Qu'est-ce que la stéganographie ? Définition et explication

La stéganographie, qui consiste à dissimuler des informations, existe depuis des siècles. Récemment, elle a été impliquée dans certaines formes de cyberattaques. Lisez la suite pour en savoir plus sur les exemples de stéganographie, les types de stéganographie et la stéganographie dans la cybersécurité.

Qu'est-ce que la stéganographie ?

La stéganographie est la pratique de dissimulation d'informations dans un autre message ou un objet physique pour éviter que celles-ci soient détectées. La stéganographie peut être utilisée pour cacher pratiquement tout type de contenu numérique, y compris du texte, des images, des vidéos ou du contenu audio. Ces données cachées sont ensuite extraites à leur destination.

Le contenu dissimulé par stéganographie est parfois chiffré avant d'être caché dans un autre format. S'il n'est pas chiffré, il peut être traité d'une manière ou d'une autre de manière à ce qu'il soit plus difficile à détecter.

En tant que forme de communication secrète, la stéganographie est parfois comparée à la cryptographie. Toutefois, ces deux techniques sont différentes, car la stéganographie n'implique pas le codage des données à l'envoi ni l'utilisation d'une clé pour les décoder à la réception.

Le terme « stéganographie » vient des mots grecs « steganos » (qui signifie caché ou couvert) et « graphein » (qui correspond à l'écriture). La stéganographie est pratiquée sous diverses formes depuis des milliers d'années pour préserver la confidentialité des communications. Par exemple, dans la Grèce antique, les gens gravaient des messages sur du bois et utilisaient ensuite de la cire pour les dissimuler. Les Romains utilisaient diverses formes d'encres invisibles, qui pouvaient être déchiffrées à l'aide de la chaleur ou de la lumière.

La stéganographie est intéressante dans le cadre de la cybersécurité, car les groupes de ransomwares et d'autres acteurs menaçants cachent souvent des informations pour attaquer une victime. Par exemple, ils peuvent cacher des données, dissimuler un outil malveillant ou envoyer des instructions à des serveurs de commande et de contrôle. Toutes ces informations peuvent se trouver dans des fichiers image, vidéo, audio ou texte et paraitre inoffensives.

Comment fonctionne la stéganographie ?

La stéganographie consiste à dissimuler des informations en évitant tout soupçon. L'une des méthodes les plus répandues est la stéganographie du bit de poids faible (« least significant bit »). Cette technique consiste à cacher des informations voulues dans les bits de poids les plus faibles d'un fichier multimédia. Par exemple :

• Dans un fichier image, chaque pixel est composé de trois octets de données correspondant aux couleurs rouge, verte et bleue. Certains formats d'image attribuent un quatrième octet supplémentaire à la transparence, qui s’appelle « alpha ».
• La stéganographie du bit de poids faible modifie le dernier bit de ces octets de manière à cacher un bit de données. Ainsi, pour cacher un mégaoctet de données en appliquant cette méthode, il faudrait un fichier image de huit mégaoctets.
• La modification du dernier bit du pixel n'entraîne pas de changement visuellement perceptible de l'image, et quiconque regarde l'original et les images modifiées par la stéganographie ne pourra pas faire la différence.

La même méthode peut être appliquée à d'autres fichiers numériques, tels que le son et la vidéo, où les données sont cachées dans des parties du fichier qui modifient le moins possible le son ou l'image.

Une autre technique de stéganographie consiste à remplacer des mots ou des lettres. L'expéditeur d’un message secret dissimule le texte en le distribuant dans un texte beaucoup plus grand, en plaçant les mots à des intervalles spécifiques. Bien que cette méthode de substitution soit facile à utiliser, elle peut aussi donner au texte un aspect étrange, car les mots secrets risquent de ne pas s'intégrer logiquement dans les phrases concernées.

D'autres méthodes de stéganographie consistent à cacher une partition entière sur un disque dur ou à incorporer des données dans l'en-tête des fichiers et des paquets réseau. L'efficacité de ces méthodes dépend de la capacité à cacher des données et de la difficulté à les détecter.

Types de stéganographie

D'un point de vue numérique, il existe cinq principaux types de stéganographie. En voici la liste :

1. Stéganographie de texte
2. Stéganographie d'images
3. Stéganographie vidéo
4. Stéganographie audio
5. Stéganographie réseau

Examinons chacune d'entre elles plus en détail :

Stéganographie de texte

La stéganographie de texte consiste à cacher des informations dans des fichiers texte. Ces techniques incluent la modification du format d'un texte existant, le changement de mots dans un texte, l'utilisation de grammaires hors contexte pour générer des textes lisibles ou encore la génération de séquences de caractères aléatoires.

Stéganographie d'images

Cette technique consiste à cacher des informations dans les fichiers image.  La stéganographie numérique se sert souvent des images pour dissimuler des informations, car celles-ci sont constituées d'un grand nombre de composants et il existe plusieurs façons d'y camoufler des informations.

Stéganographie audio

La stéganographie audio implique l'intégration de messages cachés dans un fichier audio, modifiant ainsi la séquence binaire du fichier audio correspondant. La dissimulation de messages cachés dans un son numérique est un processus plus difficile que les autres.

Stéganographie vidéo

Cette technique dissimule les données dans les formats vidéo numériques. La stéganographie vidéo permet de cacher de grandes quantités de données dans un flux continu d'images et de sons. Il existe deux types de stéganographie vidéo :

• Intégration de données dans une vidéo originale non compressée et sa compression ultérieure
• Intégration de données directement dans le flux de données compressé

Stéganographie réseau

La stéganographie réseau, parfois appelée stéganographie de protocole, est une technique dissimulation d'informations dans les protocoles de contrôle de réseau utilisés pour la transmission de données, tels que TCP, UDP, ICMP, etc.

Stéganographie et cryptographie

La stéganographie et la cryptographie poursuivent le même objectif, c'est-à-dire la protection d'un message ou d'une information contre des tiers, mais elles utilisent des mécanismes différents pour y parvenir. La cryptographie traduit les informations en texte chiffré, et seule une clé de déchiffrement permet de le déchiffrer. Ainsi, si quelqu'un interceptait ce message chiffré, il pourrait constater sans peine qu'une forme de chiffrement a été appliquée. Par contre, la stéganographie ne modifie pas la nature de l'information, mais dissimule le message.

Stéganographie et NFT

Les notions de stéganographie et de jetons non fongibles (NFT) se chevauchent à certains égards. La stéganographie est une technique permettant de cacher des fichiers à l'intérieur d'autres fichiers, notamment une image, un texte, une vidéo ou un autre format de fichier. 

Lorsque vous créez un NFT, vous pouvez en général ajouter un contenu supplémentaire qui ne peut être révélé que par le titulaire du NFT. Le contenu peut être divers, y compris du contenu haute définition, des messages, du contenu vidéo, l'accès à des communautés privées, des codes de réduction, voire des contrats intelligents ou des objets de valeur.

Le monde de l'art évolue sans cesse, et les techniques relatives aux NFT changent également. À l'avenir, nous pouvons nous attendre à davantage conception de NFT avec des métadonnées privées dans des domaines différents, comme les jeux, les verrous d'accès payants, les ventes des billets en lignes, etc.

Utilisation de la stéganographie

Ces derniers temps, la stéganographie a été principalement utilisée sur les ordinateurs, où les données numériques sont les porteurs et les réseaux sont les voies de transmission à haute vitesse. Voici quelques utilisations possibles de la stéganographie :

• Contourner la censure : Elle permet d'envoyer des informations d'actualité sans censure et sans crainte que les messages soient retracés jusqu'à leur expéditeur.
• Créer des filigranes numériques : Cette technique permet de créer des filigranes invisibles qui ne déforment pas l'image et de détecter si celle-ci a été utilisée sans autorisation.
• Sécuriser des informations : Cette technique peut être utilisée par les organismes gouvernementaux et les forces de l'ordre pour envoyer des informations très sensibles à d'autres parties sans risquer d'éveiller des soupçons.

Comment la stéganographie est-elle utilisée pour propager des attaques ?

Du point de vue de la cybersécurité, les acteurs malveillants peuvent utiliser la stéganographie pour intégrer des données nuisibles dans des fichiers qui semblent inoffensifs. Étant donné que la stéganographie demande des connaissances et de maîtrise, elle est utilisée souvent par les acteurs malveillants avancés ayant des cibles particulières en tête. Voici quelques façons dont les attaques peuvent être propagées par le biais de la stéganographie :

Dissimulation de charges utiles malveillantes dans des fichiers multimédias numériques

Les images numériques représentent des cibles idéales, car elles contiennent de nombreuses données redondantes dont la modification n'altère pas considérablement le rendu visuel. Étant donné qu'ils sont très répandus dans le paysage numérique, les fichiers image n'éveillent généralement pas de soupçons d'intentions malveillantes. Les vidéos, les documents, les fichiers audio et même les signatures dans des emails sont autant de moyens potentiels d'utiliser la stéganographie pour déployer des charges utiles malveillantes.

Ransomware et exfiltration de données

Les équipes spécialisées dans les ransomwares ont également appris que l'utilisation de la stéganographie peut faciliter la mise en œuvre de leurs attaques. La stéganographie peut également être utilisée dans la phase d'exfiltration des données d'une cyberattaque. La stéganographie, destinée à dissimuler des données sensibles dans des messages de confiance, permet d'extraire des données sans être détectée. De nombreux acteurs malveillants considèrent désormais l'exfiltration des données comme objectif principal des cyberattaques. Les spécialistes de la sécurité mettent de mieux en mieux en œuvre des mesures permettant de détecter l'extraction de données, souvent en surveillant le trafic réseau chiffré.

Dissimulation de commandes dans les pages Internet

Les acteurs malveillants peuvent dissimuler les commandes de leurs implants dans des pages Web au moyen d'espaces, mais également dans les journaux de débogage publiés sur des forums. Ils peuvent aussi charger secrètement des données volées dans des images et assurer leur persistance en stockant le code chiffré dans des emplacements spécifiques.

Publicité malveillante

Les pirates informatiques peuvent profiter de la stéganographie en diffusant des publicités malveillantes. Ils peuvent intégrer un code malveillant dans des bannières publicitaires en ligne qui, lorsqu'elles sont chargées, extraient le code malveillant et redirigent les utilisateurs vers une page de destination d'un kit d'exploitation.

Exemples de stéganographie utilisée dans le cadre de cyberattaques

Skimming

En 2020, la plateforme néerlandaise de sécurité du commerce électronique Sansec a publié des recherches qui ont démontré que des acteurs malveillants avaient intégré des programmes de skimming à des fichiers SVG (Scalable Vector Graphics) sur les pages de paiement de sites de commerce électronique. Les attaques impliquaient une charge utile malveillante dissimulée dans des images SVG ainsi qu'un décodeur caché séparément dans d'autres parties des pages Internet.

Les utilisateurs qui saisissaient leurs coordonnées sur les pages de paiement compromises ne remarquaient rien de suspect, car les images représentaient de simples logos d'entreprises bien connues. Étant donné que la charge utile était intégrée à une syntaxe d'élément SVG à première vue correcte, les programmes d'analyse de sécurité standard recherchant une syntaxe invalide ne détectaient pas l'activité malveillante.

SolarWinds

Toujours en 2020, un groupe de pirates informatiques a caché un logiciel malveillant dans une mise à jour logicielle authentique de SolarWinds, un fabricant d'une plateforme de gestion d'infrastructure informatique populaire. Les escrocs ont réussi à pénétrer dans le système de Microsoft, d'Intel et de Cisco, ainsi que de plusieurs agences gouvernementales américaines. Ils ont ensuite utilisé la stéganographie pour dissimuler les informations subtilisées sous la forme de fichiers XML à première vue inoffensifs insérés dans les corps de la réponse HTTP des serveurs de contrôle. Les données de commande dans ces fichiers étaient camouflées sous la forme de différentes séquences de texte.

Entreprises industrielles

Toujours en 2020, des entreprises du Royaume-Uni, d'Allemagne, d'Italie et du Japon ont été frappées par une attaque qui utilisait des documents stéganographiques. Les pirates informatiques ont réussi à ne pas se faire repérer en utilisant une image stéganographique mise en ligne sur des plateformes d'images réputées, comme Imgur, pour infecter un document Excel. Mimikatz, un logiciel malveillant qui vole les mots de passe Windows, a été téléchargé par le biais d'un script invisible inclus dans l'image.

Comment détecter la stéganographie ?

La technique de détection de la stéganographie est appelée « stéganalyse ». Plusieurs outils permettent de détecter la présence de données cachées, notamment StegExpose et StegAlyze. Les analystes se servent parfois d'autres outils, tels que les visualiseurs hexadécimaux, pour détecter les anomalies dans les fichiers.

Cependant, la recherche de fichiers modifiés par stéganographie est un véritable défi. En effet, il est pratiquement impossible de savoir où commencer à chercher des données cachées dans les millions d'images téléchargées chaque jour en ligne.

Limiter les attaques par stéganographie

Il est relativement facile d'utiliser la stéganographie dans le cadre d'une attaque. En revanche, se protéger contre ce type de menaces est beaucoup plus compliqué, car les personnes malveillantes sont de plus en plus innovantes et créatives. Voici quelques mesures de prévention :

• Les formations à la cybersécurité peuvent sensibiliser aux risques liés au téléchargement de fichiers multimédias provenant de sources non fiables. Elles peuvent également apprendre aux utilisateurs à repérer les messages de phishing contenant des fichiers malveillants et à se rendre compte de la place qu'occupe la stéganographie dans le monde des cybermenaces. En premier lieu, apprenez aux utilisateurs à faire attention aux images dont la taille du fichier est élevée, ce qui pourrait indiquer la présence de stéganographie.
• Les organisations devraient mettre en place un système de filtrage Internet pour sécuriser la navigation et devraient également veiller à appliquer les mises à jour des programmes de sécurité lorsque celles-ci sont disponibles.
• Les entreprises sont censées utiliser des technologies modernes de protection des terminaux qui vont au-delà des contrôles statiques, des signatures de base et d'autres composants obsolètes, car le code caché dans des images et d'autres formes d'obscurcissement a plus de chances d'être détecté dynamiquement par un moteur comportemental. De plus, il convient de prêter une attention particulière aux terminaux où il est plus facile de détecter le chiffrement et la dissimulation.
• Les entreprises devraient également s'informer sur la Threat Intelligence à partir de sources multiples pour se tenir au courant des tendances, notamment des cyberattaques touchant leur secteur d'activité où des cas de stéganographie ont été observés.
• L'utilisation d'une solution antivirus complète vous aidera à détecter, mettre en quarantaine et supprimer les codes malveillants de vos appareils. Les produits antivirus modernes se mettent à jour automatiquement pour assurer une protection contre les derniers virus et autres types de logiciels malveillants.

Produits associés :

• Kaspersky Home Security
• Kaspersky Password Manager
• Kaspersky Secure Connection

Lecture complémentaire :

• Comment se protéger des escroqueries aux NFT ?
• Comment éviter les escroqueries liées aux cryptomonnaies ?
• Qu'est-ce que le minage pirate et comment fonctionne-t-il ?