Stéganographie

• Description: La stéganographie consiste à dissimuler des données à l’intérieur d’autres données ou fichiers apparemment anodins (le « fichier porteur »), de manière à ce que la présence de ces données cachées ne soit pas immédiatement apparente. Dans le contexte des contournements de partage d’écran, cela implique généralement d’intégrer du code malveillant, des scripts ou des exécutables de triche entiers dans des types de fichiers courants comme des images (, ), des fichiers audio (), des fichiers vidéo () ou des documents ()..jpg .png .wav .mp4 .pdf

• Mécanisme: Contrairement à l’ADS où les données sont dans un flux NTFS séparé attaché à un fichier, la stéganographie modifie la structure réelle des octets du fichier porteuse pour intégrer la charge utile cachée. Diverses techniques existent, allant de l’ajout simple de données à la fin d’un fichier (qui peut modifier notablement la taille du fichier) à des méthodes plus sophistiquées modifiant les bits les moins significatifs (LSB) dans les données de pixels de l’image ou exploitant des zones de données redondantes dans les formats de fichier. L’objectif est de faire apparaître les données cachées comme une partie naturelle de la structure ou du bruit du fichier porte porteurs.

• Pourquoi les tricheurs l’utilisent : Cela sert de couche supplémentaire de dissimulation. En dissimulant une charge utile dans un type de fichier généralement considéré comme sûr et non généralement scanné pour le code exécutable (comme une image), les dépassants espèrent échapper à la détection par des outils et à l’inspection manuelle axée sur les fichiers exécutables ou scripts standards. L’efficacité augmente significativement lorsqu’elle est combinée à d’autres techniques, comme l’utilisation de méthodes non standard pour extraire et exécuter la charge utile cachée ou l’obscurcissement de la charge utile elle-même..png

• Détection: La détection de la stéganographie peut être difficile et nécessite souvent des analyses plus avancées :

  • Anomalies de taille du fichier/métadonnées : Comparez la taille du fichier, les dimensions (pour les images) ou d’autres métadonnées avec des exemples typiques de ce type de fichier. Des tailles de fichiers exceptionnellement grandes ou des incohérences peuvent être suspectes.

  • Comparaison de hash : Si le fichier opérateur prétend être un fichier standard et connu (par exemple, un fond d’écran Windows par défaut), comparer son hachage avec le hachage officiel révélera des modifications.

  • Outils spécialisés de staganalyse : Des outils dédiés (par exemple, StegDetect, StegExpose, diverses suites médico-légales) utilisent l’analyse statistique et la reconnaissance de motifs pour détecter des artefacts indiquant des données cachées dans des formats de fichiers spécifiques (en particulier des images).

  • Analyse de l’entropie : Des données intégrées chiffrées ou compressées peuvent modifier les caractéristiques d’entropie du fichier porteuse de manière inhabituelle.

  • Inspection manuelle (éditeur hexadécimal) : L’examen du contenu hexadécimal brut du fichier peut révéler des données annexes ou des motifs inhabituels incompatibles avec la norme du format de fichier.

La stéganographie représente une technique de dissimulation plus avancée que le simple renommage ou le SDA, nécessitant souvent une analyse ciblée au-delà des procédures de partage d’écran de base.