SOLUTIONS
JIZÔ AI
JIZÔ ALERT ADVISOR (IA)
JIZÔ FOR OT
HOSHI
LOKI
SOCIÉTÉ
SOCIETE
ON RECRUTE
CONTACT
SUBSCRIBE
ACTUS
BLOG
PRESSE
AGENDA
PARTENAIRES
REVENDEURS ET DISTRIBUTEURS
PARTENAIRES TECHNOLOGIQUES
RESSOURCES
DOSSIERS ET LIVRES BLANCS
WEBINAIRES
CAS CLIENTS
CONTACT
GET A DEMO

QU'EST-CE QUE LA STÉGANOGRAPHIE, UTILISÉE PAR LES CYBERCRIMINELS ? COMMENT JIZÔ AI LA DÉTECTE ?

14 novembre 2024

Issue des mots grecs «steganós», étanche et «graphế», écriture, la stéganographie désigne une méthode de dissimulation de données discrète. Tout comme la cryptographie, son but est de transmettre un message que seul le destinataire peut comprendre. Pour cela, on cache un message secret ou une information confidentielle au sein d’un autre média d’apparence anodine.

Cependant, là où la cryptographie modifie le message afin de le rendre illisible par une personne ne possédant pas la clé ou la méthode pour le déchiffrer, la stéganographie dissimule le message dans un élément hôte, de sorte à ce que la présence même d’un message secret ne soit pas détectée. Les deux méthodes peuvent être combinées pour renforcer encore le secret de la communication, avec un message chiffré qui est ensuite caché.

On distingue deux types de stéganographie : les méthodes par injection, qui viennent rajouter du contenu de manière presque invisible, et les méthodes par substitution, qui modifient des propriétés de l’élément hôte de sorte à dissimuler une information.

Pour juger de la performance d’une méthode de stéganographie, on se base sur trois critères. Premièrement, la qualité de la dissimulation, à savoir à quel point l’élément hôte n’est pas ostentatoirement impacté de manière à ne déceler facilement ni la présence du message caché, ni que l’élément hôte n’a été modifié. Deuxièmement, la capacité, soit la quantité d’information qu’il est possible de dissimuler. En effet, si une méthode est indétectable, mais ne permet que de transférer un bit par jour, elle n’est peut être pas si efficace que ça. Troisièmement, la robustesse, soit à quel point une légère modification de l’élément hôte, ou bien une distorsion pendant le transfert, impactent la bonne récupération du message à l’arrivée.

La stéganographie est un procédé utilisé depuis longtemps. Un des premiers usages connus remonte au VIe siècle av. J-C, lorsque le tyran Histiée organise la révolte de l’Ionie. Pour transmettre les ordres, il rase le crâne d’un de ses esclaves, tatoue l’ordre sur sa tête puis attend que les cheveux repoussent avant d’envoyer son esclave comme messager. Cette méthode primitive de stéganographie par injection était déjà efficace.

Un autre exemple de stéganographie basique employée depuis longtemps consiste à cacher un message dans un texte, récupérable par une méthode prédéfinie, telle que « lire uniquement la première lettre de chaque mot ».

Prenez la phrase « Sacha et son ami marchent ensemble incroyablement tard » . Bien qu’elle paraisse anodine, en prenant la première lettre de chaque mot, on découvre « Sesame it » .

Les méthodes ont évolué au fil des siècles et des inventions technologiques, notamment via de l’encre invisible de plus en plus sophistiquée, ou encore des nouveaux niveaux de précision comme les micropoints, utilisés lors de la seconde guerre mondiale pour transmettre des informations secrètes.

De nos jours, la stéganographie s’invite dans le monde numérique sous diverses formes. Elle est utilisée pour de bonnes choses telles que la protection des droits d’auteurs pour les images, mais aussi par des personnes mal intentionnées pour commettre des cybercrimes. De plus, les méthodes ne cessent d’évoluer, afin de toujours conserver une longueur d’avance sur les équipements de détection. Enfin, l’arrivée de l’intelligence artificielle représente un nouveau bond technologique, à la fois pour les criminels et pour la détection.


I | LES TECHNIQUES DE STÉGANOGRAPHIE MODERNES


La complexité du monde numérique actuel fait que de grandes quantités de données sont échangées en permanence, que ce soit via des documents (un document PDF contient souvent plusieurs millions d’octets), ou même via internet et les communications entre machines. Ce sont autant de possibilités pour dissimuler de l’information qui sont utilisées pour faire de la stéganographie.


A | LA STÉGANOGRAPHIE BASÉE SUR LES MÉDIAS NUMÉRIQUES

Les médias numériques modernes, comme les images, les vidéos, les audios ou les documents textes sont des éléments plus ou moins complexes qui contiennent un grand nombre d’information. Il est alors possible d’y cacher de l’information secrète, soit en l’ajoutant directement au média, d’une façon qui n’est pas visible par un utilisateur (injection), soit en modifiant légèrement une partie du média, souvent une partie peu visible ou associée à du bruit (substitution).

Pour comprendre comment cela fonctionne, il faut s’intéresser à la représentation des images pour un ordinateur. Une image est une série de pixels, qui correspondent à une décomposition de l’image par un quadrillage de tout petits carrés. Dans le cas d’images colorées, chaque pixel contient l’information de sa couleur. Une couleur est considérée comme un mélange de rouge, vert et bleu. La quantité de chacune des couleurs est représentée sur un octet, permettant 2⁸ valeurs, soit 256. Ainsi, une couleur est constituée de trois valeurs pouvant aller de 0 à 255, désignant un mélange de couleurs primaires.

En représentation binaire, dans un octet, chaque bit n’a pas le même poids. A titre d’exemple, 178 s’écrit en binaire 10110010. Changer le premier bit donnerait 00110010, soit 50. Le premier bit est celui qui a le plus d’influence sur le nombre représenté. Si l’on modifie au contraire le dernier bit, celui de moindre importance, cela donne 10110011, soit 179. Si l’on retourne à notre échelle de couleurs, avec des valeurs pouvant aller de 0 à 255, une modification de 178 à 50 d’une des couleurs est un gros changement qui se remarque directement.

Cependant, un changement de 178 à 179 est imperceptible par l’oeil humain. C’est pourquoi une des techniques de base de la stéganographie par image s’appelle la méthode par bit de poids faible, car elle s’appuie sur le fait que le dernier bit n’influe que très peu la couleur finale du pixel, et donc sa modification n’impacte pas le rendu final. Ainsi, en cachant un message au travers du dernier bit d’une couleur de pixels répartis au sein de l’image, il est possible de cacher un message dans une image. Des algorithmes complexes permettent de sélectionner au mieux les pixels dans lesquels cacher l’information pour que cela impacte le moins possible l’image, tout en permettant de placer le plus d’information possible. Cependant, cette méthode n’est pas très robuste puisqu’une modification de quelques pixels de l’image ne permet plus de récupérer le message.

Selon les formats d’image, la tâche peut s’avérer plus compliquée, notamment lorsque l’image est compressée. Il y a une perte d’information qu’il faut pouvoir anticiper pour cacher correctement un message, C’est le cas du format JPEG, qui effectue une transformée en cosinus discrète en regroupant des pixels par zones 8x8. Le format PNG est également différent, car chaque image est constituée d’un entête, puis ensuite de morceaux de données, qui contiennent différents champs comme un type et de la donnée. Il faut alors éditer quelques bits dans les différents morceaux de données pour y dissimuler un message secret.

Une vidéo est une suite d’images. Il est donc possible de faire de la stéganographie dedans également. Cette pratique a aussi son lot de difficultés à cause des différents formats de vidéo, surtout des différents normes de codage, telles que H.264, dont le but est de compresser les vidéos pour les rendre plus légères. Il faut alors jouer sur des paramètres spécifiques pour insérer de la donnée, mais il est tout à fait possible de le faire, tout comme dans le cas des images, à nouveau via des techniques de substitution.

De même, il est possible de dissimuler de l’information dans un fichier audio. En effet, un son analogique est représenté également par des bits de manière numérique. En modifiant légèrement l’amplitude ou la fréquence des signaux de plus haute fréquence (selon la décomposition de Fourier), on ne modifie que le « bruit » du signal, un changement inaudible par l’oreille humaine.

Les documents textes sont aussi un endroit approprié pour la stéganographie. Cela est principalement fait via de l’insertion plus que de la substitution contrairement aux catégories précédentes. Des formats tels que les documents Word permettent d’ajouter des notes invisibles, qui sont du texte non affiché par défaut. C’est une méthode très facilement réalisable et efficace, car rares sont ceux qui vont afficher les notes masquées dans les options. Une manière plus discrète est d’utiliser des espaces, des tabulations ou des retours à la ligne à la fin du texte. Ces caractères ne sont pas visibles par l’humain qui lit le texte, mais sont interprétables et permettent un encodage de messages secret, par exemple simplement en considérant qu’un espace équivaut à 0 et qu’une tabulation équivaut à 1.

Il est également faisable d’utiliser une dernière méthode de stéganographie, assez rare, appelée générative. Elle consiste à créer un élément, ici un texte, qui semble anodin, autour d’un message à cacher, plutôt que de cacher un message dans un élément déjà existant. Ainsi, certains programmes permettent par exemple de générer de faux mails de spam, qui contiennent dedans un message dissimulé récupérable par quiconque est informé de la présence d’une information cachée dedans.


B | LA STÉGANOGRAPHIE BASÉE SUR DES PROTOCOLES RÉSEAU

Les protocoles réseau codifient et structurent les échanges numériques. Ils suivent une syntaxe particulière avec de nombreux champs possibles. Des individus peuvent utilisent ces attributs pour y dissimuler de l'information et communiquer secrètement grâce à de la stéganographie dans des protocoles réseau.

Un paquet réseau est une encapsulation de couches, chaque couche ayant ses protocoles possibles. Le protocole IP se place à la couche 3 du modèle OSI, sur laquelle se rajoute pour le transport une surcouche TCP ou UDP. Dans le cas de TCP/IP, on aura donc la donnée qui sera précédée d'un entête TCP et d'un entête IP. Chaque entête contient différentes informations, comme les IPs source / destination, les ports, un numéro de séquence dans le cas du TCP, et sinon un Time to Live, des flags, et d'autres champs pour l'entête IP. Certains de ces champs peuvent être utilisés pour faire de la stéganographie. Par exemple, en jouant sur les champs de fragmentation, dans un réseau dont la taille maximale de chaque paquet unitaire (MTU) est connue, en gardant des paquets plus petits que cette limite, il est possible de cacher de l'information dans le bit du milieu du champ flag, qui correspond à l'information de fragmentation, qui n'est pas nécessaire ici puisque la taille du paquet ne dépasse pas la limite. Il a été également vu que le champ identification de l'entête IP peut être utilisé pour faire une opération similaire. En usant de différentes méthodes semblables, il est donc possible de transmettre de l'information discrètement au travers des protocoles réseau les plus courants eux-mêmes, de manière indétectable pour une simple supervision basique du réseau.

Il est de même possible de faire de la stéganographie avec un autre protocole omniprésent, le DNS (Domaine Name System). Par le passé, ce protocole a déjà été utilisé pour faire de la communication et du contrôle à distance, grâce au champ TXT du protocole, mais ce n'est pas la manière la plus discrète de faire.

Des attaquants ont aussi utilisé ce protocole en envoyant des requêtes à des intervalles de temps précis, permettant de cette façon de faire une première étape de stéganographie via ce protocole. Des modèles poussés existent, se basant sur la structure des paquets DNS. En effet, le protocole gère les requêtes et les réponses, et les différencie grâce au champ QR. En envoyant une requête spécifiée comme telle grâce au champ QR = 0, mais en ajoutant quand même les champs liés à la réponse d'ordinaire (ANCount = 1), on peut alors insérer de la donnée confidentielle entre les champs IP et ResourceDataLength du champ de réponse, en calculant correctement la longueur du message (l'IP de réponse + la donnée à cacher). Ainsi, cette requête est considérée comme valide et sera correctement traitée par un serveur DNS. De plus, en spécifiant les bonnes informations concernant l'IP demandée et le nom de domaine à résoudre dans les champs de la réponse, la requête se noie dans le trafic et n'est pas détectable comme étant suspecte. En envoyant ces requêtes vers un serveur DNS compromis, celui-ci peut récupérer la donnée cachée dans les requêtes, tout en continuant de remplir son rôle pour les requêtes légitimes.

Enfin, les protocoles de la couche applicative, comme HTTP, peuvent aussi servir de récipients pour dissimuler de la donnée. On peut considérer plusieurs méthodes, par exemple faire de la stéganographie textuelle insérée dans différents champs d'une URI, ou alors via des champs HTTP spécifiques, tels que l'entête « cookie » pour une communication client -> serveur, et l'entête « Set-Cookie » dans le cas d'une communication serveur -> client. Il est alors possible d'encoder de la donnée et de la placer à ces endroits.

Les protocoles réseau sont un très bon moyen de faire de la stéganographie, puisque les échanges numériques sont très nombreux, effectués en permanence et se mêlent dans des gros volumes de données.


II | L’UTILISATION DE LA STÉGANOGRAPHIE PAR LES CYBERCRIMINELS


Les cybercriminels améliorent continuellement leurs techniques offensives afin de surclasser les capacités de protection mises en place dans les systèmes de leurs victimes. Ils ont pour but de compromettre des systèmes et de voler de la donnée, ou de la détruire. Pour cela, ils doivent certes disposer des outils nécessaires, mais surtout, ils doivent réussir à faire leurs opérations discrètement, afin d'échapper aux systèmes de surveillance, qui pourraient alors bloquer les communications ou alerter les équipes de sécurité. C'est donc tout naturellement que les cybercriminels ont adopté la stéganographie et l'ont ajoutée à leur arsenal afin de limiter le bruit dans le réseau causé par leurs actions.


A | DISTRIBUTION DE MALWARES

Une des utilisations qui arrive dès les premiers moments d'une attaque est la propagation ou le déploiement de malwares. En effet, en dissimulant le plus souvent dans une image ou un document PDF un malware grâce à la stéganographie, les attaquants parviennent ainsi à rendre leurs opérations discrètes à deux niveaux. Premièrement, cela permet de tromper la plupart des scanneurs de fichiers, qui parfois se limitent à certaines extensions et excluent des fichiers d'apparence anodine comme les images, ou alors cherchent des chaînes de caractères précises permettant de repérer la présence de code, souvent malveillant. Le virus ayant franchi les couches de sécurité logicielles, cette méthode permet deuxièmement de duper l'utilisateur humain, qui lui non plus ne soupçonne pas la présence de contenu offensif dans des fichiers qui semblent légitimes. En effet, un utilisateur, même s'il a été sensibilisé aux risques cyber, va souvent baisser sa vigilance lorsque le fichier n'est pas un exécutable, ou alors qu'il ne présente pas de double extension, ou qu'il ne s'agit pas d'un raccourci. Mais qui soupçonnerait une image ?

Des exemples concrets de criminels qui utilisent cette méthode existent en nombre. Un moyen courant est d'envoyer un document Word via des campagnes de phishing. Ces documents contiennent des macros VBS qui vont ensuite télécharger une image lorsque l'utilisateur ouvre le document. Cette image, d’apparence anodine, va être traitée par la macro pour extraire du code malveillant qui s'exécute ensuite dans l'environnement de la victime. C'est une manière de faire qui est employée par de célèbres cybercriminels, tels que les groupes IcedID, Formbook, LummaStealer ou encore OceanLotus. Plus subtilement, le malware Vawtrak dissimulait de la charge utile dans les bits de poids faible des favicons de sites.

Une campagne de grande ampleur a aussi eu lieu dès 2016, lorsqu'un groupe nommé AdGholas a utilisé massivement la stéganographie, couplée à du JavaScript, pour compromettre un grand nombre de victimes.

Le groupe injectait dans des sites du code JavaScript, qui analysait différents paramètres de chaque visiteur du site, comme sa zone géographique ou bien l'heure. Si les conditions étaient réunies, alors l'attaquant remplaçait une bannière sur le site par une autre, à l'apparence identique, mais qui contenait elle du code camouflé qui était ensuite utilisé par le code JavaScript. Cette méthode a donné lieu à une série de malwares du genre, pour par exemple voler discrètement des données bancaires de clients qui effectuaient des achats sur des sites, comme une campagne qui a visé le site de la marque Tupperware, le compromettant et récupérant ainsi à leur insu les données de beaucoup de clients.

De manière similaire, des organisations de l'Azerbaïdjan ont été visées par des campagnes de phishing incluant des documents Word contenant des macros qui elles étaient dissimulées dans le document via de la stéganographie. Une fois la macro reconstruite, elle téléchargeait un RAT écrit en .NET du nom de Fairfax.


B | COMMANDE ET CONTRÔLE / EXFILTRATION

La stéganographie est encore plus largement utilisée par les cybercriminels pour transmettre des informations entre un serveur de contrôle et une victime. Cela est dû au fait que bien souvent, la quantité de données à communiquer est très petite. Dans le cas de consignes données par un serveur de commandes et de contrôle (C&C), il suffit parfois de donner un seul chiffre, ou bien alors uniquement une adresse IP redirigeant vers la bonne IP dans la rotation établie par l'attaquant. En camouflant ces éléments grâce à la stéganographie, les attaquants espèrent contourner les systèmes de détection. Ils s'en servent également pour exfiltrer discrètement de la donnée, même dans des environnements très surveillés.

Un premier exemple qui témoigne du niveau d'inventivité et de complexité dont peuvent faire preuve les APTs concerne le notoire groupe chinois Platinum. En guise de C&C, le groupe télécharge une page HTML depuis un site qu'il contrôle. La page semble totalement anodine, avec peu d'informations dessus. Il n'y a pas de texte caché non plus. Pour transmettre de l'information, le groupe a savamment construit sa page HTML en jouant sur l'ordre des balises. En effet, le langage HTML se base sur des balises pour fonctionner, et l'ordre dans lequel ces balises sont écrites n'influe pas sur le rendu de la page. En jouant avec le placement des balises « align », « bgcolor », « colspan » et « rowspan », l'attaquant dissimule ainsi de la donnée encodée. Chaque ligne de balises permet d'encoder 4 bits d'information. Via cette méthode, le groupe peut récupérer une clé de déchiffrement AES, qui elle permet de déchiffrer du contenu qui est également caché via de la stéganographie dans une autre balise HTML, cette fois-ci en utilisant la méthode des espaces et tabulations décrite précédemment. Cette double utilisation de la stéganographie rend presque indétectable le contenu de la communication. Il ne sera possible uniquement que de détecter la connexion au site en tant que tel, mais en étudiant la communication, il sera impossible de déterminer qu'il s'agit d'une conversation de commande et de contrôle.

Un second exemple prend place cette fois-ci dans le milieu industriel, qui est un environnement très sensible, avec de lourds enjeux de sécurité. Les communications sont surveillées, et sont souvent en petite quantité avec peu de données échangées puisque les appareils sont minimalisés. Dans cette attaque, un serveur NTP (Network Time Protocol) a été compromis. L'attaquant observe ensuite le trafic, notamment les échanges NTP vers les PLCs (automates programmables industriels) qui sont clients de ce serveur. Pour communiquer des commandes vers un PLC compromis également, l'attaquant envoie des messages de broadcast NTP avec des intervalles de temps très précis. A l'instar de moyens de communications comme le Morse, en jouant sur des différences de temps, il est possible de transmettre de l'information et donc des consignes au(x) PLC(s) compromis, et ce de manière très subtile, nécessitant un suivi précis et intégral du réseau si l'on souhaite le détecter.

Enfin, pour extraire subtilement de la donnée depuis les environnements compromis, les attaquants utilisent diverses techniques de stéganographie. Une utilisée récemment se base sur la dissimulation d'informations dans une image, mais pas une image qui sera envoyée toute seule, plutôt via un mail. En effet, un employé a exfiltré plusieurs informations confidentielles de son entreprise en la cachant via de la stéganographie dans l'image de signature de ses mails, échappant ainsi à toutes les protections et sécurités mises en place par l'entreprise, dont la prévention de la perte de données.

De nombreux logiciels existent afin de générer aisément du contenu stéganographique. Un exemple est le programme Python CloakifyFactory, qui permet de facilement dissimuler un fichier dans du texte. Il peut générer un texte, ou bien même une liste d'emojis, ou encore une liste de personnages de StarTrek.

La stéganographie est une technique qui peut être facilement mise en place par tout type d'individu sans nécessiter de connaissance technique particulière, et est employée depuis longtemps par de nombreux groupes de cybercriminels pour communiquer et transmettre de l'information de manière secrète en échappant aux systèmes de détection standards.


III | LA DÉTECTION DE LA STÉGANOGRAPHIE VIA JIZÔ AI


La stéganographie pose un véritable challenge aux équipes de détection. Ce procédé se base sur sa capacité à se fondre dans le décor pour ne pas être repéré. Un anti-virus va avoir beaucoup de mal à détecter la présence d’un malware dans une image. Il est insensé de vouloir détecter toutes les méthodes de stéganographie avec un seul équipement, d’autant plus que les méthodes évoluent plus vite du côté des attaquants que du côté des défenseurs. Toutefois, la plateforme d’observabilité Jizô AI peut tout de même de détecter une bonne partie des attaques utilisant de la stéganographie, grâce à sa combinaison novatrice de moteurs de détection qui se complètent et leur interopérabilité est ce qui lui permet de se démarquer.


A | LA DÉTECTION PAR SIGNATURES

Il est très difficile de déceler la présence d’une information cachée dans un média. Cependant, si ce média a déjà été utilisé dans le passé dans une attaque, il devient alors facile de le détecter grâce aux modules de Jizô AI, en se basant sur sa signature.

De plus, la stéganographie dissimule le message, certes, mais effectue tout de même une communication, qui elle, est détectable par Jizô AI. Ainsi, si un attaquant utilise la stéganographie pour exfiltrer de la donnée vers son serveur de commande et de contrôle, cette connexion est détectable, et en se basant sur nos connaissances des infrastructures des divers attaquants, une détection par signatures permet de repérer l’exfiltration, malgré les efforts de l’attaquant pour la dissimuler.

Enfin, la plupart des outils de stéganographie ne sont pas installés nativement sur les systèmes des victimes. Dans le cas où un attaquant souhaite forger une image ou un élément stéganographique depuis la victime pour faire par exemple de l’exfiltration, alors il devra installer un outil public ou récupérer un script privé. Dans les deux cas, cela est à nouveau détectable par Jizô en se basant sur leurs signatures.

Ainsi, les signatures permettent de détecter facilement la présence de stéganographie si cet élément a déjà été observé précédemment, et le cas échéant, détecte le contexte autour, comme la récupération d’un outil spécialisé ou bien la communication vers (ou en provenance) des serveurs connus comme utilisés par des cybercriminels.


B | LA DÉTECTION VIA L’INTELLIGENCE ARTIFICIELLE ET L’ANALYSE COMPORTEMENTALE

Heureusement, Jizô AI dispose d’autres moteurs de détection qui vont renforcer celle par signatures afin de détecter un grand nombre d’attaques utilisant de la stéganographie pour espérer passer entre les mailles du filet.

Jizô AI permet l’analyse du réseau dans son ensemble. Il a la vision sur tout le trafic réseau, et peut donc déceler des comportements suspects tels que les espacements anormaux entre différents messages, ou encore des communications entre des appareils qui normalement n’ont pas lieu. Grâce à son intelligence artificielle intégrée basée sur du deep learning, couplée à de l’inspection profonde de paquets, il est possible de détecter tout ce qui est anormal dans le réseau.

Ainsi, un attaquant peut camoufler ses activités comme il le souhaite dans un média, l’activité autour de cela sera détectée car elle sera anormale. Une communication vers l’extérieur ou en latéralisation qui est anormale sera repérée, si une image est envoyée dans une communication habituelle mais qui se limite usuellement à du texte, cela sera repéré aussi. On pourra aussi détecter une variation du poids nominal des paquets ou des échanges dans un flux. Jizô AI effectue également une analyse des fichiers qui transitent sur le réseau. Bien qu’il soit compliqué de détecter une stéganographie évoluée via l’analyse de fichiers sur la plateforme, une étude statistique de la distribution des couleurs par exemple sur une image permet d’au moins détecter une forme simple de stéganographie, forçant ainsi les attaquants à montrer une technicité supplémentaire. Dans le cadre de la stéganographie dans des protocoles réseau, c’est encore plus le terrain de prédilection de Jizô AI, qui pourra repérer un changement inhabituel des entêtes TCP par exemple.

La clé ici est de détecter une anomalie dans le réseau plutôt que de détecter directement une dissimulation par stéganographie. Un attaquant arrivera toujours à cacher encore mieux ses messages, mais il ne pourra jamais cacher au réseau le fait qu’il envoie un message, car le réseau ne ment pas. Il peut tenter de se calquer sur un comportement habituel du réseau pour ne pas attirer les soupçons, mais cela demande une grande capacité technique, une observation silencieuse du réseau, un point d’accès à un équipement membre du réseau, et limite ensuite grandement ses options, car il doit se conformer aux utilisations usuelles des membres du réseau. La finesse de caractérisation de ce qui est considéré comme habituel ou non sur le réseau par le module d’intelligence artificielle permet à Jizô AI, en se couplant avec ses autres moteurs de détection, de lever des alertes sur les différents phases d’une attaque qui passe sur le réseau, même lorsque cette attaque est dissimulée via la stéganographie. L’utilisateur peut aussi fournir un retour sur les qualifications de l’intelligence artificielle, afin d’encore mieux déterminer ce qui est habituel ou non. Enfin, Jizô AI a l’avantage de pouvoir corréler différents événements suspects entre eux pour lever une alerte avec une plus grande confiance.

Par exemple, si une série d’images est envoyée dans une communication normale peu de temps après avoir remarqué une série de connexions non habituelles ou très peu usuelles vers cette équipement source, alors il est possible d’alerter sur ce comportement qui témoigne très probablement d’une attaque utilisant de la stéganographie.


CONCLUSION


La stéganographie est un outil redoutable, utilisé depuis des siècles pour dissimuler de l'information secrètement. Les avancées technologiques ont créé de nouvelles possibilités dans ce domaine, notamment l'arrivée d'internet. Les échanges sont décuplés, les moyens de communications et les médias échangés sont divers et offrent autant de possibilités pour cacher de la donnée. Ces méthodes sont reprises et développées par des acteurs malveillants, qui les utilisent pour conduire leurs opérations cybercriminelles. Détecter ces méthodes est un enjeu capital pour les équipes de détection. Bien qu'il soit très difficile de détecter la plupart des techniques de stéganographie, il n'en demeure pas moins que les communications qui contiennent les éléments stéganographiques, elles, restent visibles. C'est là où Jizô peut apporter toute sa valeur, puisque grâce à sa complexité d'interconnexion de divers modules de détection complémentaires, en figure de proue ici l'intelligence artificielle, Jizô parvient à détecter un grand nombre d'attaques qui usent de la stéganographie. En effet, cette plateforme d'observabilité est capable, de par sa vision intégrale du trafic et sa connaissance des habitudes sur celui-ci, de détecter avec précision une majorité des tentatives des attaquants. Bien sûr, il reste quelques zones d'ombres, mais celles-ci demandent une capacité technologique très évoluée de la part d'un attaquant, d'une connaissance profonde du réseau de sa victime, et ne permettent le transfert que d'une quantité restreinte de données.