La crédibilité de la preuve d’authentification photographique peut être extrêmement importante dans une multitude de situations. Les tribunaux, les agences de presse et les compagnies d’assurance peuvent accepter une signature numérique de photos comme une preuve valable. Si cette preuve est fausse, les conséquences peuvent être graves.
Les contrefaçons les plus célèbres incluent les cas de fraude commises par des photographes amateurs, photographes, rédacteurs, partis politiques, et même l’armée américaine.
ElcomSoft a étudié le système d’authentification d’image de Nikon, un ensemble sécurisé permettant de certifier si une image a été modifiée depuis sa prise, et a découvert une vulnérabilité majeure dans la manière où la clé de signature sécurisée de l’ image est traitée. La clé de signature initiale d’un appareil photo Nikon a été extraite.
La vulnérabilité, lorsqu’elle est exploitée, permet de produire des images manipulées avec une signature d’authentification pleinement valable. ElcomSoft a réussi à extraire l’image d’origine de clés de signature et de produire un ensemble d’images forgées qui passent avec succès la validation avec le logiciel d’authentification de Nikon.
Lors de la conception d’un système de sécurité numérique, il est essentiel de mettre en œuvre correctement et également toutes les parties du système. Le système entier est aussi sûr que son maillon le plus faible. Dans le cas du système Nikon d’authentification des images, la société n’a pas respecté ce point clé.
La vulnérabilité ultime réside dans la façon dont la clé de signature de l’image est traitée. Comme la clé de signature cryptographique est traitée de façon inappropriée, elle peut être extraite de l’appareil photo. Après l’obtention de la clé de signature, on peut l’utiliser pour signer n’importe quelle image, qu’elle soit ou non modifiée, éditée, ou provenant d’un ordinateur. L’image sera signée ensuite afin de réussir le test de sécurité et d’être certifiée comme une pièce authentique par le logiciel d’authentification Nikon.
La vulnérabilité existe dans tous les appareils photo Nikon actuels qui utilisent le système d’authentification des images Nikon, y compris le Nikon D3X, D3, D700, D300S, D300, D2Xs, D2X, D2Hs et D200 reflex numérique.
ElcomSoft a notifié CERT et Nikon sur le sujet, et a préparé un ensemble d’images manipulées numériquement passant pour les originaux lors de la vérification avec le logiciel Nikon d’authentification sécurisée. Nikon a fourni aucune réponse, ni exprimé aucun intérêt dans l’existence de la question.