La stéganographie, qui consiste à dissimuler des informations, existe depuis des siècles. Récemment, elle a été impliquée dans certaines formes de cyberattaques. Lisez la suite pour en savoir plus sur les exemples de stéganographie, les types de stéganographie et la stéganographie dans la cybersécurité.
La stéganographie est la pratique de dissimulation d'informations dans un autre message ou un objet physique pour éviter que celles-ci soient détectées. La stéganographie peut être utilisée pour cacher pratiquement tout type de contenu numérique, y compris du texte, des images, des vidéos ou du contenu audio. Ces données cachées sont ensuite extraites à leur destination.
Le contenu dissimulé par stéganographie est parfois chiffré avant d'être caché dans un autre format. S'il n'est pas chiffré, il peut être traité d'une manière ou d'une autre de manière à ce qu'il soit plus difficile à détecter.
En tant que forme de communication secrète, la stéganographie est parfois comparée à la cryptographie. Toutefois, ces deux techniques sont différentes, car la stéganographie n'implique pas le codage des données à l'envoi ni l'utilisation d'une clé pour les décoder à la réception.
Le terme « stéganographie » vient des mots grecs « steganos » (qui signifie caché ou couvert) et « graphein » (qui correspond à l'écriture). La stéganographie est pratiquée sous diverses formes depuis des milliers d'années pour préserver la confidentialité des communications. Par exemple, dans la Grèce antique, les gens gravaient des messages sur du bois et utilisaient ensuite de la cire pour les dissimuler. Les Romains utilisaient diverses formes d'encres invisibles, qui pouvaient être déchiffrées à l'aide de la chaleur ou de la lumière.
La stéganographie est intéressante dans le cadre de la cybersécurité, car les groupes de ransomwares et d'autres acteurs menaçants cachent souvent des informations pour attaquer une victime. Par exemple, ils peuvent cacher des données, dissimuler un outil malveillant ou envoyer des instructions à des serveurs de commande et de contrôle. Toutes ces informations peuvent se trouver dans des fichiers image, vidéo, audio ou texte et paraitre inoffensives.
La stéganographie consiste à dissimuler des informations en évitant tout soupçon. L'une des méthodes les plus répandues est la stéganographie du bit de poids faible (« least significant bit »). Cette technique consiste à cacher des informations voulues dans les bits de poids les plus faibles d'un fichier multimédia. Par exemple :
La même méthode peut être appliquée à d'autres fichiers numériques, tels que le son et la vidéo, où les données sont cachées dans des parties du fichier qui modifient le moins possible le son ou l'image.
Une autre technique de stéganographie consiste à remplacer des mots ou des lettres. L'expéditeur d’un message secret dissimule le texte en le distribuant dans un texte beaucoup plus grand, en plaçant les mots à des intervalles spécifiques. Bien que cette méthode de substitution soit facile à utiliser, elle peut aussi donner au texte un aspect étrange, car les mots secrets risquent de ne pas s'intégrer logiquement dans les phrases concernées.
D'autres méthodes de stéganographie consistent à cacher une partition entière sur un disque dur ou à incorporer des données dans l'en-tête des fichiers et des paquets réseau. L'efficacité de ces méthodes dépend de la capacité à cacher des données et de la difficulté à les détecter.
D'un point de vue numérique, il existe cinq principaux types de stéganographie. En voici la liste :
Examinons chacune d'entre elles plus en détail :
La stéganographie de texte consiste à cacher des informations dans des fichiers texte. Ces techniques incluent la modification du format d'un texte existant, le changement de mots dans un texte, l'utilisation de grammaires hors contexte pour générer des textes lisibles ou encore la génération de séquences de caractères aléatoires.
Cette technique consiste à cacher des informations dans les fichiers image. La stéganographie numérique se sert souvent des images pour dissimuler des informations, car celles-ci sont constituées d'un grand nombre de composants et il existe plusieurs façons d'y camoufler des informations.
La stéganographie audio implique l'intégration de messages cachés dans un fichier audio, modifiant ainsi la séquence binaire du fichier audio correspondant. La dissimulation de messages cachés dans un son numérique est un processus plus difficile que les autres.
Cette technique dissimule les données dans les formats vidéo numériques. La stéganographie vidéo permet de cacher de grandes quantités de données dans un flux continu d'images et de sons. Il existe deux types de stéganographie vidéo :
La stéganographie réseau, parfois appelée stéganographie de protocole, est une technique dissimulation d'informations dans les protocoles de contrôle de réseau utilisés pour la transmission de données, tels que TCP, UDP, ICMP, etc.
La stéganographie et la cryptographie poursuivent le même objectif, c'est-à-dire la protection d'un message ou d'une information contre des tiers, mais elles utilisent des mécanismes différents pour y parvenir. La cryptographie traduit les informations en texte chiffré, et seule une clé de déchiffrement permet de le déchiffrer. Ainsi, si quelqu'un interceptait ce message chiffré, il pourrait constater sans peine qu'une forme de chiffrement a été appliquée. Par contre, la stéganographie ne modifie pas la nature de l'information, mais dissimule le message.
Les notions de stéganographie et de jetons non fongibles (NFT) se chevauchent à certains égards. La stéganographie est une technique permettant de cacher des fichiers à l'intérieur d'autres fichiers, notamment une image, un texte, une vidéo ou un autre format de fichier.
Lorsque vous créez un NFT, vous pouvez en général ajouter un contenu supplémentaire qui ne peut être révélé que par le titulaire du NFT. Le contenu peut être divers, y compris du contenu haute définition, des messages, du contenu vidéo, l'accès à des communautés privées, des codes de réduction, voire des contrats intelligents ou des objets de valeur.
Le monde de l'art évolue sans cesse, et les techniques relatives aux NFT changent également. À l'avenir, nous pouvons nous attendre à davantage conception de NFT avec des métadonnées privées dans des domaines différents, comme les jeux, les verrous d'accès payants, les ventes des billets en lignes, etc.
Ces derniers temps, la stéganographie a été principalement utilisée sur les ordinateurs, où les données numériques sont les porteurs et les réseaux sont les voies de transmission à haute vitesse. Voici quelques utilisations possibles de la stéganographie :
Du point de vue de la cybersécurité, les acteurs malveillants peuvent utiliser la stéganographie pour intégrer des données nuisibles dans des fichiers qui semblent inoffensifs. Étant donné que la stéganographie demande des connaissances et de maîtrise, elle est utilisée souvent par les acteurs malveillants avancés ayant des cibles particulières en tête. Voici quelques façons dont les attaques peuvent être propagées par le biais de la stéganographie :
Dissimulation de charges utiles malveillantes dans des fichiers multimédias numériques
Les images numériques représentent des cibles idéales, car elles contiennent de nombreuses données redondantes dont la modification n'altère pas considérablement le rendu visuel. Étant donné qu'ils sont très répandus dans le paysage numérique, les fichiers image n'éveillent généralement pas de soupçons d'intentions malveillantes. Les vidéos, les documents, les fichiers audio et même les signatures dans des emails sont autant de moyens potentiels d'utiliser la stéganographie pour déployer des charges utiles malveillantes.
Ransomware et exfiltration de données
Les équipes spécialisées dans les ransomwares ont également appris que l'utilisation de la stéganographie peut faciliter la mise en œuvre de leurs attaques. La stéganographie peut également être utilisée dans la phase d'exfiltration des données d'une cyberattaque. La stéganographie, destinée à dissimuler des données sensibles dans des messages de confiance, permet d'extraire des données sans être détectée. De nombreux acteurs malveillants considèrent désormais l'exfiltration des données comme objectif principal des cyberattaques. Les spécialistes de la sécurité mettent de mieux en mieux en œuvre des mesures permettant de détecter l'extraction de données, souvent en surveillant le trafic réseau chiffré.
Dissimulation de commandes dans les pages Internet
Les acteurs malveillants peuvent dissimuler les commandes de leurs implants dans des pages Web au moyen d'espaces, mais également dans les journaux de débogage publiés sur des forums. Ils peuvent aussi charger secrètement des données volées dans des images et assurer leur persistance en stockant le code chiffré dans des emplacements spécifiques.
Publicité malveillante
Les pirates informatiques peuvent profiter de la stéganographie en diffusant des publicités malveillantes. Ils peuvent intégrer un code malveillant dans des bannières publicitaires en ligne qui, lorsqu'elles sont chargées, extraient le code malveillant et redirigent les utilisateurs vers une page de destination d'un kit d'exploitation.
Skimming
En 2020, la plateforme néerlandaise de sécurité du commerce électronique Sansec a publié des recherches qui ont démontré que des acteurs malveillants avaient intégré des programmes de skimming à des fichiers SVG (Scalable Vector Graphics) sur les pages de paiement de sites de commerce électronique. Les attaques impliquaient une charge utile malveillante dissimulée dans des images SVG ainsi qu'un décodeur caché séparément dans d'autres parties des pages Internet.
Les utilisateurs qui saisissaient leurs coordonnées sur les pages de paiement compromises ne remarquaient rien de suspect, car les images représentaient de simples logos d'entreprises bien connues. Étant donné que la charge utile était intégrée à une syntaxe d'élément SVG à première vue correcte, les programmes d'analyse de sécurité standard recherchant une syntaxe invalide ne détectaient pas l'activité malveillante.
SolarWinds
Toujours en 2020, un groupe de pirates informatiques a caché un logiciel malveillant dans une mise à jour logicielle authentique de SolarWinds, un fabricant d'une plateforme de gestion d'infrastructure informatique populaire. Les escrocs ont réussi à pénétrer dans le système de Microsoft, d'Intel et de Cisco, ainsi que de plusieurs agences gouvernementales américaines. Ils ont ensuite utilisé la stéganographie pour dissimuler les informations subtilisées sous la forme de fichiers XML à première vue inoffensifs insérés dans les corps de la réponse HTTP des serveurs de contrôle. Les données de commande dans ces fichiers étaient camouflées sous la forme de différentes séquences de texte.
Entreprises industrielles
Toujours en 2020, des entreprises du Royaume-Uni, d'Allemagne, d'Italie et du Japon ont été frappées par une attaque qui utilisait des documents stéganographiques. Les pirates informatiques ont réussi à ne pas se faire repérer en utilisant une image stéganographique mise en ligne sur des plateformes d'images réputées, comme Imgur, pour infecter un document Excel. Mimikatz, un logiciel malveillant qui vole les mots de passe Windows, a été téléchargé par le biais d'un script invisible inclus dans l'image.
La technique de détection de la stéganographie est appelée « stéganalyse ». Plusieurs outils permettent de détecter la présence de données cachées, notamment StegExpose et StegAlyze. Les analystes se servent parfois d'autres outils, tels que les visualiseurs hexadécimaux, pour détecter les anomalies dans les fichiers.
Cependant, la recherche de fichiers modifiés par stéganographie est un véritable défi. En effet, il est pratiquement impossible de savoir où commencer à chercher des données cachées dans les millions d'images téléchargées chaque jour en ligne.
Il est relativement facile d'utiliser la stéganographie dans le cadre d'une attaque. En revanche, se protéger contre ce type de menaces est beaucoup plus compliqué, car les personnes malveillantes sont de plus en plus innovantes et créatives. Voici quelques mesures de prévention :
Produits associés :
Lecture complémentaire :