D'après Mr. Santo, cette technique permet d'envoyer/recevoir des données dissimulées afin de stocker frauduleusement un contenu et de le partager avec des tiers. ph34r ? Pour utiliser Facebook, il faut des comptes, non ? En clair, ça implique de trouver des mécanismes pour faire envoyer/recevoir des contenus depuis des zombies ou en accédant à des comptes piratés depuis des sources externes. Stupide ? Un peu. La stéganographie est un art qui a toujours fasciné les foules du monde entier. La chaine Canal+ avait diffusé via "JBN" (ne pas confondre avec "Jesus Broadcasting Network"), un reportage sur la stéganographie abordant la question des moyens de communication hi-tech des terroristes d'Al-Quaeda. Un an jour pour jour après les attentats de septembre 2001. Je me souviens d'un débat animé (goo.gl/xKIMz) sur le sujet où le troll Jean-Paul Ney avait insulté Guillermito et par la suite lui avait imposé un challenge pour prouver ses propos. [goo.gl/Yx0gs] Donc là, nous étions dans les années 2000. Depuis il y a eu pas mal de travaux, de recherches, des protocoles, des supports pour les investigations numériques légales [goo.gl/Uogks] .. Bref, la stéganographie sur images toujours indétectable aujourd'hui ? Son expérience n'est pas fausse, ça fonctionne sur Facebook comme partout, il est possible de le faire. Comme les "hidden data" stockés ne sont pas "visibles", ça ne pose pas un réel problème. En outre, rien n'empêche Facebook de vérifier et traiter "offline" les images ET c'est probablement déjà le cas PUIS de les soumettre aux enquêteurs spé######és. A mes yeux, ce document propose rien de plus qu'une sorte de "HowTo" finir en prison.

Ce "scoop" n'est est pas un. La technique est connue depuis longtemps et l'usage de Facebook ou d'un autre réseau social n'apporte rien de neuf.
Je rejoins CybStup et son analyse surtout quant aux moyens de détecter une image "trafiquée" (cf MISC 52 par exemple).

ça troll pas mal ici 2 coms/ 2
personnellement je trouve ce whitepaper plutôt bien fait. Il explique en détail les différentes étapes permettant de reproduire la technique. Contrairement aux dires de rambert, la technique semble nouvelle car les data de l'image ne sont pas modifiés est les "hidden data" sont intégré dans un champs exif. Conséquence pour les API de type GD, etc, c'est une image très banale et non pas une image "trafiquée" comme semble le dire "rambert" pointant un article qui n'a rien a voir, mais alors rien du tout Encore bravo zataz !!

Trois remarques :
- Il me semble que facebook redimensionne les images, ce qui à mon sens, voudrait dire qu'une "photo" de l'image (donc seul la partie visible) est effectuée. Je me base sur la photo de mon profil, donc je me trompe peut être et ne suis pas pertinent..
- Autre chose, dans ce cas pourquoi se limiter à un réseau social sans parler des markets (android, apple, etc..) vu que là il y a des jolis photos de présentation de jeux et programmes, sans parler des pack d'images et de wallpaper..
- Et la dernière et non des moindres, pourquoi publier ses recherches alors que ce monsieur aurait pu envoyer ça à Rosny sous Bois et à facebook ??
Ce qui veut dire que soit c'est une publication après de VÉRITABLES découvertes, soit si ce n'est pas le cas de l'inconscience caractérisée et je trouverai ça grave de donner des idées à des criminels !!

tAran0st :
1 - Il parle aussi de Flickr.
2 - "A noter que les Response Security team de Facebook et Flickr, concerné aussi par cette possibilité malveillante, ont été alertés."

Merci ZATAZ de la précision, j'ai omis volontairement les hébergeurs d'images car ils doivent déjà avoir du pain sur la planche...

Me semblait bien avoir déjà vu tout ça quelque part, il y avait une petite odeur d'Atlanpole dans l'air. Antoine Santo aka AloneTrio avait expliqué sur ZATAZ son projet "U.W.D" (Unicode Worldwide Database) - source:[zataz.com/reportage-securite/6962/1-million-de-sites-internet-en-danger.html] - Network Consulting SA, etc... done.

Pour en revenir au sujet, il faut distinguer le billet publié ici et le PDF. Je pense que l'auteur a réellement souhaité alerter sur les possibles abus de ce type de faiblesses. J'ai relevé deux points qui sentent la morue.

1. La conclusion du PDF est illustrée par deux courts exemples. Alors que le titre du billet ZATAZ focalise sur le site Facebook et les pédophiles. Les pirates, les wareziens, les pédophiles, les terroristes, ... arrêtons un peu ; est-ce si compliqué d'utiliser "personnes mal-intentionnées" ? J'avoue, c'est nettement moins accrocheur sur les lecteurs lorsqu'ils parcours les titres mais ça ne laisse pas un sous entendu susceptible d'être repris et utilisé à mauvais escient.

2. La stéganographie: Le chercheur ne mentionne jamais ce terme. En revanche, ZATAZ y consacre le début de son billet. Concernant l'aspect technique, la personne mal-intentionnée manipule le champs commentaire EXIF (et IPTC ?) pour dissimuler des données. C'est possible d'appliquer ce principe à quasiment toutes les métadonnées (ET+) pouvant être véhiculées via Internet (OU+), non ? Pourquoi ne pas générer des encapsulations XMP spécifiques ou bien faire comme les cybercriminels, c'est à dire exploiter des fichiers PDF (JIT-Spray attacks) ou pourquoi pas des fichiers FLASH, souvenez-vous des belles campagnes de malvertizing. Les conteneurs, que du bonheur, surtout s'ils peuvent être intelligents. On enlève les shellcodes et on place des ImAgEs De PoNeYs En RuTeS. Rassurez vous, ça ne donne pas de nouvelles idées aux vilains ; vous ne seriez pas tout de même pas crédules à ce point pour croire qu'ils ignoraient déjà tout ceci ? Mais puisque c'est la mode d'écrire des trucs PoUr FAiRe PeUR que dites vous de ceci. Sachant qu'une vidéo (simplifions) est une multitude d'images et généralement une piste audio, il est donc possible de la même manière, d'exploiter les propriétés du format audio (ex: ID3) puis du format vidéo (ex: MKV). Pour illustrer, on créer un algo genre SuPeR HaCkErS éLeVéS aUx ChOcAPiCs. On commence par chiffrer le fichier original : exemple, un ZIP avec password qui contient un fichier chiffré d'images de moutons aux haleines pas très franches en train de se rincer à la vodka. On découpe le ZIP (split) et on créer en parallèle une table de correspondances (séquences) qu'on codera et stockera dans nos champs ID3. Ensuite, compression des petits morceaux qu'on ira injecter dans nos trames aux bons endroits, vous me suivez ? On vérifie que notre vidéo un peu spéciale est lisible correctement. On trouve des solutions (pas la peine de détailler, pour le coups, ça pourrait donner des idées) de stockage en plaçant des règles modulables sur les accès (limites, horodateurs,...). Quelques lignes de codes (python, php, perl) côté serveur pour envoyer la sauce épicée. Les utilisateurs complices récupèrent de "manière anonyme" (là aussi, pas la peine de détailler) le flux. A l'aide d'un décodeur adapté ça découpe (parsing) et applique les traitements sur le flux multiplexé pour restituer le fichier original. Entre les deux parties, une plateforme (installée frauduleusement) administrable qui permet de gérer les règles (politiques) ainsi que la gestion des clés pour chaque fichiers distribués - services délocalisés et totalement indépendants d'Internet, ça transmet les clés aux utilisateurs - voilà notre VoD mutante, l'affaire est torchée. Compliqué ? Pas tant que ça. Fiable, .. pas tant que ça non plus

En VoIP, on peux s'amuser un bon moment - sujet qui date mais encore chaud, à éviter. Détourner les métadonnées, exploiter les formats, les conteneurs, c'est inévitable. Mais ça n'est pas une raison pour fantasmer les histoires qui peuvent en découler. Je respecte ce type de recherches mais pas les conclusions que certains en tirent.

Les MMS bricolés ça fonctionne aussi, faut t'il condamner les opérateurs mobiles ? Sinon, avec vos amis, rien ne vous empêche d'échanger des fichiers chiffrés dissimulés dans d'autres que vous encodez pour divers formats, vive l'ère de l'IdO (Internet des Objets). Si vous avez la fibre artistique, optez pour le design original de vos codes QR sur des objets anodins. En forme de cœur, couleur rose bonbon, qui contient un poème lisible uniquement par le mobile de votre dulcinée, quelques octets de plaisir pour la St Valentin