Une explication technique décrivant la stéganographie et son importance pour la sécurité du web aujourd’hui.
Commençons par notre jeu d’enfant préféré 😀
Trouvez la différence :
Avez-vous terminé ?
Qu’avez-vous obtenu ? Rien !
Ne vous sentez pas mal dans votre peau, car il faudrait les yeux de Superman pour détecter la moindre dissemblance.
Mais si vous aviez soumis ces images à ce décodeur (stéganographique), vous auriez obtenu un texte incorporé dans la première image.
C’est ce qu’on appelle la stéganographie.
Bon, revenons un peu en arrière et reprenons à zéro.
Qu’est-ce que la stéganographie ?
Utilisée depuis des lustres, la stéganographie est un art de la tromperie qui consiste à cacher quelque chose dans un autre pour éviter d’être détecté.
Par exemple, j’ai codé la première image de l’ordinateur portable avec le texte “Geekflare is your trusted source for technology resources” (Geekflare est votre source de confiance pour les ressources technologiques), que vous ne pourriez pas voir à l’œil nu.
De même, il existe des outils sophistiqués que vous pouvez utiliser pour cacher un type de fichier (texte/image/audio/vidéo) dans un autre fichier de nature similaire ou différente.
Cette pratique existe depuis longtemps. Le souverain grec Histiaeus, par exemple, rasait la tête de ses serviteurs de confiance pour leur transmettre un message confidentiel. Il attendait ensuite que les cheveux repoussent avant de demander au serviteur de se rendre chez le destinataire, où le messager subissait un nouveau rasage de la tête pour révéler la note “secrète”.
C’est la forme la plus simple : la stéganographie physique. On peut également citer l’utilisation d’une certaine encre qui se révèle sous certaines conditions de lumière ou de température, ou encore des messages écrits sous des timbres-poste.
Aujourd’hui, le processus est beaucoup plus efficace et numérique, avec de nombreux outils de stéganographie gratuits et payants à votre disposition.
Globalement, l’idée est de dissimuler des informations cruciales dans n’importe quel message ou fichier “standard”.
Avant de mettre en lumière l’utilisation et l’abus de la stéganographie pour la sécurité du web, la section suivante en explique les différents types.
Types de stéganographie
Il existe de nombreuses façons d’y parvenir, qui dépendent principalement du support de transfert de l’information ou du processus lui-même. Nous aborderons ici les principaux types de stéganographie.
#1. Stéganographie de texte
Dans ce cas, l’information est cachée par le biais d’un formatage spécifique ou d’une substitution de caractères. Par exemple, les lettres de l’alphabet A, B, C,… peuvent être remplacées par des chiffres 1, 2, 3,… ce qui donne au langage codé l’apparence d’un texte inoffensif.
Un autre type de modification est la modification de l’espace blanc. Dans ce cas, l’espacement entre les mots ou les caractères peut être modifié pour transmettre l’information voulue.
Ou encore, le deuxième caractère de chaque mot peut avoir une signification totalement différente de celle du texte original.
De même, il peut y avoir une infinité de modèles.
#2. Stéganographie d’images
Le premier exemple que j’ai pris dans cet article est un type de stéganographie d’image. Cette technique modifie (incorpore un message secret) quelques parties de l’image, ce qui a le moins d’impact sur la représentation globale.
Techniquement, les bits les moins significatifs (LSB) d’une image sont modifiés pour encoder l’information confidentielle. Ce processus a un effet minime sur les octets représentant l’espace de couleur RVB, qui forment les pixels de l’image.
Hormis les LSB, les autres méthodes comprennent la stéganographie basée sur la palette, la transformation discrète du cosinus (DCT), etc.
#3. Stéganographie audio
Comme son nom l’indique, la stéganographie audio consiste à encoder le message dans des échantillons sonores sans que l’oreille humaine ne s’en aperçoive.
Parmi les techniques utilisées, citons la modification des LSB, la dissimulation d’écho, l’étalement du spectre et le codage de phase.
En bref, la stéganographie audio introduit un bruit subtil ou modifie la forme d’onde tout en conservant un son similaire.
#4. Stéganographie vidéo
La vidéo est une combinaison d’images et de sons. Les techniques qui y sont appliquées peuvent donc l’être également.
L’information secrète est incorporée en modifiant les données au niveau de la trame, ce qui revient à jouer avec les LSB de l’image. De la même manière, des méthodes telles que la TCD peuvent être appliquées.
De même, la stéganographie audio peut être déployée dans la partie sonore de n’importe quelle vidéo.
#5. Stéganographie de réseau
La stéganographie de réseau consiste à dissimuler des données dans des protocoles de communication de réseau ou des schémas de connexion.
Il existe deux types de stéganographie : la stéganographie basée sur le temps et la stéganographie basée sur le stockage. La première consiste à modifier les schémas de transmission des paquets, tandis que la seconde incorpore des données cachées directement dans les paquets, sans avoir d’effet sur la charge utile, afin d’éviter d’être détectée.
Les techniques spécifiques utilisées sont la modification du taux de transmission des paquets, l’insertion d’informations dans des champs inutilisés, l’envoi de paquets réseau en double, la manipulation des en-têtes de réseau, etc.
Ceci conclut certaines des formes les plus connues de stéganographie numérique. En outre, le message secret peut être crypté pour plus de sécurité, ce qui implique de déployer la cryptographie (abordée plus loin) en plus de la stéganographie.
Mais comme l’internet est omniprésent, il ne faut pas manquer de savoir comment il peut affecter la sécurité quotidienne du web.
La stéganographie pour la sécurité du web
Ce qui est bien
- Sécurité des données : La stéganographie peut être utilisée pour stocker des données commerciales sensibles et les transmettre sans attirer l’attention. Il peut s’agir de secrets commerciaux ou d’informations financières ou médicales concernant des clients. Utilisée avec le cryptage, la stéganographie ouvre la voie à de solides protocoles de sécurité des données.
- Anti-hameçonnage : un code stéganographique lisible par le navigateur peut être incorporé dans des sites web critiques comme les banques, ce qui alertera l’utilisateur lorsqu’il arrivera sur une fausse réplique. Cela permet de se prémunir contre les attaques par hameçonnage, toujours courantes, au cours desquelles l’utilisateur saisit des informations sensibles et finit par subir de lourdes pertes financières ou par être victime d’une usurpation d’identité.
- Protection des droits d’auteur : Un code secret peut être inclus dans n’importe quelle œuvre numérique, ce qui permet de remonter à sa source d’origine. Ainsi, la stéganographie peut aider à prévenir le piratage de diverses formes de médias telles que les images, le son, la vidéo et même le texte.
Le mal
- Communication illicite : Étant donné que la stéganographie permet de dissimuler des informations par le biais de canaux et de moyens de communication courants, les criminels ou les espions peuvent partager des informations illicites sans que les forces de l’ordre ne s’en aperçoivent.
- Distribution de logiciels malveillants : De même, des acteurs malveillants peuvent envoyer des codes dangereux par l’intermédiaire de médias, qui peuvent exécuter des scripts malveillants sur l’ordinateur d’un utilisateur lorsqu’ils sont ouverts.
- Distribution de contenu illégal : Comme pour la distribution de logiciels malveillants, les criminels peuvent facilement partager des données confidentielles sous le couvert d’un contenu médiatique inoffensif.
Vous voyez, les atouts mêmes de la stéganographie peuvent être exploités d’une manière totalement opposée. Et, malheureusement, il n’y a pas grand-chose (discuté en fin de compte) que nous puissions faire à ce sujet.
Pour l’instant, je vais vous parler de son cousin bien connu, la cryptographie.
Stéganographie et cryptographie
Il s’agit de deux processus totalement différents dont l’objectif commun est de protéger les informations.
Alors que la stéganographie dissimule ces données, la cryptographie les convertit en une version illisible (texte chiffré) de sorte qu’un observateur ne puisse pas en comprendre le sens, même si elles sont exposées.
Résumons quelques différences révélatrices entre ces deux techniques.
Fonctionnalité | Stéganographie | Cryptographie |
---|---|---|
Principe | Obscurité de l’information | Brouillage des données |
Objectif | Cacher les données dans d’autres données | Convertir les données en une forme illisible |
Détection | Difficile, car la présence d’un tel acte n’est pas facile à repérer s’il est bien fait. | Plus facile, car les algorithmes modifient le type de données d’origine |
Décodage | Facile. La plupart des données de ce type peuvent être facilement lues si elles sont trouvées. Au mieux, des mots de passe peuvent être utilisés pour empêcher tout accès non autorisé. | Pas facile. Le décodage peut être extrêmement compliqué en fonction de l’algorithme de cryptage et de la force de la clé. |
Sécurité | Bonne, car elle est difficile à détecter. | Excellente, même si elle est détectée, à moins qu’elle ne souffre d’un mauvais algorithme ou que la clé de chiffrement ne soit compromise. |
Application | Filigrane, protection des droits d’auteur, etc. | Banque en ligne, courriers électroniques cryptés, etc. |
Ces deux techniques, si elles sont utilisées ensemble, rendent les informations confidentielles encore plus sûres. Cependant, elles présentent certains inconvénients, tels que l’augmentation de la taille des fichiers, le risque élevé de détection, la complexité des processus, etc.
Réflexions finales
Par définition, la (bonne) stéganographie passe inaperçue. Comme elle a aussi des utilisations positives, elle n’est pas entièrement mauvaise.
En ce qui concerne l’utilisation abusive, il n’existe pas de méthode infaillible pour se protéger des attaques stéganographiques. On peut essayer d’examiner les tailles et les types de fichiers inhabituels et s’assurer de ne jamais accéder à quoi que ce soit provenant d’une source web douteuse.
Enfin, pour un utilisateur moyen, il est toujours bon de disposer d’un antivirus de qualité.