Une vulnérabilité critique découverte dans l’outil open source ExifTool montre qu’un simple traitement d’image peut suffire à compromettre un système macOS. Identifiée sous la référence CVE-2026-3102, la faille permet l’exécution de commandes malveillantes dissimulées dans les métadonnées d’une photo.
Une faille dans un outil omniprésent
ExifTool est un utilitaire open source largement utilisé pour lire, modifier ou extraire les métadonnées des fichiers, notamment les images. Ces informations, date de prise de vue, coordonnées GPS, modèle d’appareil photo ou paramètres techniques, accompagnent la plupart des formats modernes.
Cet outil s’est imposé comme une référence pour le traitement de métadonnées grâce à sa capacité à gérer un grand nombre de formats et à manipuler ces informations avec précision. Il est utilisé aussi bien en ligne de commande que comme bibliothèque intégrée dans d’autres logiciels. De nombreux outils d’organisation photo, de traitement automatisé d’images ou de gestion de bibliothèques numériques reposent ainsi sur son code.
Dans de nombreuses organisations, ExifTool fonctionne en arrière-plan dans des workflows automatisés, pilotés par des scripts internes ou des systèmes de gestion d’actifs numériques. C’est précisément cette intégration profonde dans les chaînes de traitement qui rend la vulnérabilité découverte par les chercheurs de Kaspersky particulièrement sensible.
Quand les métadonnées deviennent vecteur d’attaque
Les experts du GReAT (Global Research and Analysis Team) de Kaspersky ont identifié une vulnérabilité critique qui se déclenche lors du traitement d’une image contenant des commandes shell intégrées dans ses métadonnées.
La faille exploite le champ DateTimeOriginal, qui stocke normalement la date et l’heure de création d’une photo. Dans un fichier piégé, ce champ est volontairement mal formaté et contient également des commandes malveillantes. Lorsque la bibliothèque ExifTool vulnérable traite ce fichier sur macOS, ces commandes peuvent être exécutées automatiquement.
Deux conditions doivent toutefois être réunies pour que l’attaque fonctionne : le traitement doit être effectué sur macOS et le logiciel doit utiliser le mode -n (ou –printConv), qui affiche les métadonnées dans un format brut destiné aux traitements automatisés.
Dans ce cas précis, l’image elle-même peut être totalement anodine. Le code malveillant se cache uniquement dans les métadonnées. Une fois exécuté, il peut par exemple télécharger et lancer une charge utile depuis un serveur distant, permettant à l’attaquant d’installer un cheval de Troie ou un infostealer sur la machine ciblée.
Selon Kaspersky, un scénario d’attaque plausible pourrait viser des environnements qui manipulent régulièrement des images dans des flux automatisés : laboratoires de forensic, rédaction traitant des contenus visuels ou organisations recevant des documents numériques à analyser. Un fichier apparemment légitime pourrait ainsi être intégré à un système de tri ou de catalogage utilisant ExifTool. Lors du traitement des métadonnées, l’infection se déclencherait sans que l’utilisateur ne remarque quoi que ce soit.
Une correction rapide, mais un risque dans la chaîne logicielle
Les chercheurs ont signalé la vulnérabilité à l’auteur du projet, qui a publié la version 13.50 d’ExifTool, corrigée. Les versions 13.49 et antérieures restent vulnérables et doivent être mises à jour.
Le point critique réside toutefois dans les nombreuses applications qui intègrent ExifTool comme composant interne. Il est donc nécessaire de vérifier que les plateformes de gestion d’images, les outils d’organisation photo ou les scripts automatisés utilisent bien la version corrigée et ne contiennent pas de copie intégrée plus ancienne.
Pour Kaspersky, “ExifTool, comme tout logiciel, peut contenir d’autres vulnérabilités de cette classe” (citation traduite).
