FLASH INFORMATIQUE FI



Stéganographie inverse




Laurent KLING


Sous ce terme savant se cache la technique de dissimuler l’information utile dans un document d’apparence anodine. Cette technique n’est pas nouvelle, un exemple célèbre est le mot d’amour que George Sand écrit à Alfred de Musset :www.apprendre-en-ligne.net/crypto/stegano/lettres.html.
La décence et les âmes sensibles m’empêchent de reproduire ce texte apparemment innocent. Dans l’informatique, il est également nécessaire de déterminer le type de contenu. Un exemple plus commun est l’extension d’un fichier. Par atavisme, les usagers sont souvent confrontés à l’utilisation de nom de fichier composé selon ce principe : nom.extension.

JPEG - 36.9 ko
Image animée en JPG

Récemment un collègue m’a posé un problème étrange, un fichier impossible à éditer dans Photoshop : animation.jpg. Au premier abord, nous voici face à un étrange phénomène, car cette image est visible sur un PC Windows dans les butineurs internet, dans l’utilitaire Irfanview et même dans le programme natif Windows Picture Viewer.
Dans un esprit taquin, les usagers de Macintosh peuvent générer des documents sans extension, cauchemar des autres plates-formes. Habitué à ces documents impossibles à lire, je connais une méthode très simple :

  • modifier l’extension du fichier en .txt,
  • ouvrir ce texte dans un logiciel élémentaire de traitement de texte (éviter Word),
  • et immédiatement le miracle apparaît : GIF89a≥¥±qå≠pâìJUl++,Pfq÷èi*

Ce fichier illisible était simplement une image animée GIF. Renommée en animation.gif, l’image est maintenant lisible par Photoshop. Un spécialiste aurait également pu découvrir l’altérité par un simple raisonnement, le format GIF 89a permet une animation encapsulée, pas le format JPEG. Pour les aficionados, le Macintosh lui ne s’est pas laissé berner et a directement lu dans Aperçu en affichant les différentes images de la séquence.

JPEG - 22.2 ko
animation.jpg avec Aperçu


Ce mécanisme est connu, pour distinguer électroniquement plusieurs versions d’un même programme il est aisé de définir le début du fichier par une chaine de caractères. Ainsi, le logiciel peut lire les différentes évolutions même si l’encodage interne a changé (seuls les esprits extra-lucides peuvent prévoir ce que sera le résultat de leurs travaux dans le futur). Sur un plan anecdotique, je peux me sentir honoré que l’identité du secteur de démarrage (boot block) du Macintosh soit $4B4C ’LK’ en ASCII 7 bits.
developer.apple.com/legacy/mac/library/documentation/mac/pdf/Operating_System_Utilities/Start_Mgr.pdf

TYPE BootBlkHdr = {boot block header}
RECORD
bbID: Integer; {boot blocks signature}
bbEntry: LongInt; {entry point to boot blocks}
...
Field descriptions
bbID A signature word. For Macintosh volumes, this field always contains the value $4C4B.

Intrigué par ce choix arbitraire sur ma plate-forme favorite, j’ai tenté de découvrir son origine. La réponse est triviale, Larry Kenyon a imaginé le format initial du système de fichier du Mac. Dans le même ordre d’empreinte :

  • le volume MFS, sur les premiers Macintosh est $D2D7 ’RW’, synonyme de Randy Wigginton ;
  • le volume HFS, avec une hiérarchie de dossier est $4244 ’BD’, synonyme de Big Disk.


Les fichiers corrompus, parade pour les retardataires

Confronté à une masse croissante de travail à rendre, il est parfois difficile de tenir les délais impartis. Quand le mode de restitution est électronique, le destinataire bénéficie d’un gain inestimable, la date de dépôt du document. Il existe quand même une parade pour les malicieux, fournir un fichier dont le format est corrompu. Ainsi, les délais sont respectés.


JPEG - 16.2 ko
ouvrir un PDF corrompu

Dans un esprit de gain de temps, il existe même un fournisseur qui vous fournit différents textes corrompus avec des tailles différentes : www.corrupted-files.com/Word.html. Ensuite, il faut attendre que le correcteur ne puisse lire le document, et finalement lui transmettre une version correcte sans le stress du rendu. Maintenant que j’ai éventé la parade, il serait douteux que ce cas dépasse l’hypothèse de travail.


JPEG - 15.2 ko
Le PDF corrompu lu dans un traitement de texte



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.