Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

Dissimulation de données : La stéganographie


Qu'est-ce que c'est ?


La stéganographie, c'est l'art de dissimuler des données dans d'autres données. Il existe plusieurs techniques différentes qui permettent ce "tour de magie".

La stéganographie existe depuis longtemps, bien avant l'invention de l'ordinateur. En voilà un exemple frappant :

Ceci est une lettre envoyée par George Sand à Alfred de Musset :


A priori, si vous n'avez pas compris que cette lettre en cache une autre, c'est beau, plein de poésie... Maintenant, relisez la première ligne et ensuite une ligne sur deux...

Alfred de Musset a répondu ceci :


De la même manière George Sand a répondu ceci :


Avez vous décrypté les deux réponses ? Si non relisez les attentivement.

Avec l'avènement de l'ordinateur et de son règne du "tout numérique", des techniques existent pour cacher n'importe quel document dans un autre document.

Dissimulation d'information dans une image


Les documents "porteurs" sont généralement des images (BMP,GIF, videos, ...) ou des sons (WAV, ...). Nous allons voir comment il est possible de cacher un document dans une image RVB. Pour cela nous allons faire un bref rappel de ce qu'est une structure d'image.

Le pixel :
Un pixel est constinué de 3 octets : un octet pour la composante rouge, un octet pour la composante verte et un octet pour la composante bleue. C'est pour cela que l'on parle de RVB (Rouge Vert Bleu). A partir de ces trois octets, on peut donc avoir 256*256*256 = 16777216 couleurs différentes, ce qui est largement plus que ne peut distinguer l'oeil humain.

L'image :
L'image n'est ni plus ni moins que le stockage dans un fichier de tous les pixels RVB composant l'image finale. Par exemple, une image 800x600 pixels correspond à 800x600x3 = 1440000 octets.

Cacher l'information dans l'image :
L'astuce est d'utiliser un bit à chaque octet RVB qui compose chaque pixel de l'image. En effet, en retirant 1 bit, on dégrade l'image, mais ce n'est pas visible à l'oeil nu...
De ce fait, on peut récupérer ce bit à chaque fois et l'utiliser pour stocker les données que l'on souhaite. Nous récupérons donc 1/8e de la taille de l'image pour cacher une information ou un document. Dans notre exemple, une image 800x600 pixels permet de stocker une information de 180000 octets. Cela peut être, par exemple, pour stocker un document Word a l'intérieur de l'image...

Il existe, bien entendu, de nombreuses variantes à cet exemple, notamment pour dissimuler des informations dans d'autres formats d'images, des fichiers sonores, des videos, du flash, etc.

Un exemple fortement utilisé de nos jours : Le Watermarking


La stéganographie n'est pas utilisée que par des apprentis espions désirant cacher leurs informations secrètes. Elle est aussi utilisée dans l'industrie actuelle. Sa principale application est le watermaking. Cela consiste à cacher un copyright au sein d'une oeuvre protégée. Ainsi, en cas de litige de droits d'auteurs, le watermark sera montré pour prouver l'originalité de l'oeuvre.

Les limites de la stéganographie et du watermarking


La dissimulation d'information dans un document porteur est fortement dépendant de la nature de ce document porteur. Par exemple, une information dissimulée dans une image BMP est détruite si l'image est convertie en JPG. En effet, le JPG comporte son propre algorithme de compression qui dégrade volontairement l'image afin d'obtenir un compactage maximum. Les précieux bits de l'information cachée sont donc fortement altérés par le compactage.

Détection de la stéganographie


La recherche d'information stéganographiée porte un nom anglais : La Steganalysis.
La principale difficulté pour détecter la stéganographie, c'est de comprendre la façon dont l'information est cachée. Bref, c'est aussi simple que de décrypter un message quand on ne connait pas l'algorithme de cryptage qui a été utilisé ! Aussi la principale source de détection est la recherche d'algorithme déjà connus. Dans certains cas, une analyse mathématique et/ou statistique peut venir compléter la détection. L'outil stegdetect disponible sur http://www.outguess.org/ en est un bon exemple de détection.

Arnaud Jacques
20 Septembre 2000

Partagez cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités.
Twitter SecuriteInfo.com
Facebook SecuriteInfo.com
BOINC calcul scientifique
© 2004-2016 - Tous droits réservés - SecuriteInfo.com