La vulnérabilité Acropalypse, qui touchait le module de capture d’écran des smartphones Pixel, pouvait également être exploitée avec l’Outil Capture d’écran de Windows. Le problème est désormais corrigé, Microsoft venant tout juste de publier un correctif.
La faille de sécurité Acropalypse dévoilée il y a quelques jours ne concernait pas uniquement les smartphones Pixel de Google. Pour rappel, cette brèche très problématique permet à des pirates de récupérer partiellement les données ayant été supprimées à l’aide du module d’édition dédié, des captures d’écran au format PNG. Comment ? Tout simplement parce que le module d’édition d’image Markup Tool des smartphones Pixel ne supprimait pas correctement les données des images recadrées une fois le fichier sauvegardé par-dessus l’original.
Ainsi, les informations personnelles ayant été dissimulées après un recadrage étaient toujours potentiellement accessibles. Cette brèche, qui existait depuis Android 9 Pie (sorti en 2018) a de quoi soulever de nombreuses inquiétudes. Car depuis toutes ces années, des millions d’utilisateurs ont très probablement partagé sur la Toile, notamment sur certains réseaux sociaux, des captures d’écran contenant des informations sensibles. Et, bien qu’ils pensent sans doute avoir caché ces données en éditant la capture avec l’outil intégré dans leur smartphone, celles-ci sont sans très certainement encore en ligne et donc potentiellement exploitables. Alerté du problème au début de l’année, Google a depuis corrigé le problème en publiant ce mois-ci une mise à jour de sécurité sur certains de ses appareils.
Malheureusement, le problème que l’on croyait être propre aux smartphones Pixel touchait également d’autres appareils. Car contre toute attente, l’Outil Capture d’écran intégré nativement sur Windows 10 et Windows 11 est aussi concerné. Le problème serait toutefois en passe d’être résolu, Microsoft ayant commencé à déployer un correctif de sécurité sur ses deux systèmes d’exploitation.
Un correctif d’urgence en cours de test sur Windows
Sur Windows, la faille Acropalypse est sur le point d’être corrigée. Microsoft vient en effet de déployer un patch correctif pour son Outil capture d’écran auprès des membres Insider utilisant une build Windows 10 ou Windows 11 issue du canal Canary. Si ce patch fait, pour l’heure, figure de test, il devrait être déployé très prochainement sur les versions stables de Windows 10 et de Windows 11.
“Nous avons publié une mise à jour de sécurité pour ces outils via CVE-2023-28303. Nous recommandons aux clients d’appliquer la mise à jour” a indiqué Microsoft BleepingComputer qui rapporte l’information.
Sur Windows 10, l’Outil Capture d’écran devrait ainsi passer en version 11.2302.20.0 tandis qu’il sera en version 10.2008.3001.0 sur Windows 11. Pour autant, sous Windows, la brèche semble être moins inquiétante que sous Android. Microsoft la classe comme étant « de faible gravité », et pour cause : elle ne peut être exploitée que dans un contexte d’utilisation bien précis sur Windows. L’utilisateur doit en effet réaliser une capture d’écran, enregistrer le fichier, le modifier, puis l’enregistrer de nouveau dans le même emplacement de sauvegarde en écrasant le fichier original.
Source :
BleepingComputer