I. Renseignement & Espionnage
Les services de renseignement ont toujours cherché des canaux de communication invisibles. La stéganographie numérique leur offre la possibilité de communiquer via des images postées publiquement — impossible à intercepter sans savoir qu'un message existe.
Réseau Anna Chapman — Espions russes aux USA
- ▸Images PNG stéganographiées postées sur des sites publics. Les agents récupéraient les images, décodaient le message avec une clé partagée.
- ▸Communication Wi-Fi ad-hoc — deux laptops en proximity s'échangeaient des fichiers sans passer par un serveur central.
Les agents ont été identifiés par surveillance humaine, pas par stéganalyse. Le réseau opérait depuis les années 1990 sans être détecté.
Al-Qaeda et les images sur eBay
Résultat : aucune preuve n'a jamais été trouvée. Mais l'épisode a conduit à un financement massif de la recherche en stéganalyse par la NSA, le DARPA et les gouvernements alliés.
Ironie : la couverture médiatique a surtout popularisé la technique auprès des acteurs malveillants qui n'en avaient pas encore connaissance.
Sites web de couverture pour agents de terrain
Technique documentée : dead drops numériques — l'agent consulte le site « normal », extrait le message avec son outil et sa clé. Pas d'e-mail à intercepter, pas de connexion directe à tracer.
Groupes APT chinois — Stégano dans les malwares
- ▸TA551/Shathak — charge malveillante encodée en LSB dans des images PNG
- ▸Witchetty — backdoor XOR-encodée dans un logo Windows bitmap
Avantage opérationnel : le trafic vers GitHub ou Dropbox passe les pare-feux sans alertes. Seul le contenu de l'image est suspect — pas l'URL.
II. DRM & Watermarking — Protection des droits numériques
Le watermarking (tatouage numérique) est la forme légitime et commerciale la plus répandue de stéganographie. Contrairement à la stéganographie classique, il ne vise pas la discrétion totale mais la robustesse face aux transformations.
Stéganographie vs Watermarking
Types de watermarks
Détruit par toute modification — sert à détecter les altérations (authentification).
Résiste à la compression normale, détruit par les montages — forensics d'image.
Survit à la compression JPEG, recadrage, redimensionnement — DRM et traçage de fuite.
Logo superposé (Getty Images, AFP) — dissuasion plutôt que dissimulation.
Cinavia & le tatouage audio inaudible
- ▸Technique : spread-spectrum audio (similaire à Echo Hiding mais plus robuste)
- ▸Résiste à la recompression MP3/AAC, au recadrage et au changement de sample rate
- ▸Un enregistrement illicite en salle (camrip) contient le watermark — traçable jusqu'à la session de projection
Traçage de fuite Netflix / Amazon
Quand une copie piratée apparaît sur torrent, les équipes anti-piratage extraient le watermark et identifient l'abonné ayant effectué l'enregistrement. Plusieurs procès ont été instruits grâce à cette technique.
Technique : variation infime des timestamps d'encodage vidéo (GOP structure) et de la palette de couleurs de certaines scènes de transition.
Traçage des fuites dans les rédactions
Variante numérique moderne : steganographie dans les PDF via variation d'espacement inter-mots ou de positionnement sub-pixel des caractères.
III. Journalisme & Protection des sources
Dans les régimes autoritaires ou sous surveillance de masse, les journalistes et leurs sources ont besoin de canaux de communication qui ne révèlent pas l'existence même d'une communication.
SecureDrop — Le canal chiffré de la presse
La stéganographie intervient comme couche complémentaire : un lanceur d'alerte peut exfiltrer des documents en les cachant dans des fichiers image apparemment anodins (photos personnelles) pour franchir des périmètres de sécurité qui scannent les PDF et ZIP.
Exemple documenté : des employés d'agences gouvernementales ont utilisé cette technique pour sortir des documents classifiés via des transferts d'images personnelles sur clé USB.
Journalisme sous surveillance — Iran, Chine, Russie
- ▸Chine (GFW) — images postées sur Weibo contenant des messages encodés, visibles uniquement par les destinataires avec la clé
- ▸Iran — utilisation de stéganographie audio dans des podcasts publics pour coordonner des groupes dissidents
- ▸Russie — post-2022, développement d'outils stéganographiques par des journalistes indépendants pour communiquer depuis l'intérieur
StegoShare, OpenPuff — outils pour journalistes
- ▸OpenPuff — multi-support (image, audio, vidéo, Flash), chiffrement AES-256 + stégano, open source
- ▸Steg — conçu par des chercheurs en sécurité pour les journalistes, interface CLI simple, audit public
- ▸StegoSaurus — encode dans des tweets (280 chars) via homoglyphes Unicode — résiste à la surveillance du réseau
IV. Malwares — Le C2 caché dans les images
L'utilisation de la stéganographie par les malwares est en forte croissance depuis 2015. Objectif : dissimuler les communications C2 (Command & Control) dans du trafic apparemment légitime — images hébergées sur des CDN ou réseaux sociaux connus.
Duqu & Gauss — Stégano d'état
Gauss (même famille) dissimule une partie de son code dans des polices de caractères Palida Narrow — une forme de stéganographie dans les métadonnées de fichiers.
Worok & le C2 dans PNG
Flux d'infection : phishing → DLL hijacking → lecture image PNG → extraction payload LSB → exécution PowerShell → backdoor PNGLoad.
L'image PNG passe les scanners AV car elle ne contient aucune signature de malware connue. Le payload n'existe que temporairement en mémoire vive lors de l'exécution.
ZHtrap & Homomorph — Images sur réseaux sociaux
- ▸Le malware est installé, puis « appelle à la maison » en téléchargeant une image publique depuis Twitter
- ▸Les nouvelles instructions C2 sont extraites des LSB de l'image
- ▸Avantage : bloquer api.twitter.com ou github.com est impraticable dans la plupart des entreprises
Malwares utilisant la stéganographie (sélection)
| Malware | Année | Technique | Support | Objectif |
|---|---|---|---|---|
| Duqu | 2011 | LSB JPEG | Image | Exfiltration C2 |
| Gauss | 2012 | Métadonnées | Police TrueType | Payload stockage |
| Stegoloader | 2015 | LSB PNG | Image web | Téléchargement payload |
| ZHtrap | 2021 | LSB PNG | Twitter/Imgur | Commandes C2 |
| Worok | 2022 | LSB PNG | Image locale | Exécution PowerShell |
| Witchetty | 2022 | XOR + BMP | Logo Windows | Backdoor distribution |
V. CTF — Compétitions & Usage éducatif
Les CTF (Capture The Flag) sont le terrain d'entraînement principal de la stéganalyse. La catégorie « Forensics » ou « Stégano » est présente dans la quasi-totalité des compétitions internationales.
Compétitions majeures
Débutant → Intermédiaire
Carnegie Mellon University
Tous niveaux
Agrégateur mondial
Intermédiaire → Avancé
DGA France
Intermédiaire → Avancé
DGSE + Télécom SudParis
Intermédiaire → Expert
Plateforme permanente
Types de challenges courants
Notre section Exercices
Le site propose des exercices pratiques progressifs — texte (zero-width characters), image (LSB PNG), audio (LSB WAV) — avec indices et correction. Idéal pour s'initier avant de se lancer dans des CTF publics.
Synthèse — Acteurs & usages
| Acteur | Usage | Technique typique | Légalité | Contre-mesure |
|---|---|---|---|---|
| Services de renseignement | Dead drops, C2 | LSB + chiffrement | Légal (étatique) | Stéganalyse + HUMINT |
| Industrie du cinéma | Anti-piratage | Spread-spectrum audio | Légal | Aucune (watermark robuste) |
| Journalistes / activistes | Protection sources | LSB, homoglyphes, audio | Légal | Surveillance de masse |
| Cybercriminels (malware) | C2, exfiltration | LSB PNG via CDN public | Illégal | EDR, analyse réseau |
| CTF / chercheurs | Éducation, recherche | Toutes techniques | Légal | — |
| Particuliers | Confidentialité | Steghide, LSB | Légal | Recompression JPEG/réseau sociaux |
FAQ — Cas d'usage
La stéganographie est-elle utilisée dans les cyberattaques réelles ?▾
Oui, de plus en plus. Les groupes APT (Advanced Persistent Threat) utilisent la stéganographie pour dissimuler leurs communications C2 dans des images hébergées sur des services légitimes (Twitter, GitHub, Dropbox). Cela leur permet de contourner les filtrages réseau qui ne peuvent pas bloquer ces services. On parle de "living off trusted sites" (LOTS).
Comment les studios détectent-ils les copies pirates avec le watermarking ?▾
Un algorithme extrait le watermark de la copie pirate et consulte une base de données centrale qui associe chaque ID à un écran de cinéma (pour les enregistrements en salle) ou un compte abonné (pour le streaming). Le processus est automatisé : des robots scrutent en permanence les sites de torrent et signalent les copies suspectes pour extraction du watermark.
Un journaliste peut-il vraiment utiliser la stéganographie pour protéger ses sources ?▾
C'est un outil parmi d'autres, pas une solution miracle. La stéganographie est utile pour exfiltrer des documents hors d'un périmètre sécurisé (en cachant des fichiers dans des images personnelles). Mais elle ne remplace pas SecureDrop pour la communication, ni Tor/VPN pour l'anonymat réseau. L'erreur classique est de se fier à un seul outil.
La stéganographie est-elle plus efficace que le chiffrement pour cacher des communications ?▾
Différente, pas supérieure. Le chiffrement garantit que le contenu est illisible même si intercepté. La stéganographie vise à ce que la communication ne soit pas détectée. La combinaison des deux est optimale : on chiffre le message (AES-256) puis on le cache dans une image. Même si la stégano est détectée, le contenu reste inaccessible.
Les réseaux sociaux peuvent-ils être utilisés comme canal stéganographique ?▾
Difficile en pratique. Instagram, WhatsApp, Twitter recompressent toutes les images à l'upload, ce qui détruit les encodages LSB. Seules les techniques robustes à la compression (certains watermarks spread-spectrum) survivent. Pour un canal fiable via réseaux sociaux, il faudrait utiliser des techniques DCT-resistant ou passer par les métadonnées — qui sont aussi souvent supprimées.