Quelques idées pour s'amuser avec ses métadonnées

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Quelques idées pour s'amuser avec ses métadonnées

Message par ѠOOT » 16 janv. 2014 20:25

Bonjour,

J'ai récemment indiqué à un membre du forum "L'application Outil Capture de Windows Vista/7 ajoute systématiquement des métadonnées à toutes vos captures d'écrans notamment l'étiquette "XP Author" qui contient le nom de l'utilisateur Windows en cours de session." Et de conclure "Gros sujet brulant qui ponctue nos actualités".
Depuis les révélations de Snowden, chacun sait que la NSA recueille des milliards de métadonnées et l'emploi de ce terme se banalise dès qu'il est question de surveillance ou de libertés publiques. Et pas seulement aux États-Unis. [...] Nos métadonnées sont-elles si insignifiantes que cela ? Au fait, pourquoi croyez-vous que les sociétés privées gagnent des milliards de dollars avec vos métadonnées ou que les agences de renseignements ( les États ) dépensent des milliards de dollars pour les acquérir ?

Remarques formulées le jour de noël, chez Huyghe Infostratégie. Celui-ci s'interroge sur les modalités et conséquences de la LPM 2014-2019 ( Loi de Programmation Militaire ). Les accès aux données sur sollicitations des réseaux en temps réel... laissent songeurs.

Janvier 2014, HSC souhaite la bonne année via sa lettre d'information.
La Loi de Programmation Militaire votée par nos deux assemblées nous a concocté une ouverture des écoutes par les services de l'Etat similaire à celle ouverte par le «Patriot Act» américain au lendemain des attentats du 11 septembre 2001. Douze ans plus tard et après que l'espionnite aigüe de la NSA ait été révélée par les documents divulgués par Edward Snowden, la France se dote d'un arsenal législatif pour faire pareil : tout espionner hors de tout contrôle judiciaire. [...] A chacun de déterminer quand l'Etat agit pour notre bien à tous en régulateur, et quand nous devrions nous en protéger...
( Lire la lettre d'information )

Les métadonnées, personne ou presque ne sait ce que c'est. Il s'agit de données structurées qui servent à définir ou décrire des ressources numériques ou physiques. Elles sont absolument partout, vous les utilisez en ce moment même, de manière invisible depuis votre navigateur avec les meta-éléments liés aux structures du web sémantique. Exemples plus compréhensibles : quand vos fichiers musicaux se classent par auteurs ou par genres sur votre baladeur, quand votre ordinateur accède plus rapidement à vos fichiers lors de recherches, lorsque vos clés USB branchées à votre téléviseur trient automatiquement vos photographies en ordres chronologiques,... il s'agit de traitements sur métadonnées. Pour vous imaginer la scène, imaginez que vous faites des courses en grandes surfaces. Arrivé aux caisses, vous ne déballez pas chaque article et levant le bras bien haut pour que tout le monde voit l'article, en criant, "Hey, quelqu'un pour me dire ce que c'est et combien ça coute ?!". Non, il y a des lecteurs optiques qui scannent les étiquettes ( → des métadonnées ) collées sur vos articles ( → vos données ). Et bien voilà, c'est une des facettes.

C'est plutôt génial alors c'est quoi l'embrouille ? Le hic c'est que tout dépends de la nature des étiquettes et de ce que l'on en fait. Nous vivons dans un monde où les terminaux sont ultra-connectés : smartphones, tablettes, téléviseurs,... on trouve déjà que c'est tentaculaire mais ce n'est rien comparé à la suite. Si les experts s'égosillent depuis tant d'années, ce n'est pas qu'ils sont contre les progrès technologiques ni même qu'ils voient dans le futur mais plutôt parce qu'ils sont les plus à même de mettre en évidence les problématiques de ce que nous réserve l'avenir proche : les exponentielles extensions d'Internet. Et leurs implications iront bien au delà de ce que nous connaissons aujourd'hui. L'émergence de systèmes informatiques apportant de la réalité augmentée sur tous supports, les développements massifs de l'IdO et leurs champs d'application, les biotechnologies, les nanosciences, et j'en passe... vont produire de véritables usines avec de gigantesques productions de flux de données avec leurs métadonnées générées à la volée.

Sous cet angle, vous comprenez mieux en quoi l'exploitation de nos vies numériques valent des milliards d'euros. Autre embrouille, en plus d'être les poules aux œufs d'ors : il y a des dangers, je ne parle pas de risques, comprenons-nous bien. Des dangers clairement identifiés que personne ne semble vouloir régler. Peu importe les cris d'alarme comme : "le monde court à la catastrophe" en l'absence de sécurisation des objets connectés. Tais-toi, abruti!! Oui sauf que l'abruti en question est un spécialiste de renommée mondiale en sécurité informatique qui a travaillé au DoD des États-Unis. Et il y a encore quelques mois, avant de se faire virer, était responsable en chef de la sécurité des technologies chez BT.

Ce que Bruce Schneier et d'autres tentent d'expliquer. c'est que les extensions d'Internet vont marquer un franchissement irréversible de nos mondes : numériques et physiques. L'informatique embarquée sera dans la quasi-totalité de nos objets de la vie quotidienne : de simples actions malveillantes auraient alors de sérieuses conséquences dans le monde réel. Cessons d'être aveugles sur les implémentations foireuses sinon nous pourrions bien en payer le prix fort. Conduire un bolide de course truffé des dernières technologies mais équipé avec des freins de 4L c'est aller à la catastrophe. Et pour les plus septiques, sachez que des alertes similaires avaient été signalées sur les SCADA bien avant les découvertes de vers informatiques tels que Stuxnet ( modulaires : espionnages, sabotages... )

Laissons de côté ces aspects et attardons nous à la découverte de nos métadonnées. Comme vous le savez peut-être, quand des données sont stockées dans des fichiers, on parle généralement de formats de fichiers. Et vous en connaissez déjà, le plus connu est le "MP3" pour l'audio. Si vous avez déjà manipulé des MP3, vous avez peut-être remarqué ce qu'on nomme des "tags", ces étiquettes que l'on peux ajouter et modifier pour annoter l'auteur, l'album, la piste,... Et bien il y a la même chose pour la plupart des autres formats de fichiers. Là où ça devient problématique, c'est quand des infos intrusives (confidentielles ou personnelles) y sont ajoutées sans notre accord.

Le plus difficile étant d'identifier la présence de ces métadonnées mais aussi de les comprendre car il y en a qui ne sont même pas documentées. L'outil en ligne de commande exiftool fonctionne sous Linux, Macintosh et même Windows. Il permet d'interpréter une partie des étiquettes contenues dans nos formats de fichiers.

Prenons un exemple sur des ressources en sources ouvertes. Téléchargez l'image "Mère-de-vinaigre.jpg" hébergée sur le portail de Wikipedia. Puis utilisons l'outil sur l'image pour en extraire les informations que nos yeux ne peuvent voir.

exiftool -all "Mère-de-vinaigre.jpg"

ExifTool Version Number : 9.46
File Name : Mère-de-vinaigre.jpg
File Size : 679 kB
File Modification Date/Time : 2013:10:07 14:10:05+02:00
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Exif Byte Order : Big-endian (Motorola, MM)
Make : Canon
Camera Model Name : Canon EOS 30D
Orientation : Horizontal (normal)
X Resolution : 72
Y Resolution : 72
Resolution Unit : inches
Exposure Time : 1/40
F Number : 10.0
Exposure Program : Manual
ISO : 400
Exif Version : 0221
Date/Time Original : 2011:01:21 11:55:41
Create Date : 2011:01:21 11:55:41
Modify Date : 2011:01:21 11:38:42

Components Configuration : -, -, -, -
Shutter Speed Value : 1/40
Aperture Value : 10.0
Flash : On, Red-eye reduction
Focal Length : 45.0 mm
Macro Mode : Normal
Self Timer : Off
Quality : RAW
Canon Flash Mode : Red-eye reduction (On)
Continuous Drive : Single
Focus Mode : One-shot AF
Record Mode : CR2
Canon Image Size : Unknown (-1)
Easy Mode : Manual
Digital Zoom : None
Contrast : Normal
Saturation : Normal
Sharpness : +3
Metering Mode : Evaluative
Focus Range : Not Known
Canon Exposure Mode : Manual
Lens Type : Unknown (-1)
Long Focal : 70 mm
Short Focal : 24 mm
Focal Units : 1/mm
Max Aperture : 2.8
Min Aperture : 32
Flash Activity : 142
Flash Bits : E-TTL, External
Focus Continuous : Single
Zoom Source Width : 0
Zoom Target Width : 0
Photo Effect : Off
Manual Flash Output : n/a
Color Tone : Normal
Focal Type : Zoom
Focal Plane X Size : 23.04 mm
Focal Plane Y Size : 15.37 mm
Auto ISO : 100
Base ISO : 400
Measured EV : 1.62
Target Aperture : 10
Target Exposure Time : 1/40
Exposure Compensation : 0
White Balance : Auto
Slow Shutter : None
Shot Number In Continuous Burst : 0
Optical Zoom Code : n/a
Flash Exposure Compensation : +0.25
Auto Exposure Bracketing : Off
AEB Bracket Value : 0
Control Mode : Camera Local Control
Measured EV 2 : 1.125
Bulb Duration : 0
Camera Type : EOS Mid-range
Auto Rotate : None
ND Filter : Unknown (-1)
Self Timer 2 : 0
Canon Image Type : Canon EOS 30D
Canon Firmware Version : Firmware 1.0.5

Owner Name : unknown
Camera Body No. : 1330905086
Set Function When Shooting : Default (no function)
Long Exposure Noise Reduction : Off
Flash Sync Speed Av : Auto
Shutter-AE Lock : AF/AE lock
AF Assist Beam : Emits
Exposure Level Increments : 1/3 Stop
Flash Firing : Fires
ISO Expansion : Off
AEB Sequence/Auto Cancel : 0,-,+/Enabled
Superimposed Display : On
Menu Button Display Position : Previous (top if power off)
Mirror Lockup : Disable
AF Point Selection Method : Normal
E-TTL II : Average
Shutter Curtain Sync : 2nd-curtain sync
Safety Shift In Av Or Tv : Disable
Magnified View : Image playback only
Lens AF Stop Button : AF stop
Add Original Decision Data : Off
Canon Model ID : EOS 30D
Num AF Points : 9
Valid AF Points : 9
Canon Image Width : 3504
Canon Image Height : 2336
AF Image Width : 3504
AF Image Height : 2336
AF Area Width : 78
AF Area Height : 78
AF Area X Positions : 8 -555 571 -931 8 947 -555 571 8
AF Area Y Positions : 504 270 270 4 4 4 -262 -262 -496
AF Points In Focus : 8
Thumbnail Image Valid Area : 0 159 7 112
Serial Number Format : Format 2
Original Decision Data Offset : 0
File Number : 150-8649
Bracket Mode : Off
Bracket Value : 0
Bracket Shot Number : 0
Noise Reduction : Off
WB Bracket Mode : Off
WB Bracket Value AB : 0
WB Bracket Value GM : 0
Filter Effect : None
Toning Effect : None
Lens Model :
Internal Serial Number : F0388201
Tone Curve : Standard
Sharpness Frequency : n/a
Sensor Red Level : 0
Sensor Blue Level : 0
White Balance Red : 0
White Balance Blue : 0
Color Temperature : 3800
Picture Style : Standard
Digital Gain : 0
WB Shift AB : 0
WB Shift GM : 0
Measured RGGB : 1381 1024 1024 418
VRD Offset : 0
Sensor Width : 3596
Sensor Height : 2360
Sensor Left Border : 84
Sensor Top Border : 19
Sensor Right Border : 3587
Sensor Bottom Border : 2354
Black Mask Left Border : 0
Black Mask Top Border : 0
Black Mask Right Border : 0
Black Mask Bottom Border : 0
Color Data Version : 1 (1DmkIIN/5D/30D/400D)
WB RGGB Levels As Shot : 2300 1024 1024 1515
Color Temp As Shot : 6180
WB RGGB Levels Auto : 2300 1024 1024 1515
Color Temp Auto : 6180
WB RGGB Levels Measured : 2295 1024 1022 1512
Color Temp Measured : 6180
WB RGGB Levels Daylight : 2020 1024 1024 1649
Color Temp Daylight : 5200
WB RGGB Levels Shade : 2351 1024 1024 1364
Color Temp Shade : 7000
WB RGGB Levels Cloudy : 2189 1024 1024 1494
Color Temp Cloudy : 6000
WB RGGB Levels Tungsten : 1584 1157 1157 2910
Color Temp Tungsten : 3200
WB RGGB Levels Fluorescent : 1832 1081 1081 2574
Color Temp Fluorescent : 3752
WB RGGB Levels Kelvin : 1696 1073 1073 2240
Color Temp Kelvin : 3806
WB RGGB Levels Flash : 2362 1024 1024 1477
Color Temp Flash : 6491
WB RGGB Levels PC1 : 8191 1101 1101 512
Color Temp PC1 : 3603
WB RGGB Levels PC2 : 8191 1101 1101 512
Color Temp PC2 : 3603
WB RGGB Levels PC3 : 8191 1101 1101 512
Color Temp PC3 : 3603
WB RGGB Levels Custom : 2020 1024 1024 1649
Color Temp Custom : 5222
Flash Output : 48%
Flash Battery Level : 3.44V
Color Temp Flash Data : 6691
Measured RGGB Data : 1324089344 992739328 1005846528 418643968
User Comment :
Flashpix Version : 0100
Color Space : sRGB
Exif Image Width : 0
Exif Image Height : 0
Interoperability Index : R98 - DCF basic file (sRGB)
Interoperability Version : 0100
Focal Plane X Resolution : 3959.322034
Focal Plane Y Resolution : 3959.322034
Focal Plane Resolution Unit : inches
Custom Rendered : Normal
Exposure Mode : Manual
Scene Capture Type : Standard
Compression : Unknown (0)
Thumbnail Offset : 4856
Thumbnail Length : 5390
Image Width : 1200
Image Height : 800
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Aperture : 10.0
Flash Exposure Compensation : +0.25
Drive Mode : Single-frame shooting
Flash Type : External
Image Size : 1200x800
Lens : 24.0 - 70.0 mm
Lens ID : Unknown 24-70mm
Red Eye Reduction : On
Scale Factor To 35 mm Equivalent: 1.6
Shooting Mode : Manual
Shutter Curtain Sync : 2nd-curtain sync
Shutter Speed : 1/40
Thumbnail Image : (Binary data 5390 bytes, use -b option to extract)
WB RGGB Levels : 2300 1024 1024 1515
Blue Balance : 1.479492
Circle Of Confusion : 0.019 mm
Field Of View : 28.7 deg
Focal Length : 45.0 mm (35 mm equivalent: 70.3 mm)
Hyperfocal Distance : 10.53 m
Lens : 24.0 - 70.0 mm (35 mm equivalent: 37.5 - 109.4 mm)
Light Value : 10.0
Red Balance : 2.246094


Avouez que vous étiez bien loin de vous douter qu'il y aurait autant d'infos dans une image. Pas sûr que le propriétaire de ce Canon EOS 30D, n° de série F0388201, support camera n°1330905086, équipé d'un firmware v1.0.5, etc... soit conscient qu'il a envoyé toutes ces infos en transférant sa photo.

Autre exemple, la téléphonie mobile. Une amie m'envoie un MMS avec son smartphone "Coucou toi, tu ne devineras jamais où je suis. Trop cool :)))". Je connecte mon mobile à mon ordinateur sous Linux Slackware et à l'aide d'outils libres de la famille Gammu je fais une extraction des différentes enveloppes qui composent le message au format MMS. La photo va m'indiquer la date et l'heure et ses coordonnées géographiques. Notez bien que les positions GPS d'un Apple iPhone 4 sont extrêmement précis. J'effectue une requête sur un moteur de recherches spécialisés et je "devine" le nom de l'évènement à laquelle elle est en train d'assister. Réponse de l'amie "Put**** l'abus, t'as piraté mon mobile ou quoi ?! :O"

ExifTool Version Number : 9.46
File Name : IMG-3465.jpg
Directory : .
File Size : 976 kB
File Modification Date/Time : 2014:01:10 12:39:09+01:00
File Type : JPEG
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
Make : Apple
Camera Model Name : iPhone 4

Orientation : Horizontal (normal)
X Resolution : 72
Y Resolution : 72
Resolution Unit : inches
Software : 6.1.3
Modify Date : 2014:01:10 08:40:15
Y Cb Cr Positioning : Centered
Exposure Time : 1/15
F Number : 2.8
Exposure Program : Program AE
ISO : 250
Exif Version : 0221
Date/Time Original : 2014:01:10 08:40:15
Create Date : 2014:01:10 08:40:15
Components Configuration : Y, Cb, Cr, -
Shutter Speed Value : 1/15
Aperture Value : 2.8
Brightness Value : 1.119590873
Metering Mode : Spot
Flash : Off, Did not fire
Focal Length : 3.9 mm
Subject Area : 1201 1076 484 484
Flashpix Version : 0100
Color Space : sRGB
Exif Image Width : 2592
Exif Image Height : 1936
Sensing Method : One-chip color area
Exposure Mode : Auto
White Balance : Auto
Focal Length In 35mm Format : 35 mm
Scene Capture Type : Standard
GPS Latitude Ref : North
GPS Longitude Ref : East
GPS Altitude Ref : Above Sea Level
GPS Time Stamp : 07:40:15.45
GPS Img Direction Ref : True North
GPS Img Direction : 259.9964789

Compression : JPEG (old-style)
Thumbnail Offset : 902
Thumbnail Length : 6319
Image Width : 2592
Image Height : 1936
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Aperture : 2.8
GPS Altitude : 167.5 m Above Sea Level
GPS Latitude : 43 deg 29' 34.80" N
GPS Longitude : 1 deg 23' 48.60" E
GPS Position : 43 deg 29' 34.80" N, 1 deg 23' 48.60" E

Image Size : 2592x1936
Scale Factor To 35 mm Equivalent: 9.1
Shutter Speed : 1/15
Thumbnail Image : (Binary data 6319 bytes, use -b option to extract)
Circle Of Confusion : 0.003 mm
Field Of View : 54.4 deg
Focal Length : 3.9 mm (35 mm equivalent: 35.0 mm)
Hyperfocal Distance : 1.60 m
Light Value : 5.6


Essayez donc exiftool sur vos images, vos sons, vos films, vos documents.

Nous avons vu que l'application Outil Capture de Windows Vista/7 ajoute systématiquement l'étiquette "XP Author" qui contient le nom de l'utilisateur Windows en cours de session sur les captures d'écran. Certains diront que Windows propose d'effacer les informations dans les propriétés du fichier, onglet "Details", "Supprimer les informations personnelles". En apparence, c'est vrai. Informatiquement, c'est faux. Vos données et les métas étiquetées ont déjà été dupliquées par de multiples écritures physiques sur vos supports de stockage. Et c'est sans compter les reproductions volatiles ( en mémoire vive ) présentent jusqu'à l'extinction ( réelle ) de nos appareils.

Si c'était uniquement confiné chez nous, ça serait acceptable, seulement nous partageons tout ça via des réseaux. Les services d'hébergements de fichiers, de documents, d'images, les réseaux sociaux,... n'arrangent rien à l'affaire. Vous vous êtes déjà posé la question de savoir pourquoi est-ce gratuit ? Car si c'est gratuit, c'est vous le produit. En acceptant les conditions d'utilisation, vous autoriser la monétisation de vos informations sur des places de marchés par des tiers. Normal, un business-model comme un autre. Par contre, vos ressources numériques (fichiers, photos,...) se retrouvent toutes indexées et en sources ouvertes. Rien ne m'empêche, ni ne vous empêche, de les collecter en masse. A quoi bon me direz-vous ? A votre avis !

On me dit depuis de nombreuses années : "Je n'ai pas de secrets". Vraiment ? "Oui". Donc donnez moi vos identifiants de vos boîtes mail comme ça à partir de là j'accèderai à vos comptes en banques, vos assurances,.. à quoi on me réponds souvent "Mais ça n'a rien à voir". Vraiment ? C'est pourtant le secret de la correspondance. "Mince, oui bon j'en ai peut-être quelques-uns." On a tendance à un peu tout mélanger. Toujours est-il que certains ont compris depuis bien longtemps le potentiel extraordinaire que représente les métadonnées. Il suffit de savoir les collecter, les identifier, les corréler,... et les exploiter. Le diable se cache dans les détails techniques et dans les significations de bits imperceptibles.

Exemple de la vie quotidienne : l'entreprise X publie sur son site un document. Un (DOCX,PDF,...) contient des : dessins, images, photos, autres. Outre connaître les infos visibles comme l'auteur du doc, nous pouvons faire parler chaque éléments : obtenir le nom de l'utilisateur, le système d'exploitation de la machine, le nom de la machine, la configuration de l'imprimante, le chemin complet d'un serveur de fichiers, ... et plus encore. Lorsque nos insignifiantes vies numériques sont collectées sur de longues périodes et traitées par des algorithmes ou des IA pour fouiller et dégager du renseignement, de l'intelligence, ça devient embêtant. Les algorithmes communs nous offrent des solutions de facilités mais à quel prix ?

Alors comment vivre dans l'ère des espionnages de toutes sortes ( ce qui a toujours existé ) ? Soit vous acceptez les risques et adviendra ce qui devra. Soit vous décidez de faire plus attention par de petits gestes : par exemple, en configurant mieux vos logiciels. Les outils pour produire des documents comme LibreOffice peuvent être paramétrés pour ne plus inclure systématiquement de données personnelles. Vous pouvez aussi assainir vos contenus avant publications. Je vous recommande d'expérimenter l'outil exiftool. Je vous ai expliqué qu'il était possible de lire les infos et bien il est aussi possible de les cloner, les modifier, les retirer, ... Si une étiquette intrusive comme les données GPS vous embête, retirez-la ou supprimer carrément toutes métadonnées : c'est possible.

Pour reprendre l'exemple précédent:

exiftool -all= "Mère-de-vinaigre.jpg"
1 image files updated

Le fichier "Mère-de-vinaigre.jpg_original" est conservé.
Vérifions si les métadonnées ont bien toutes été supprimées.

exiftool -all "Mère-de-vinaigre.jpg"
File Name : Mère-de-vinaigre.jpg
File Size : 669 kB
File Modification Date/Time : 2014:01:14 23:29:49+01:00
File Type : JPEG
MIME Type : image/jpeg
Image Width : 1200
Image Height : 800
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 1200x800


Je ne tenterai pas de vous convaincre à faire ceci ou celà. Mon article consiste à éveiller votre curiosité, avec des termes simples, sur une partie des aspects de nos métadonnées. Également à vous fournir en guise d'exemple un outil libre ( Merci Phil Harvey ) afin de visualiser ces "invisibles" et éventuellement interagir avec. C'est seulement en ayant conscience de leurs existences que vous pourrez vous même évaluer si telle ou telle information est indésirable, voir nuisible à vos vies privées.

Ce n'est qu'un début. A suivre...

edit: Multiples éditions pour apports de précisions, de liens externes,...
Dernière édition par ѠOOT le 07 avr. 2014 01:19, édité 27 fois.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Introduction à l'univers de nos métadonnées

Message par Malekal_morte » 16 janv. 2014 20:48

Sympa comme article, merci
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Gérer ses métadonnées pour des correspondances amoureuses

Message par ѠOOT » 17 janv. 2014 03:15

Depuis cet été, on me gonfle avec : les clouds, les métas, les BigData, les états, les chinois, la NSA, ... et bah quoi, t'as pas les médias, y'a des tas de débats, ça sent l'caca, y sont déjà là, bah tu verras, on y échappera pas, blablabla, hey... pourquoi tu réponds pas. Je rêvais, désolé mon gars, je ne t'écoute pas... Un rêve super sympa, je me suis vu minot en train de fêter un premier avril ; ce jour où tout le monde s'amuse à coller des étiquettes de poissons dans le dos des autres et à faire des farces.

En bon blagueur, j'ai tenté une expérience de poissons d'avril numériques sur mes proches. La question au départ c'était de savoir si le poisson collé dans le dos fonctionne dans nos vies numériques. Alors pour vérifier, j'ai pris des risques, j'ai envoyé un e-mail intitulé "Je t'aime." à ma dulcinée avec une photo de nous. Sauf que dans la photo, j'ai dissimulé le message inverse.

exiftool -comment="Je vais te quitter." nous.gif

Je l'ai envoyé et ma super chérie n'a rien vu de la supercherie. Plusieurs jours après je lui ai expliqué l'expérience et je lui ai montré la partie invisible. Elle m'a dit que le principe ressemblait beaucoup aux messages rédigés à l'encre sympathique avant d'ajouter : "mais tu aurais pu trouver autre chose, pourquoi tu ne m'envoie pas des messages plus passionnés ( si vous voyez ce que je veux dire ^_o ) ?". Je lui explique alors que nos messages sont invisibles à nos sens mais que techniquement ils transitent "en clair" sur les réseaux. Elle m'a demandé si on ne pourrait pas coder l'information en chiffrant uniquement l'intérieur de nos images comme on le fait avec nos e-mails GPG. Je lui ai expliqué qu'il y avait déjà pleins de techniques utilisées depuis belle lurette, comme la stéganographie,... et que de toute façon les technologies actuelles permettent de localiser automatiquement à travers les flux les anomalies cachées, même au milieu de brouillages. Ce à quoi elle m'a répondu : mais on s'en fiche des autres.. c'est pour nous, grand fou.

Sur ces mots, j'ai créé "msg.txt" dans lequel j'ai rédigé un court message.

A travers tes petits yeux verts,
Je me perds dans ton univers,
Continue de me faire rêver,
C'est ainsi que je t'aimerai.


J'ai ensuite chiffré ce message avec GPG.
Que j'ai inséré dans les métadonnées de la photo à envoyer.

exiftool -comment"<="msg-b64.pgp nous.gif

À la réception de l'e-mail, elle a copié la photo sur son nano-ordinateur Raspberry.
À l'aide d'un script, elle a été en mesure de déchiffrer et chiffrer d'autres messages.

Les tests sont concluants mais le truc c'est que ce loin d'être pratique. Ce n'est pas au niveau du codage de l'information que sont les contraintes mais plus au niveau des échanges. A chaque fois, il faut rédiger l'e-mail, s'identifier à nos comptes, pfff.. Alors pourquoi ne pas utiliser le premier canal de diffusion qui se présente à nous. À l'ère des communications numériques, ça coule de sens. Ces moyens "gratuits" et extrêmement simples permettant de véhiculer nos contenus existent, il sont là, sous diverses formes, sous nos yeux. Les grands de la dématérialisation, du cloud,.. ceux qui vivent de données n'attendent que nous.

Après avoir épluché les TOS des principaux sites d'hébergements d'images que les membres de ce forum utilisent : n'ayant pas trouvé de contre indications, j'ai testé. Et ça fonctionne : les métadonnées survivent. En revanche un service a posé des problèmes d'intégrités à cause de la ré-écriture des images. Le site en question utilise une méthode bien connue ( sauce libgd/php-gd ) qui vise à conserver les originales et de fournir en échange une copie en qualité réduite, ça diminue le poids des fichiers et élimine les tags et autres tatouages. Trouver une parade m'a pris 10 sec, j'ai bêtement appliqué une concaténation d'images. Sous Linux ou Mac on utilise "cat" et sous Windows, c'est "type".

type nous.gif >> chien.jpg

A la fin du fichier "chien.jpg" sera ajouté le contenu de "nous.gif".
Ainsi, seule l'image "chien.jpg" passera à la moulinette d'épuration.
Le "nous.gif" hébergé ne sera pas altéré, il suffira de l'extraire.
Visuellement nos navigateurs n'afficheront que l'image "chien.jpg".

J'ai ensuite testé sur les réseaux sociaux et là il y a plus de contrôles et de filtrages. De 2004 à 2006, j'ai participé au sein d'un groupe à du R&D sur l'étude des comportements de nos programmes informatiques lorsqu'ils sont confrontés à des formats de fichiers mal-formés : les résultats obtenus étaient stupéfiants. Je peux vous garantir que les fuzzers ont encore de beaux jours devant eux :þ Ces vieux souvenirs m'ont permis de paralyser les contre-mesures en rendant les images non altérables. La bonne surprise c'est que certaines images mal-formées envoyées sont acceptées et qu'elles continuent de bien s'afficher sur nos navigateurs.

Si vous avez un peu compris le principe, chaque élément d'un conteneur offre la possibilité de part ses métadonnées de devenir à son tour un conteneur et les nouveaux éléments qui les composent peuvent à leur tour devenir des conteneurs, etc... J'ai étudié bon nombre de codes malveillants utilisant ces méthodes dites des "poupées russes". En bon "Master of Puppets", rien de tel que de diviser pour mieux régner. Ainsi, par exemple, rien ne m'empêche de découper le message chiffré en 8 blocs de tailles différentes. D'utiliser les métadonnées de 6 images sélectionnées pour embarquer ces morceaux puis de les distribuer en différents lieux. Les 2 blocs restants peuvent être conservés. Il me suffira de les envoyer aux moments souhaités via des canaux particuliers pour "réveiller" l'ensemble.

Si vous n'avez pas tous les morceaux ; si vous ne savez pas quelles sont les séquences pour ré-assembler le ou les fichiers chiffrés ; si vous ignorez les passphrases de déchiffrage (ou les fichiers de jointures)... les curieux du dimanche se casseront les dents. Des modèles exotiques nettement plus avancés peuvent être envisagés, par exemple, en utilisant d'autres supports / formats de fichiers, en générant des leurres, en créant des artéfacts numériques pour simuler des compressions, en embarquant son propre système de gestion de fichiers ou pourquoi pas un micro-noyaux... et rien ne vous oblige à créer un modèle uniquement basé sur des codages informatiques. io, cpunks :þ

Résumons un peu l'idée des correspondances amoureuses. Les images aux morceaux chiffrés de poèmes sont accessibles à tous, en sources ouvertes. Question confidentialité, n'importe qui avec son navigateur sera en mesure de visualiser ces images, de les télécharger, de les conserver,... parmi ces "visiteurs", il y aura peut-être l'élue de mon cœur qui contrairement aux autres connaitra la liste des signatures numériques (intégrités) des images ainsi qu'une partie de la combine. Question discrétion, c'est raté : les entropies, les traitements des signaux,... les anomalies seront immédiatement détectées. C'est vrai et après ? =)

Je n'expliquerai pas comment contourner les mécanismes permettant d'assurer un degré de furtivité acceptable. Je n'expliquerai pas comment garantir un anonymat acceptable sur les échanges. Je ne fournirai aucun outil, conformément aux lois en vigueur. Je ne pourrai être tenu pour responsable des usages détournés que vous en faites. Ce texte regroupe des idées, des concepts artistiques, tout comme l'ont été les deaddrops, widrop & PirateBox. Si vous avez l'esprit créatif, ça devrait vous suffire pour implémenter et expérimenter par vous même.

Image Alors que pensez-vous de mon poisson d'avril numérique ?

Ce n'est qu'un début. A suivre...
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
SkyTech
Geek à longue barbe
Geek à longue barbe
Messages : 35607
Inscription : 03 août 2008 14:52
Localisation : Picardie (80)

Re: Quelques idées pour s'amuser avec ses métadonnées

Message par SkyTech » 19 janv. 2014 17:53

Que dire, à part merci ! PDT_008

Ce fut intéressant.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Quelques idées pour s'amuser avec ses métadonnées

Message par Malekal_morte » 14 nov. 2014 12:58

Autre site qui évoque les métadonnées: http://lesdetrackeurs.fr/se-faire-trace ... e-tracage/

Révélé pour la première fois en avril 2015 par le lanceur d'alerte Edward Snowden, Skynet est le nom de code d'un programme ultrasecret en charge, entre autres, de surveiller les réseaux de communication électronique de la planète Terre.

Nous tuons des gens en nous basant sur des métadonnées ( Michael Hayden, NSA/CIA )

http://www.lemonde.fr/pixels/article/20 ... 08996.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Tech, Tips & Tricks »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités