Plusieurs failles de sécurité ont été décelées dans ce format d'image compressé, permettant d'y cacher un virus. Mais aucun pirate n'en a encore profité…

au sommaire


    Dans la longue série des "failles de sécurité qui pourraient permettre à une personne malveillante de prendre le contrôle d'un ordinateur à distance", voici celle affectant le format d'image PNG. Libre de droits, ce format compressé (portable network graphics) est utilisé sur le Web et pour le courrier électronique. Il est reconnu par plusieurs logiciels de messageriemessagerie et par Internet Explorer.

    La société danoise SecuniaSecunia, spécialisée dans la sécurité informatique, a découvert six points de vulnérabilité nichés dans le fichier LibPNG, Lib pour library, utilisé par les logiciels affichant ou créant une image PNG. Assez classiquement, cette faiblesse est utilisable pour créer une erreur de dépassement de mémoire (bufferbuffer overflow), permettant de glisser un fichier exécutable (un programme) dans une image. Voilà le moyen de propager un virus dans des images piégées ou encore de prendre la main d'un ordinateur distant depuis un site Web.

    Originalité de cette faille : elle est indépendante du système d'exploitation et concerne donc aussi MacOS et LinuxLinux. Elle affecte les logiciels de messagerie Opera, Mozilla et Netscape. Les distributeurs d'OS Linux Red Hat fournissent déjà des correctifs. Quant à Mozilla, il existe une nouvelle mouture, la version 1.7.2, résorbant les failles pour Windows, Linux et MacOS. MicrosoftMicrosoft n'a rien annoncé pour l'instant, ni pour Internet Explorer ni pour Outlook. Mieux, une version corrigée de LibPNG est maintenant disponible et peut être téléchargée sur www.libpng.org/pub/png.

    Le risque a été jugé assez élevé par le Cert-ISTIST (Computer Emergency Response Team), une association de Loi 1901 se voulant un "centre d'alerte et de réaction aux attaques informatiquesattaques informatiques destiné aux entreprises françaises".

    Ce n'est pas la première fois que le format PNG pose problème. Une autre faille, affectant Internet Explorer, avait été décelée en 2003 et une autre, concernant Linux, en 2002. Des failles de ce genre sont fréquentes, concernant des logiciels divers, des formats de fichiers ou des systèmes d'exploitation (voir notre actualité sur celle découverte dans AIM en cliquant ici)). Reste que, pour être dangereuses, elles doivent trouver un pirate capable de les exploiter, ce qui est heureusement rarement le cas. Pour l'instant, la faille dans PNG n'a pas encore été utilisée.