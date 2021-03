Cela ressemble à une image Twitter innocente, mais à l’intérieur, vous pouvez masquer un fichier ZIP contenant jusqu’à 3 Mo de données. Le chercheur et programmeur David Buchanan a découvert qu’il était possible d’appliquer la technique de la stéganographie au sein de Twitter. Et pour le prouver, il a publié une image où il explique qu’il peut télécharger, renommer en .zip et accéder à toutes les lignes cachées de texte et de code.

La stéganographie n’est pas une technique inconnue, mais c’est la première fois qu’on lui explique publiquement qu’il est possible de le faire avec des images du réseau social, ce qui ouvre la porte à d’éventuels attaquants. profitez-en pour cacher les codes malveillants.

ZIP et même des chansons MP3 cachées dans les images Twitter

Le chercheur a publié l’open source de son PNG téléchargeable sur Github pour ceux qui souhaitent le reproduire. Comme détaillé, la résolution de l’image peut aller jusqu’à 4096 x 4096 pixels, cependant Twitter proposera une version réduite par défaut. Même comme ça, cette compression ne supprime pas le code postal caché.

J’ai trouvé un moyen de stocker jusqu’à ~ 3 Mo de données dans un fichier PNG sur Twitter. C’est encore mieux que ma technique JPEG ICC précédente, car les données insérées sont contiguës. Le code source est disponible dans le fichier ZIP / PNG joint: pic.twitter.com/zEOl2zJYRC – Dаvіd Вucһаnаn (@ David3141593) 17 mars 2021

Depuis 45secondes.fr, nous avons rapidement fait le test avec l’image publiée et bien que cela ne nous ait pas permis de l’extraire directement sur le bureau (macOS), il a été facile de le faire via un outil en ligne. À l’intérieur de l’image de test se trouvent plusieurs fichiers texte dédiés à la licence et une brève explication.

Buchanan fournit également le code source pour générer ce que surnommé ‘Tweetable Polyglot PNG’. Les possibilités ne s’arrêtent pas là, car comme expliqué ci-dessous, il est également possible de masquer un fichier MP3 dans une image Twitter. Ce qui en pratique ressemble à une « image qui chante ».

Téléchargez celui-ci, renommez-le en .mp3 et ouvrez-le dans VLC pour une surprise. (Remarque: assurez-vous de télécharger la version pleine résolution du fichier, qui doit être de 2048x2048px) pic.twitter.com/x2J88xkBhd – Dаvіd Вucһаnаn (@ David3141593) 17 mars 2021

Lorsque vous téléchargez l’image dans sa taille d’origine de 2,5 Mo et changer l’extension en .MP3, nous pourrons écouter la chanson bien connue de Rick Astley, «Never Gonna Give You Up». Une curieuse façon de Rickrollear via Twitter.

« Twitter compresse les images, la plupart du temps, mais il y a des scénarios où ce n’est pas le cas. Twitter essaie également de supprimer toutes les métadonnées non essentielles, de sorte que toute technique de « fichier polyglotte » existante ne fonctionnerait pas « , explique Buchanan à Bleeping Computer. L’astuce semble être que des données peuvent être ajoutées à la fin de la séquence » DEFLATE « . ., dans ce cas, le réseau social ne semble pas les éliminer lors de la compression.

La technique de la stéganographie est bien connue et si elle représente une passerelle potentielle pour le contenu malveillant sur Twitter, Buchanan explique qu’il existe d’autres méthodes de stéganographie qui sont plus faciles à mettre en œuvre et encore plus discrètes.

