Un chercheur en informatique Français découvre comment il est possible d’utiliser la stéganographie via Facebook.
La stéganographie est une technique qui permet de cacher une information que l’on souhaite garder secrète dans une document banal. L’ancien roi antique de Sparte, Démarate, va inventer la stéganographie en inscrivant sur un bout de bois un message. Le support sera ensuite recouvert de cire. pour camoufler l’informations Histiée, autre héros antique Sparte, va faire tatouer un message sur le crâne d’un de ses esclaves. Une fois les cheveux longs, le porteur et le message ont pu rejoindre sans encombre Aristagoras, gouverneur de Milet (Livre VII -, 35, 239).
Aujourd’hui, la stéganographie a pris une autre tournure avec l’informatique. Des outils permettent de cacher Mp3, fichier texte ou image dans d’autres supports, comme une image JPG. Antoine Santo, responsable securité chez host.fr, a découvert qu’il était possible d’exploiter Facebook comme espace de stockage pour des images porteuses de secrets, et cela grâce à la stéganographie. “Cela signifie qu’un internaute, explique Antoine Santo, peut abuser de l’espace de stockage qu’offre Facebook. Le deuxième aspect est que les sites Internet abusés ne peuvent pas contrôler ce qui est caché dans les documents qu’ils hébergent“.
Dans son document, l’informaticien donne un exemple d’utilisation du bug Facebook : “Un internaute créé un groupe Facebook intitulé «J’aime les nuages». Des utilisateurs rejoignent le groupe. Ils partagent des images, sauf que certains partagent des photos chargées de secrets stéganographies. Tout cela semble légal et agréable, confirme Antoine Santo, sauf que certaines photos contiennent des documents pédophiles !“
Des images qui peuvent être consultées, selon les options du groupe, sans avoir besoin de posséder un compte Facebook. “Les groupes warez peuvent aussi exploiter cette possibilité pour cacher des Mp3 dans des images” conclut le bidouilleur. A noter que les Response Security team de Facebook et Flickr, concerné aussi par cette possibilité malveillante, ont été alertés.