Et si le simple fait d'afficher une image sur son ordinateur, depuis Internet ou en local, suffisait à être piraté ? C'est en essence ce que propose Stegosploit, un outil développé par un pirate qui permet de dissimuler un malware au coeur même des pixels d'un cliché.
Un petit retour en arrière sur vos habitudes en ligne devrait vous donner une idée des risques liés à la propagation de ce type d'attaque : combien d'images affichez-vous par jour sur votre poste ?
C'est le chercheur en sécurité Saumil Shah qui nous pose ces questions en présentant sa découverte lors de la conférence Hack In The Box d'Amsterdam.
Il aurait ainsi réussi à créer un exploit lui permettant de coder un malware en Javascript qui s'intègre dans les pixels d'une image au format JPEG ou PNG ( soit parmi les plus répandues sur la toile). Le code s'exécute alors dès lors que l'image est ouverte, et pas avant, de sorte à rester sous les radars des antivirus.
Pour intégrer ce code, l'expert en sécurité a eu recours à la stéganographie, une méthode mathématique qui permet de dissimuler des messages dans un autre. Le code malveillant est tronçonné et éparpillé dans les différentes couches qui composent l'image sans que cela n'altère le rendu pour l'oeil. C'est ensuite l'élément HTML5 Canvas qui permet d'extraire le malware et de l'exécuter automatiquement.
Selon Saumil Shah, ce type de piratage pourrait prendre de l'ampleur dans les années à venir, pire encore, il pourrait déjà être à l'oeuvre depuis quelques mois. Pas question de céder à la paranoïa toutefois : les grands sites de partage de photos réencodent chaque cliché au moment de les envoyer, ce qui limite grandement le risque de propagation massive par les outils les plus populaires comme Google, Flickr ou Instagram.
