David Buchanan a constaté que l’outil Capture d’écran présent dans Windows 10 et 11 avait le même problème, ce que Bleeping Computer a confirmé. Pour restaurer les fichiers, on ne peut pas utiliser l'outil mis en ligne pour les captures issues des Pixel, il faut passer par un script Python présent sur le dépôt GitHub du chercheur.
Pour que le bug soit exploitable, il faut d’abord réaliser une capture (Win + Maj + S), l’enregistrer, la recadrer puis l’enregistrer sur le fichier original. Selon nos confrères, la faille fonctionne également en ouvrant une image dans l'outil de capture.
Par contre, si vous effectuez une capture et que vous n’enregistrez que l’image modifiée, il n’y a pas de problème, rendant la situation moins sérieuse que pour les Pixel.
Le nom de la faille représente pour une fois très bien son potentiel. En l’exploitant, il est possible de récupérer des informations très sensibles. En effet, les images prises via des appareils Pixel et modifiées avec l’outil intégré pour les retailler ou les caviarder peuvent être restaurées dans leur état d’origine.
Estampillée CVE-2023-21036, la vulnérabilité a été découverte par deux spécialistes de la rétro-ingénierie, Simon Aarons et David Buchanan, et colmatée dans les correctifs de mars déployés par Google. Elle réside dans l’application Markup, qui surgit quelques secondes après la prise d’une capture d’écran, pour proposer de l’éditer avec des fonctions simples comme Recadrer ou le marqueur, ce dernier servant par exemple à caviarder des informations que l’on tient à garder secrètes.
Seulement voilà, la faille, quand elle est exploitée, permet la récupération de l’image d’origine et de supprimer tout ou partie des manipulations effectuées dans Markup, à condition qu’elle ait été enregistrée au format PNG, ce qui est le cas par défaut dans Markup.
Un site de démonstration a été mis en ligne par les deux chercheurs et permet de se rendre compte de l’ampleur du problème.
Il n’y pas tant de raisons poussant en effet les utilisateurs à rogner une capture ou à effacer des informations avec le marqueur : le public à qui se destine l’image n’a pas à les voir, soit parce qu’elles n’ont aucun intérêt, soit au contraire parce qu’elles en ont trop.
Restaurer l’image d’origine peut permettre de retrouver des informations très personnelles, voire hautement sensibles. Dans une série de tweets publiés par Simon Aarons, on peut voir par exemple comme une photo caviardée d’une carte bancaire permet de retrouver son numéro et sa date d’expiration.
Des exemples pour vous rendre compte des dégâts potentiels…
Nous avons fait plusieurs tests nous-mêmes et avons constaté l’ampleur du problème. Nous vous proposons un fichier zip contenant deux exemples, à tester sur le site créé pour exploiter la faille. Vous pourrez y voir comme une capture rognée pour n’afficher que le nombre de pas. Restaurée, la même image affiche d’autres informations, comme les calories dépensées, le rythme cardiaque, la quantité de sommeil et le poids. Des données que l’on ne souhaite pas forcément partager.
Vous partagez un SMS (capture en haut), aCropalypse permet de retrouver d’autres messages (capture en bas), depuis un Pixel 4a
Vous constaterez également, selon les exemples, qu’une partie de l’image disparaît (remplacée par du noir) et qu’un « brouillage » est parfois présent. On retrouve cette caractéristique dans toutes les restaurations. Parfois, l’information principale (que l’on avait recadrée) disparaît pour en révéler d’autres, le contenu se déplaçant après l’opération. Dans certains cas, l’opération ne fonctionne pas, sans que l’on sache pourquoi.
En moyenne, selon les chercheurs, 20 % de l’image sont corrompus, mais ce chiffre peut grimper jusqu’à 50 % selon les captures.
Pourquoi ce problème ?
Comme l’expliquent les chercheurs, le problème réside dans la manière dont le fichier modifié est écrit.
Quand vous éditez une image dans Markup, les modifications ne sont pas écrites dans un nouveau fichier. À la place, l’application remplace des données dans le fichier d’origine, des métadonnées précisant quand et où ces modifications ont été faites.
Une faille vieille de cinq ans
Le problème est d’autant plus sérieux que la faille est présente sur les Pixel depuis cinq ans. Selon les chercheurs, elle est arrivée dès la première version de Markup, intégré dans Android 9 (Pie), sorti en 2018. Et c’est bien tout le problème : le correctif déployé par Google ne fait que bloquer le problème pour les nouvelles captures, mais ne peut rien faire pour toutes les images ainsi modifiées ces cinq dernières années. En outre, tous les Pixel antérieurs au 4a ne sont plus supportés et gardent donc la faille.
Il est difficile d’évaluer le périmètre de dangerosité avec précision. À tout le moins, les personnes possédant des Pixel devraient se poser la question des captures ainsi partagées, et surtout où elles ont été envoyées.
Selon les services utilisés en effet, il peut y avoir un traitement supplémentaire de l’image cassant les métadonnées. Par exemple, sur Facebook et Twitter, les images sont converties en JPG et ne peuvent donc pas être restaurées dans leur version d’origine, ce qui réduit la portée du souci de manière conséquente. Pour tout le reste, il faut vérifier. Dans les messageries, la grande majorité appliquent une forte compression aux images, sauf quand elles proposent un envoi brut optionnel (par exemple Telegram).
Les chercheurs citent spécifiquement Discord comme service où des images problématiques peuvent avoir été envoyées. La faille a en effet été signalée à Google à la mi-janvier. Le 17 janvier, Discord déployait une nouvelle version de son client pour supprimer les métadonnées des images. Mais toutes celles publiées avant depuis des Pixel restent concernées.
Ce fut le cas de l’un des chercheurs, David Buchanan, qui explique avoir retrouvé dans Discord les anciennes photos publiées avec son Pixel 3Xl à l’époque. Il y avait notamment une capture d’une notice d’expédition eBay, rognée pour ne faire apparaître que le numéro de colis. Restaurée, l’image affichait également son adresse postale complète.
