à ajouter un ciel vide que vous avez supprimé de l'une de vos photos de vacances ?
Il y a pourtant de nombreuses raisons pour lesquelles les images sont recadrées, comme les journalistes techniques ne le savent que trop bien. Les informations personnelles telles que les adresses électroniques, les numéros de compte bancaire et les noms des personnes à contacter doivent être supprimées des photos avant qu'elles ne soient diffusées à grande échelle sur internet.
Étant donné que nous sommes nombreux à partager nos photos avec d'autres personnes et sur le web en général, il est essentiel, du point de vue de la sécurité, que ces images ne révèlent pas plus que ce que nous voulons - ce qui était un problème avec la vulnérabilité CVE-2023-28303.
Microsoft a au moins agi rapidement pour que le correctif soit testé puis appliqué, mais il est préoccupant de constater que ce même bug est apparu de manière totalement distincte dans des logiciels de Microsoft et de Google au cours des derniers jours.
