MacOS

Vulnérabilité ExifTool : comment une image peut infecter les systèmes macOS

Une analyse approfondie de la vulnérabilité CVE-2026-3102, qui représente une menace pour toute personne traitant des images sur un Mac.

GReAT
6 Mar 2026

Un ordinateur peut-il être infecté par un programme malveillant simplement à cause du traitement d’une photo, notamment si l’ordinateur en question est un Mac, que beaucoup croient encore (à tort) être intrinsèquement résistant aux programmes malveillants ? Il s’avère que la réponse est oui, si vous utilisez une version vulnérable d’ExifTool ou l’une des nombreuses applications basées sur cet outil. ExifTool est une solution universelle open source pour lire, écrire et modifier les métadonnées des images. C’est l’outil de prédilection des photographes et des archivistes numériques, et il est largement utilisé dans l’analyse des données, les enquêtes judiciaires numériques et le journalisme d’investigation.

Nos experts GReAT ont découvert une vulnérabilité critique (classée CVE-2026-3102) qui se déclenche lors du traitement de fichiers images malveillants contenant des commandes shell intégrées dans leurs métadonnées. Lorsqu’une version vulnérable d’ExifTool sur macOS traite un tel fichier, la commande est exécutée. Cela permet à un acteur de menace d’effectuer des actions non autorisées dans le système, comme télécharger et exécuter une charge utile à partir d’un serveur distant. Dans cet article, nous expliquons le fonctionnement de cet exploit, apportons des recommandations de défense concrètes et expliquons comment vérifier si votre système est vulnérable.

Qu’est-ce que l’outil ExifTool ?

ExifTool est une application gratuite et open source qui répond à un besoin niche mais important : elle extrait les métadonnées des fichiers et permet de traiter à la fois ces données et les fichiers eux-mêmes. Les métadonnées sont les informations intégrées dans la plupart des formats de fichiers modernes qui décrivent ou complètent le contenu principal d’un fichier. Par exemple, dans un morceau de musique, les métadonnées comprennent le nom de l’artiste, le titre de la chanson, le genre, l’année de publication, la pochette de l’album, etc. Dans le cas des photographies, les métadonnées comprennent généralement la date et l’heure de la prise de vue, les coordonnées GPS, les réglages ISO et la vitesse d’obturation, ainsi que la marque et le modèle de l’appareil photo. Même les documents Office stockent des métadonnées, comme le nom de l’auteur, la durée totale de modification et la date de création initiale.

L’outil ExifTool est le leader du secteur par le nombre de formats de fichiers pris en charge, ainsi que par la profondeur, la précision et la polyvalence de ses capacités de traitement. Voici quelques cas d’utilisation courants :

Ajustement des dates si elles sont incorrectement enregistrées dans les fichiers sources
Déplacement des métadonnées entre différents formats de fichiers (de JPG à PNG, etc.)
Extraction de vignettes d’aperçu à partir de formats RAW professionnels (tels que 3FR, ARW ou CR3)
Récupération de données à partir de formats de niche, y compris l’imagerie thermique FLIR, les photos de champ lumineux LYTRO et l’imagerie médicale DICOM
Modification du nom des fichiers photo/vidéo (etc.) en fonction de l’heure de la prise de vue et synchronisation de l’heure et de la date de création des fichiers en conséquence
Intégration de coordonnées GPS dans un fichier en le synchronisant avec un journal de suivi GPS stocké séparément, ou ajout du nom de la zone peuplée la plus proche

La liste est encore très longue. ExifTool est disponible à la fois comme application autonome en ligne de commande et comme bibliothèque open source, ce qui signifie que son code se retrouve souvent intégré dans des outils puissants et polyvalents, tels que des systèmes d’organisation de photos comme Exif Photoworker et MetaScope, ou des outils d’automatisation du traitement d’images comme ImageIngester. Dans les grandes bibliothèques numériques, les maisons d’édition et les sociétés d’analyse d’images, ExifTool est souvent utilisé en mode automatisé, déclenché par des applications d’entreprise internes et des scripts personnalisés.

En quoi consiste la vulnérabilité CVE-2026-3102 ?

Pour exploiter cette vulnérabilité, un pirate doit créer un fichier image d’une certaine manière. Si l’image elle-même peut être quelconque, l’exploit réside dans les métadonnées, et plus particulièrement dans le champ DateTimeOriginal (date et heure de création), qui doit être enregistré dans un format incorrect. Outre la date et l’heure, ce champ doit contenir des commandes shell malveillantes. En raison du mode particulier de traitement des données par ExifTool sur macOS, ces commandes s’exécuteront uniquement si deux conditions sont remplies :

L’application ou la bibliothèque fonctionne sous macOS
L’indicateur -n (ou –printConv) est activé. Ce mode génère des données interprétables par une machine sans traitement supplémentaire, en l’état. Par exemple, en mode -n, les données relatives à l’orientation de la caméra sont simplement affichées, sans explication, sous la forme « six », alors qu’avec un traitement supplémentaire, elles deviennent plus lisibles pour les humains : « Rotation de 90 degrés dans le sens des aiguilles d’une montre ». Cette « lisibilité par les humains » permet d’éviter que la vulnérabilité soit exploitée

Un scénario d’attaque ciblée, rare mais loin d’être imaginaire, serait le suivant : un laboratoire de police scientifique, une agence de presse ou une grande organisation traitant des documents juridiques ou médicaux reçoit un document numérique d’intérêt. Il peut s’agir d’une photo sensationnelle ou d’une plainte en justice – l’appât dépend du secteur d’activité de la victime. Tous les fichiers entrant dans l’entreprise sont triés et catalogués via un système de gestion des actifs numériques (DAM). Dans les grandes entreprises, ce processus peut être automatisé. Les particuliers et les petites entreprises utilisent le logiciel requis manuellement. Dans les deux cas, la bibliothèque ExifTool doit être utilisée par ce logiciel. Lors du traitement de la date de la photo malveillante, l’ordinateur sur lequel le traitement a lieu est infecté par un cheval de Troie ou un voleur d’informations, qui est ensuite capable de voler toutes les données précieuses stockées sur l’appareil attaqué. Pendant ce temps, la victime peut très bien ne rien remarquer du tout, car l’attaque exploite les métadonnées de l’image alors que l’image elle-même peut être inoffensive, tout à fait appropriée et utile.

Comment se protéger contre la vulnérabilité d’ExifTool ?

Les chercheurs de l’équipe GReAT ont signalé la vulnérabilité à l’auteur d’ExifTool, qui a rapidement publié la version 13.50, qui ne présente plus la vulnérabilité CVE-2026-3102. Les versions 13.49 et antérieures doivent être mises à jour pour corriger la faille.

Il est essentiel de s’assurer que tous les processus de traitement des photos utilisent la version mise à jour. Il est recommandé de vérifier que toutes les plateformes de gestion d’actifs, les applications d’organisation de photos et tous les scripts de traitement d’images en masse fonctionnant sur Mac font appel à la version 13.50 ou ultérieure d’ExifTool, et ne contiennent aucune ancienne copie intégrée de la bibliothèque ExifTool.

Bien entendu, ExifTool peut, comme tout logiciel, contenir d’autres vulnérabilités de ce type. Pour renforcer vos défenses, nous vous recommandons également ce qui suit :

Isolez le traitement des fichiers douteux. Traitez les images provenant de sources douteuses sur une machine dédiée ou dans un environnement virtuel, en limitant strictement son accès aux autres ordinateurs, au stockage des données et aux ressources du réseau.
Assurez un suivi continu des vulnérabilités sur toute la chaîne d’approvisionnement des logiciels. Les organisations qui s’appuient sur des composants open source dans leurs flux de travail peuvent utiliser Open Source Software Threats Data Feed à cette fin.

Enfin, si vous travaillez avec des freelances ou des prestataires indépendants (ou si vous autorisez simplement l’utilisation d’appareils personnels à des fins professionnelles), ne les autorisez à accéder à votre réseau que s’ils disposent d’une solution de sécurité macOS complète.

Vous pensez toujours que macOS est sans risque ? Alors, découvrez-en plus à propos des menaces Mac :

Banshee : un malware ciblant les utilisateurs de macOS

Les Mac sont-ils sûrs ? Menaces contre les utilisateurs de macOS

Le voleur d’informations a rejoint la partie

AirBorne : attaques contre les appareils Apple via des vulnérabilités dans AirPlay

Piratage d’Android, macOS, iOS et Linux par une faille du protocole Bluetooth

Phishing via Google Tasks

Les pirates diffusent des liens de phishing via les notifications Google Tasks

Conseils

Risques, vulnérabilités et confiance zéro : les termes clés sur lesquels le RSSI et le conseil d’administration doivent s’accorder

Présentation des principaux termes liés à la cybersécurité que les collègues ont souvent tendance à interpréter différemment ou de manière incorrecte.

Protection des enfants

Vulnérabilité ExifTool : comment une image peut infecter les systèmes macOS

Qu’est-ce que l’outil ExifTool ?

En quoi consiste la vulnérabilité CVE-2026-3102 ?

Comment se protéger contre la vulnérabilité d’ExifTool ?

Le voleur d’informations a rejoint la partie

Comment voler des cryptomonnaies via DNS

Phishing via Google Tasks

Conseils

Risques, vulnérabilités et confiance zéro : les termes clés sur lesquels le RSSI et le conseil d’administration doivent s’accorder

Comment installer ou mettre à jour les applications Kaspersky sur Android en 2026 ?

L’IA et la nouvelle réalité de la sextorsion

Epochalypse Now – ou comment gérer le bug de l’an 2038

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky