Je dois vous le dire tout de suite, je n'ai jamais rien compris à la
mode. Tout est tellement volatile, changeant. Je prends un exemple au
hasard, tenez le chiffrement. Dans le monde occidental, jusqu'à peu de
temps, il se portait très court 128 bits, voire pas du tout. Puis d'un
seul coup, la mode a changé, et il se porte de plus en plus long.
Bizarre, non ? Heureusement, certains pays ne sont pas si futiles, et
pour eux la mode n'a pas changé, il se porte toujours ultra court, et
il est même malséant d'en porter, prenez exemple des pays orientaux.
Et c'est ça qui pose problème aux entreprises établies dans ces pays. Faut il chiffrer, au risque de se faire repérer par les autorités, ou laisser tout passer en clair, et espérer (ou prier) que dans la masse... c'est une bonne question qu'il faut se poser assez rapidement. Heureusement, qu'il y a une alternative la dissimulation des données. Vous passez pour un bon élève aux yeux des autorités, et hop toutes les informations confidentielles passent sans être inquiétées.
Faut il être David Copperfield pour réussir cela ? Un petit peu... En fait, il existe plusieurs méthodes de dissimulation, certaines sont vieilles comme le monde, et d'autres suivent l'évolution des techniques. Je vous parlerai des méthodes non technologiques plus tard. Parlons de la technique star de dissimulation : la stéganographie. Cette technique a beaucoup fait parlé d'elle au lendemain des attentats du 11 Septembre, le FBI la pointait du doigt car elle avait servi à transmettre des plans aux terroristes, et la décrivait comme le « grand satan » (non, je dois confondre). Il est vraiment étrange que le FBI fasse tant de bruit pour cette technique qu'il découvrait apparemment, pas très récente, et qui en plus depuis des décennies fait en général partie du cursus moyen en informatique (ils ont peut être séché les cours, qui sait).
En fait, cacher des messages à l'intérieur d'un autre, d'un fichier, d'un programme, ou d'une image n'est vraiment pas nouveau. La stéganographie la plus utilisée est celle qui cache des informations à l'intérieur d'une image, d'ailleurs 95% des programmes utilisent cette technique. Comment cacher du texte à l'intérieur d'une image ? Une première technique consiste à traduire le spectre de couleur par des courbes (comme le son) en y insérant des infimes variations que l'œil humain ne pourra voir. Une autre, est de modifier légèrement chaque pixel. Bien sûr, la capacité d'absorption d'une image peut être variable, mais pas infinie loin de là. Mais comme toute utilisation de la technologie, la stéganographie peut être aussi détecté de façon automatique. Certains programmes ont un fort taux de réussite à ce jeu.
Il faut donc en user, mais surtout pas en abuser. Mais on peut insérer aussi simplement des données dans autre chose que des images. Faire une concaténation de fichiers pour se camoufler est très simple et efficace. Nous parlerons d'une autre façon technique de dissimuler les informations dans un prochain article.
La stéganographie de base est repérable. Des analyses statistiques sur les bits de poids faibles peuvent être révélatrices.
Il est nécessaire de chiffrer les messages même quand on les dissimule dans de la stéganographie et en plus ça a l'avantage de générer des données aléatoires. Donc encore moins repérable.
Après est-ce qu'une entreprise qui n'arrête pas de transférer des images (souvent les mêmes, mais qui n'auront pas le même hash) ne sera pas suspecte ?
Mais c'est vrai qu'il faut éviter de montrer à tout le monde qu'on chiffre ses données sous risque de se faire taper dessus.
Mon propos est quelque peu hors-sujet mais concerne la sécurité du site Orange.fr et l'absence de chiffrement des connexions.
Le HTTPS n'est pas activé par défaut lors de l'authentification. En outre, le site semble constitué de plusieurs iFrames qui ne sont pas toutes sécurisées d'après l'icône de Firefox.
Je profite de la faille de sécurité découverte par des hackers pour demander aux services techniques de bien vouloir implémenter du HTTPS systématique pour l'ensemble d'une session, et pas seulement pour le mail dans la mesure où le serveur Orange renvoie beaucoup d'informations personnelles qui méritent une protection permanente.
Enfin, il serait bien d'ajouter un bouton "Finir la session" qui déconnecterait effectivement l'utilisateur. J'ai fait la demande plusieurs fois à différents services, mais ma demande a toujours été ignorée.
J'oubliais. Du SSL et du TLS pour le POP, l'IMAP et le SMTP d'Orange seraient également appréciables.
Ce document de référence "Hiding Information in Retransmissions" sur le sujet [bit.ly/rxnxg] permettra à vos lecteurs de poursuivre,
Mes amitiés.
K @ MAD
Bonjour Monsieur,
je n'ai jamais rencontré cet outil au-delà du proof of concept ou du hobby de spécialiste...
Connaissez-vous un seul cas d'utilisation de stéganographie à l'échelle d'une entreprise moyenne ou grande ?
Merci pour vos suggestions, nous transmettons vos commentaires aux personnes concernées
Il est clair que la stéganographie est repérable... lorsque l'on la cherche. Le BaBa est de ne jamais envoyer le même document. Et pas seulement des images, mais aussi des binaires, textes, peut être caché des informations dans des formats type word, ... (lecture hexa).
La stéganographie est limité dans le volume à dissimuler.
Super information....
Merci beaucoup
Oui, mais, comme vous le comprendrez je ne peux le dire.
La stéganographie permet de passer un volume restreint d'informations, mais cela peut être suffisant parfois.