La faille révélée dans Android était sérieuse : les captures d’écrans modifiées avec l’outil intégré sur les Pixel pouvaient être pratiquement restaurées dans leur version d’origine, révélant potentiellement des informations sensibles.
Dans une moindre mesure, Microsoft était touché par le système. Windows 10 et 11 avaient en quelque sorte la même faille, une image modifiée dans Outil de capture d’écran gardant en partie ses données d’origine, à cause de la manière dont étaient écrites les informations.
La semaine dernière, on apprenait que l’éditeur avait distribué à ses testeurs une préversion corrigée de l’outil. Désormais, cette mise à jour est accessible à tous, depuis le Microsoft Store.
Dans une note séparée, l’entreprise note le risque comme « faible », car il fallait effectuer une capture, l’enregistrer, la modifier et réenregistrer avec le même nom, ce qui était un scénario peu probable. Même jugement pour l’autre, qui impliquait d’ouvrir une image existante dans l’Outil de capture d’écran pour la modifier.
Commentaires (7)
#1
Par défaut, effectivement quand on modifie une image et que le système veut enregistrer le même fichier, il ajoute “-copie” avant l’extension, mais rien n’empêche de renommer manuellement le fichier.
#2
“aCropaLeaks” aurait été mieux nommé. Mais bon…
#3
J’ai regardé dans le store de mon Win11 tout à l’heure et effectivement il y a eu une maj de “capture et croquis” dans la nuit.
#4
L’explication de la faille est terrible aussi..
Par default l’api win32 ecrase le fichier.
Par défaut l’api uwp n’ecrase pas le fichier et ré écrit juste ce qu’il faut.
La faille apparaît donc sur une réécriture plus petite que le fichier précédent.
La documentation Microsoft et les snippet de code disponible dans le doc ne mettent pas la partie pour écraser le fichier par défaut.
Il y as donc une possibilité que cette erreur soit présente dans une partie des applications uwp..
#5
Quel scoop ! Un outil de capture d’écran … Ça laisse songeur… Ça fait 15 ans que ça existe (voir plus). MS a fait appel à une IA ou une BN (bêtise naturelle) ?
#5.1
Il existe depuis longtemps, le brief c’est en rapport avec un bug assez ennuyant qui a été corrigé
https://www.nextinpact.com/article/71282/la-faille-acropalypse-permet-restaurer-captures-modifiees-sur-pixel-google
#6
Ca me rappelle une vieille faille de Word: en regardant en fichier texte le fichier .doc écrasé après corrections, on retrouvait les textes qui avaient été effacés. Je m’en étais servi dans la fin des années 90 dans des documents d’appel d’offres
Il y avait aussi les .pdf de la CIA ‘décaviardés’ il y a quelques années.
Je suis donc très surpris que tous les éditeurs n’aient pas systématiquement vérifié que leurs fichiers modifiés n’étaient pas démodifiables.