Si vous avez utilisé un certain Windows 11 outil de recadrage, vous allez vouloir faire attention à un bogue récemment découvert qui, selon les analystes, pose un sérieux problème de confidentialité.
Microsoft Outil de biopsie permet aux utilisateurs de modifier et de recadrer facilement des captures d’écran mais, selon des recherches récentes, l’outil présente une faille logicielle qui permet à un pirate de récupérer partiellement les versions originales non modifiées de ces images. Alors que l’outil est censé écraser les données impliquées dans l’imagerie tronquée… il ne le fait pas. Au lieu de cela, Snipping Tool conserve les données qui, grâce à un simple script de codage, peuvent être utilisées pour reproduire les parties de l’image qui devaient être supprimées.
Surnommé « acropalypse », le bogue a été récemment découvert par deux chercheurs en sécurité, David Buchanon et Simon Aarons, qui ont d’abord découvert qu’il avait un impact sur un outil de recadrage différent, l’outil de balisage de Google Pixel. Dans ce cas, Buchanon et Aarons ont découvert qu’ils pouvaient récupérer des images qui avaient été modifiées avec Markup. Aujourd’hui, un autre chercheur, Chris Blume, découvert que le même bogue affecte également Microsoft Snipping.
Le souci ici est que quiconque est capable d’exploiter ce bug pourrait être en mesure de récupérer des informations potentiellement sensibles à partir des images impactées. Donc, je suppose que si vous avez utilisé le snipper de Microsoft pour modifier des images de documents secrets, d’informations financières ou de vos nus, vous devriez probablement vous en préoccuper. Dans un article de blog, Buchanon écrit sur comment il testait les méthodes de récupération sur ses propres images éditées par Pixel Markup et réalisait lentement à quel point ce défaut logiciel avait un potentiel invasif :
Le pire exemple a été lorsque j’ai posté une capture d’écran recadrée d’un e-mail de confirmation de commande eBay, montrant le produit que je venais d’acheter. Grâce à l’exploit, j’ai pu dé-rogner cette capture d’écran, révélant mon adresse postale complète (qui était également présente dans l’e-mail). C’est plutôt mauvais !
G/O Media peut toucher une commission
Les détails techniques réels sur la façon dont les données restantes peuvent être traitées pour stimuler la récupération d’image sont un peu compliqués, bien que Bleeping Computer Remarques que, dans le cas du Snipper de Microsoft, les chercheurs l’ont géré avec un simple script Python. Dans le cas du Pixel, entre-temps, les chercheurs ont effectivement lancé un page dédiée où vous pouvez tester si vos images PNG recadrées sont récupérables. Ce portail ne semble pas avoir été très difficile à démarrer, étant donné que le bogue n’a été découvert qu’il y a quelques semaines et qu’il n’était rendu public il y a quelques jours.
Gizmodo a contacté Microsoft pour commenter le problème de sécurité et mettra à jour cette histoire si quelqu’un répond.
GIPHY App Key not set. Please check settings