Connexion
Abonnez-vous

Sur Google Pixel et Windows 10/11, il est possible de récupérer des parties effacées d’une image

Oui, c'est incroyable

Sur Google Pixel et Windows 10/11, il est possible de récupérer des parties effacées d'une image

Le 22 mars 2023 à 11h05

Le nom de la faille représente pour une fois très bien son potentiel. En l’exploitant, il est possible de récupérer des informations très sensibles. En effet, les images prises via des appareils Pixel et modifiées avec l’outil intégré pour les retailler ou les caviarder peuvent être restaurées dans leur état d’origine.

Estampillée CVE-2023-21036, la vulnérabilité a été découverte par deux spécialistes de la rétro-ingénierie, Simon Aarons et David Buchanan, et colmatée dans les correctifs de mars déployés par Google. Elle réside dans l’application Markup, qui surgit quelques secondes après la prise d’une capture d’écran, pour proposer de l’éditer avec des fonctions simples comme Recadrer ou le marqueur, ce dernier servant par exemple à caviarder des informations que l’on tient à garder secrètes.

Seulement voilà, la faille, quand elle est exploitée, permet la récupération de l’image d’origine et de supprimer tout ou partie des manipulations effectuées dans Markup, à condition qu’elle ait été enregistrée au format PNG, ce qui est le cas par défaut dans Markup.

Un site de démonstration a été mis en ligne par les deux chercheurs et permet de se rendre compte de l’ampleur du problème.

aCropalypse

Il n’y pas tant de raisons poussant en effet les utilisateurs à rogner une capture ou à effacer des informations avec le marqueur : le public à qui se destine l’image n’a pas à les voir, soit parce qu’elles n’ont aucun intérêt, soit au contraire parce qu’elles en ont trop.

Restaurer l’image d’origine peut permettre de retrouver des informations très personnelles, voire hautement sensibles. Dans une série de tweets publiés par Simon Aarons, on peut voir par exemple comme une photo caviardée d’une carte bancaire permet de retrouver son numéro et sa date d’expiration.

Des exemples pour vous rendre compte des dégâts potentiels… 

Nous avons fait plusieurs tests nous-mêmes et avons constaté l’ampleur du problème. Nous vous proposons un fichier zip contenant deux exemples, à tester sur le site créé pour exploiter la faille. Vous pourrez y voir comme une capture rognée pour n’afficher que le nombre de pas. Restaurée, la même image affiche d’autres informations, comme les calories dépensées, le rythme cardiaque, la quantité de sommeil et le poids. Des données que l’on ne souhaite pas forcément partager.

aCropalypse
aCropalypse
Vous partagez un SMS (capture en haut), aCropalypse permet de retrouver d’autres messages (capture en bas), depuis un Pixel 4a

Vous constaterez également, selon les exemples, qu’une partie de l’image disparaît (remplacée par du noir) et qu’un « brouillage » est parfois présent. On retrouve cette caractéristique dans toutes les restaurations. Parfois, l’information principale (que l’on avait recadrée) disparaît pour en révéler d’autres, le contenu se déplaçant après l’opération. Dans certains cas, l’opération ne fonctionne pas, sans que l’on sache pourquoi.

En moyenne, selon les chercheurs, 20 % de l’image sont corrompus, mais ce chiffre peut grimper jusqu’à 50 % selon les captures.

Pourquoi ce problème ?

Comme l’expliquent les chercheurs, le problème réside dans la manière dont le fichier modifié est écrit.

Quand vous éditez une image dans Markup, les modifications ne sont pas écrites dans un nouveau fichier. À la place, l’application remplace des données dans le fichier d’origine, des métadonnées précisant quand et où ces modifications ont été faites.

aCropalypse

Une faille vieille de cinq ans

Le problème est d’autant plus sérieux que la faille est présente sur les Pixel depuis cinq ans. Selon les chercheurs, elle est arrivée dès la première version de Markup, intégré dans Android 9 (Pie), sorti en 2018. Et c’est bien tout le problème : le correctif déployé par Google ne fait que bloquer le problème pour les nouvelles captures, mais ne peut rien faire pour toutes les images ainsi modifiées ces cinq dernières années. En outre, tous les Pixel antérieurs au 4a ne sont plus supportés et gardent donc la faille.

Il est difficile d’évaluer le périmètre de dangerosité avec précision. À tout le moins, les personnes possédant des Pixel devraient se poser la question des captures ainsi partagées, et surtout où elles ont été envoyées.

Selon les services utilisés en effet, il peut y avoir un traitement supplémentaire de l’image cassant les métadonnées. Par exemple, sur Facebook et Twitter, les images sont converties en JPG et ne peuvent donc pas être restaurées dans leur version d’origine, ce qui réduit la portée du souci de manière conséquente. Pour tout le reste, il faut vérifier. Dans les messageries, la grande majorité appliquent une forte compression aux images, sauf quand elles proposent un envoi brut optionnel (par exemple Telegram).

Les chercheurs citent spécifiquement Discord comme service où des images problématiques peuvent avoir été envoyées. La faille a en effet été signalée à Google à la mi-janvier. Le 17 janvier, Discord déployait une nouvelle version de son client pour supprimer les métadonnées des images. Mais toutes celles publiées avant depuis des Pixel restent concernées.

Ce fut le cas de l’un des chercheurs, David Buchanan, qui explique avoir retrouvé dans Discord les anciennes photos publiées avec son Pixel 3Xl à l’époque. Il y avait notamment une capture d’une notice d’expédition eBay, rognée pour ne faire apparaître que le numéro de colis. Restaurée, l’image affichait également son adresse postale complète.

Commentaires (35)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Moi j’appelle pas ça une faille : il peut y avoir intérêt à pouvoir dé-masquer un élément sur une image (un pseudo-calque) mais dans ce cas là, c’est une fonctionnalité et on l’indique clairement à l’utilisateur.



Ici, c’est une fonctionnalité cachée dont les types qui ont travaillé dessus on apparemment oublié la confidentialité qu’on pouvait espérer sur certaines photos, et c’est à se demander comment ils ont fait pour la laisser passer tellement elle est énorme (d’où la raison que j’appelle “fonctionnalité cachée”, c’était pas prévu pour quelque chose de précis à la base ?)



Et si on recadre l’image, ça conserve tout quand même ?

votre avatar

“It’s not a bug, it’s a feature” :D

votre avatar

Arcy a dit:


Et si on recadre l’image, ça conserve tout quand même ?


Oui, c’est dans l’exemple donnée par l’auteur twitter.com Twittersur le screen en début d’article (en plus de supprimer le masquage du numéro de CB il retrouve le screenshot complet de l’écran).

votre avatar

Donc ça veut dire que si l’image pesait à 4 Mo avant, le poids ne changera pas après …

votre avatar

Je sais pas pourquoi mais j’ai toujours l’impression que des « bugs » comme ça sont des fonctionnalités demandées par on sait pas trop qui. Et quand c’est découvert, hop on colmate et on utilise une autre « brèche » pas encore découverte ou alors on en crée une…



Surtout avec des app comme Facebook qui se mettent à jours très très souvent. T’ouvre une porte, hop tu la ferme la MAJ d’après. Et tu recommences jusqu’à ce que quelqu’un trouve la faille dans les délais avant la prochaine MAJ.

votre avatar

Arcy a dit:


Moi j’appelle pas ça une faille : il peut y avoir intérêt à pouvoir dé-masquer un élément sur une image (un pseudo-calque) mais dans ce cas là, c’est une fonctionnalité et on l’indique clairement à l’utilisateur.


Ah non, c’est clairement une faille, introduite par un changement de comportement non documenté dans une routine bas niveau du système.
issuetracker.google.com Google



Ceci dit, c’est introduit car il aurait fallu que ça fonctionne correctement avant déjà pour que les gens s’en méfient. En gros c’est une correction de bug qui fait que les anciens logiciels ont un problème: ils laissent traîner des infos derrière les fichiers qu’ils écrivent.

votre avatar

Arcy a dit:


Moi j’appelle pas ça une faille


Si c’est bien une faille et non une fonctionnalité non documentée car il s’agit d’une erreur dans une fonction comme indiqué sur la page de la CVE : utilisation de “w” à la place de “wt” (t indiquant de tronquer le contenu) dans une fonction.



Sur les pdf, en général lors d’un recadrage, le fichier n’est pas tronqué, juste recadré, et les outils pdf le précise en général et la seule façon de rogner dans ce cas est l’export en format image (modulo qu’il ne soit pas buggé également)

votre avatar

Je viens de tester le passage dans l’outil “trimage” (trimage.org) des images d’exemple et il y a un message d’erreur sans précision. Visiblement, l’outil doit voir qu’il y a un soucis.



GIMP l’ouvre sans soucis et après ré-enregistrement à l’identique, l’image est bien tronqué “physiquement”, on le voit au poids de l’image



Screenshot_20220601-231113.png :
=> Originale : 197 ko
=> GIMP : 46 ko
=> trimage : 35 ko



Morale ? Passez vos images rognées dans des multiples convertisseurs pour être sûr :mad2:

votre avatar

Combinez ça avec tous les sites qui vous demandent de vous prendre en photo avec votre CB pour le KYC… Si les gens ont barré le code via leur Pixel, bonjour le désastre…

votre avatar

Sur mon pixel les photos sont prises en JPG. Il n’y a que les captures d’écran qui sont en PNG.
Et les applications bancaires n’autorisent pas la prise de screenshot (la capture d’écran est noire).



Donc avec un peu de chances la portée restera limitée.



(mais c’est quand même une grosse faille)

votre avatar

Ah effectivement si ce n’est pas le même format…



OneProvider le demandait si mes souvenirs sont bons (CNI+CB+ta trombone), mais ça a peut-être évolué. Et si mes souvenirs sont bons j’avais envoyé le reçu Lydia cae j’avais utilisé leur CB virtuelle donc c’était par applicable au niveau des photos.



C’est pas le seul site loin de là. J’ai souvenir que c’était aussi le cas sur une boutique de matos info, peut-être celle de HFR mais je peux me tromper, ça remonte à loin.

votre avatar

J’avais loué un serveur chez OneProvider en 2019 et j’ai pas souvenir qu’ils avaient exigé ça.



J’ai même des doutes quant à la légalité du procédé. En recherchant rapidement, je vois que la CNIL indique qu’un commerçant en ligne ne peut pas le demander.




Un commerçant en ligne ne peut pas demander la transmission d’une copie de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués.


La photo de la CB c’est même une très mauvaise idée vu que si ça fuite, c’est open bar…

votre avatar

:eeek2:



Perso la photo de la CB c’est niet. J’ai jamais vu un site me demander ça, tu as des exemples ?

votre avatar

L’appli Google Wallet… Soit on prend une photo de la CB et ensuite OCR automatique soit on rentre tous les champs à la main. J’imagine que la photo est détruite juste après sur les serveurs Google.

votre avatar

c’est pas une fonctionnalité permettant de revenir à la version d’origine?
je n’ai pas de pixel, mais chez Samsung y’a une fonctionnalité similaire (qui n’est pas vulnérable à priori).

votre avatar

hellmut a dit:


c’est pas une fonctionnalité permettant de revenir à la version d’origine?


Non, là c’est clairement un bug, car le retour à la version d’origine n’est pas toujours possible.



Chez Apple, il y a aussi cette possibilité de revenir à la version d’origine quand on fait une retouche, mais si on partage / exporte le fichier modifié, c’est bien cette version qui est transmise.

votre avatar

(quote:2125240:Fab’z)
Je sais pas pourquoi mais j’ai toujours l’impression que des « bugs » comme ça sont des fonctionnalités demandées par on sait pas trop qui. Et quand c’est découvert, hop on colmate et on utilise une autre « brèche » pas encore découverte ou alors on en crée une…


Non c’est clairement un bug : la taille du fichier n’est pas réduite, donc la fin de ce fichier contient toujours un morceau de l’ancien. Ça prouve surtout qu’il n’y’a eu zéro test sur cette partie :-/

votre avatar

(quote:2125240:Fab’z)
Je sais pas pourquoi mais j’ai toujours l’impression que des « bugs » comme ça sont des fonctionnalités demandées par on sait pas trop qui.


Si certains bugs ont un peu cette odeur (faille dans le serveur mail BSD il y a longtemps, faille sudo il y a quelques années), là on est plus sur “l’ancien code avait un bug qui faisait trop, on a corrigé le bug mais du coup les applis ne font plus tout à fait ce que le dev pensait”.
Et on est sur un petit détail dans le mode d’écriture du fichier, et il sur une fonctionnalité si vieille (la possibilité d’écrire un fichier partiellement exactement au même endroit)…

votre avatar

SebGF a dit:


:eeek2:



Perso la photo de la CB c’est niet. J’ai jamais vu un site me demander ça, tu as des exemples ?


https://www.leboncoin.fr/

votre avatar

A quel endroit ? Je n’ai rien dans mon profil ni rien dans l’aide qui indique que l’enregistrement d’une CB se fait avec une photo.

votre avatar

Dans ton profil, tu as des champ pour valider que ta CI correspond avec les infos de ton compte.



Sur certain profil tu verra la mention “Pièce d’identité vérifiée” à coté de “Numéro de téléphone vérifié”

votre avatar

Comme je n’ai pas de CB enregistrée sur Leboncoin, je ne peux pas vérifier ce point précis (je vends, j’achète pas :p).



Mais vu que tu parles de CI et de pièce d’identité là où je parlais de photo de carte bancaire, il n’y aurait pas confusion ?




Gilbert_Gosseyn a dit:


J’y ai eu droit il y a un paquet d’années pour l’achat d’un jeu (Skyrim LE, autant dire que ça date) sur un vendeur tiers. Depuis j’ai changé ma CNI.


Même question :D



La copie de la pièce d’identité est un cas d’usage déjà moins rare à ma connaissance, bien que ce ne soit pas une pratique recommandée par la CNIL. Dans les deux cas, ce type de demande et la conservation de la donnée sont protégées par le RGPD. Par contre, je pense que la photo de la CB demandée par un commerçant reste une pratique interdite mais je n’ai pas été non plus chercher le texte qui permettrait de le démontrer ou non (je me suis arrêté à la citation de la CNIL dans mon précédent commentaire).



Par contre pour le coup, un vendeur qui me demande ma carte d’identité, il ira cordialement se faire mettre si cela ne répond pas à une obligation légale nécessitant de prouver mon identité ou éventuellement la majorité (cas de réservation en ligne de voiture de loc par exemple où ils demandent le permis).

votre avatar

A noter qu’il semblerait que l’outil de capture de Windows 11 fasse la même chose…
twitter.com Twitter



C’est dingue les retombées que ça va avoir.

votre avatar

SebGF a dit:


:eeek2:



Perso la photo de la CB c’est niet. J’ai jamais vu un site me demander ça, tu as des exemples ?


J’y ai eu droit il y a un paquet d’années pour l’achat d’un jeu (Skyrim LE, autant dire que ça date) sur un vendeur tiers. Depuis j’ai changé ma CNI.

votre avatar

La faille Windows semble un peu tordue dans le mode opératoire:




  • La fonction Win+Maj+S est particulièrement utile pour faire une capture directe dans le presse papier, pas pour en faire des modifications ultérieures.

  • Qui utilise l’outil Capture d’Ecran pour MODIFIER une image existante ?



Je ne remets pas en cause la faille (qui est clairement encore un mec qui a fait n’imp et oublié un truncate à la fin), mais elle me semble moins problématique que la faille google.



Il y’a peut-être un sujet sur garantir les entêtes des fichiers et/ou metadata (type timestamp ?) dans l’approche, mais dans le pire des cas, il pourrait au moins être fait une ré-écriture de 00000 à la place de l’image croppée conservée par erreur.
Bref, bizarre.

votre avatar

Moi :D
Je l’utilise beaucoup, et l’outils intégré me permet de souligner ou entourer des éléments.
Pas de chose sensible ceci dit.



Encore une fois, une faille est une faille qui peut être critique en fonction de son utilisation.



Finalement est-ce que la bonne vieille touche “imp écran” + coller dans un fichier Word, ce n’était pas le BEST ?

votre avatar

NeoET a dit:



Finalement est-ce que la bonne vieille touche “imp écran” + coller dans un fichier Word, ce n’était pas le BEST ?


C’est sûrement vrai du point de vue de la sécurité. Après dans la vie quotidienne de l’utilisateur lambda, si je reçois d’un gars (et c’est déjà arrivé) une image qui m’a envoyé en pièce jointe dans un fichier. docx, je me poserai des questions sur sa compréhension des outils informatiques en général…

votre avatar

Oxygen a dit:


La faille Windows semble un peu tordue dans le mode opératoire:




  • La fonction Win+Maj+S est particulièrement utile pour faire une capture directe dans le presse papier, pas pour en faire des modifications ultérieures.

  • Qui utilise l’outil Capture d’Ecran pour MODIFIER une image existante ?


Je capture avec l’outil puis je MODIFIE l’image dans l’outil, mais je ne la sauve pas sur le disque. L’image modifiée reste seulement en mémoire, et à la fin je la copie/colle là ou j’en ai besoin.



Note: perso j’utilise l’ancien Snipping Tool, et pas le nouveau “Snip & Sketch”, Mais ca ne change pas le principe. On peut faire la meme chose dans les deux.

votre avatar

Tu as déjà essayé ShareX ?

votre avatar

Oxygen a dit:




  • La fonction Win+Maj+S est particulièrement utile pour faire une capture directe dans le presse papier, pas pour en faire des modifications ultérieures.


La touche dédiée print screen ne fonctionne plus (avec Alt pour une capture uniquement de l’application) ?

votre avatar

Ah, je ne suis pas le seul à trouver bien compliqué cette combinaison de trois touches alors qu’une touche du clavier est dédiée à cela. Et on la trouve même sur PC portable.

votre avatar

Je n’ai peut-être pas compris ta remarque, mais la touche Impr. Écran permet de copier silencieusement l’image dans le Presse-papiers, tandis que Win + Maj + S permet d’ouvrir l’outil de capture.

votre avatar

Vincent_H a dit:


Tu as déjà essayé ShareX ?


Non. Il faut dire que je n’ai pas besoin de plus que les outils de base de windows pour faire des captures + rogner + surligner/entourer une partie de l’image avant la coller dans un email ou dans Teams.



Et surtout c’est sur le PC du boulot, donc il faudrait que je justifie auprès de l’IT d’installer une application tierce pour faire des opérations que savent déjà faire l’outil de base. :craint:

votre avatar

SebGF a dit:


Comme je n’ai pas de CB enregistrée sur Leboncoin, je ne peux pas vérifier ce point précis (je vends, j’achète pas :p).


Oui tu as raison ! My bad.

votre avatar

Cela me rappelle le comportement de Ms Word (il y a quelque temps) qui ajoutait les informations de modification à la fin du fichier Word si on enregistre le fichier simplement. (le fichier devenait énorme)



pour éviter cela, il fallait faire un “Enregistrer sous…” pour purger les anciennes données….



Comme quoi l’histoire se répète….
:mad2:

Sur Google Pixel et Windows 10/11, il est possible de récupérer des parties effacées d’une image

  • Des exemples pour vous rendre compte des dégâts potentiels… 

  • Pourquoi ce problème ?

  • Une faille vieille de cinq ans

Fermer