Les attaques contre les systèmes d’authentification

V. Les attaques contre les systèmes d’authentification

Deux catégories d‟attaques principales doivent être prises en considération lors de l‟élaboration de tout système d‟authentification : les attaques ciblant l‟image et les attaques ciblant le système d‟authentification.

 les attaques ciblant le contenu de l’image ont pour but de manipuler l‟image

sans tenir compte des mesures de protection de l‟algorithme d‟authentification. Ces attaques peuvent à leur tour être classées en deux types :

- Les manipulations locales, telles l‟ajout ou la suppression d‟objets dans l‟image;

- Les manipulations globales, comme le changement d‟échelle, le découpage, ou encore l‟égalisation d‟histogramme.

Chapitre 4 : Etat de l’art sur l’authentification des images par marquage numérique

83

 les attaques ciblant le système d’authentification :

Suivant le type du marquage (fragile/semi-fragile) et le type du système (symétrique/asymétrique) différentes attaques peuvent être montées :

- Une des attaques les plus courantes contre les systèmes à base de marquage fragile, consiste à tenter de modifier une image protégée sans affecter la marque qu‟elle contient, ou bien encore à tenter de créer une nouvelle marque que le détecteur considérera comme authentique. Prenons par exemple le cas volontairement simplifié où l‟intégrité d‟une image est assurée par une marque fragile, indépendante du contenu, insérée dans les LSB des pixels. Il est clair que si on modifie l‟image sans se préoccuper de savoir quels sont les bits affectés par la manipulation, on a toutes les chances pour que la marque soit dégradée et l‟attaque détectée. Par contre, si on prend soin de modifier l‟image sans toucher aux LSB, la marque restera intacte et le système ne décèlera aucune falsification.

- D‟un point de vue plus général, dès lors que l‟intégrité est assurée par une marque indépendante du contenu de l‟image à protéger il est possible d‟imaginer une attaque qui recopie une marque valide d‟une image dans une autre. C‟est la « Copy Attack » de Kutter et al. [KVH00]. De cette manière la deuxième image se retrouve alors protégée. Cette attaque peut très bien être appliquée sur la même image ; dans ce cas, la marque est dans un premier temps retirée de l‟image, l‟image est ensuite manipulée, et enfin la marque est réinsérée dans l‟image manipulée, trompant ainsi le système d‟authentification.

- Dans le même esprit, la « Collage-Attack » proposée par Fridrich et al.

[FGM00] consiste à créer une image contrefaite de toutes pièces à partir d‟une banque d‟images protégées par la même marque et la même clé. Cette attaque ne présuppose aucune connaissance a priori sur la marque binaire cachée, ni sur la clé secrète utilisée. Son principe est relativement simple puisqu‟il consiste à remplacer chaque pixel de l‟image à manipuler par le pixel qui lui est le plus similaire parmi les pixels de même position des images de la base. La difficulté de cette méthode est de disposer d‟une banque d‟images suffisamment variées pour obtenir une image falsifiée de bonne qualité visuelle.

Une autre attaque classique consiste à essayer de trouver la clé secrète utilisée pour générer la marque. Ce type d‟attaque, également appelé «Brute Force Attack », est très connu par la communauté « sécurité ». Une fois la clé trouvée, il devient alors très facile pour un pirate de falsifier la marque d‟une image protégée avec cette clé. La seule parade efficace est d‟utiliser des clés de grande taille de manière à rendre cette attaque très dissuasive en termes de temps de calcul.

Il est clair que les attaques visant le contenu de l‟image sont naïves et ne peuvent réussir que dans le cas où l‟image n‟est pas marquée. Plus sophistiquées, sont les

Chapitre 4 : Etat de l’art sur l’authentification des images par marquage numérique

84

attaques visant le système d‟authentification et dont le but est justement de rendre les attaques visant le contenu indécelables.

Deux autres facteurs très importants intervenant dans la fiabilité d‟un système d‟authentification sont le taux de faux positifs et le taux de faux négatifs, qu‟on désire les plus faibles possible. Le taux de faux positifs est le taux d‟occurrence des cas où le détecteur extrait une marque qui n‟a pas été insérée. Au contraire, le taux de faux négatifs désigne le taux d‟occurrence des cas où le détecteur échoue à extraire une marque réellement insérée. Le taux de faux positifs et le taux de faux négatifs sont en général en conflit avec une faible distorsion de l‟image, car assurer de faibles taux positifs et négatifs signifie généralement insérer une plus grande quantité d‟information d‟authentification, ce qui entraîne immanquablement une plus grande distorsion.

Enfin, les attaques et défis sus-cités ne constituent en aucun cas une liste exhaustive, puisque de nouvelles attaques de plus en plus perfectionnées seront certainement élaborées dans le futur.

Conclusion

Ce chapitre concerne l‟utilisation du marquage numérique à des fins d‟authentification d‟images. Nous avons d‟abord introduit la nécessité d‟authentifier les images dans cette ère numérique en donnant quelques exemples célèbres de falsification d‟images, puis identifié les deux catégories de techniques d‟authentification disponibles , à savoir, stricte et souple. Les caractéristiques de chacune ont été comparées et les raisons pour lesquelles l‟authentification souple est préférée ont été argumentées.

Nous avons ensuite défini un schéma générique d‟un système d‟authentification d‟image et recensés les critères que ce dernier doit satisfaire pour être efficace.

En fonction de la nature du marquage et des exigences de l‟application, les schémas de marquage destinés à l‟authentification ont été classés en trois classes principales, à savoir, fragiles, semi-fragiles, et réversibles. Des algorithmes représentatifs de chaque classe ont été décrits en détail puis discutés.

Finalement, nous avons identifié les différentes attaques en montrant comment elles pouvaient être montées et comment elles pouvaient être évitées, puis nous les avons classées en deux catégories : les attaques ciblant le contenu de l‟image et les attaques ciblant le système d‟authentification.

A la lumière de ces observations, nous pouvons conclure que, dans l‟état actuel des recherches, il est difficile d‟affirmer quelle approche semble la plus appropriée à assurer un service d‟authentification adapté aux images. Il n‟existe pas, pour l‟instant, de solution universelle répondant parfaitement à tous les problèmes mais plutôt un ensemble de solutions reliées à des applications spécifiques. Les méthodes reposant sur un marquage fragile, sont très sensibles à la moindre altération de l‟image, n‟offrant par conséquent qu‟un service d‟authentification stricte, relativement éloignée des besoins des utilisateurs. Néanmoins, les techniques de marquage fragiles ont l‟avantage, par rapport aux

Chapitre 4 : Etat de l’art sur l’authentification des images par marquage numérique

85

méthodes classiquement utilisées en sécurité, de permettre une localisation précise des régions qui ont été manipulées. La tendance actuelle s‟oriente, cependant de plus en plus vers l‟utilisation de méthodes dites semi-fragiles. Ces méthodes sont beaucoup plus tolérantes vis-à-vis des manipulations bienveillantes, telles qu‟une compression Jpeg de bonne qualité. Cette souplesse est rendue possible en partie grâce à des algorithmes de marquage à robustesse ciblée, mais aussi par l‟utilisation de données d‟authentification de haut niveau, basées sur le contenu sémantique de l‟image plutôt que sur les valeurs numériques des pixels.

L‟utilisation d‟une marque dépendante du contenu de l‟image permet, d‟une part d‟accroître la robustesse de la méthode vis-à-vis d‟attaques malveillantes comme la « Collage Attack », et d‟autre part, en fonction des caractéristiques choisies, une éventuelle réparation partielle des régions altérées. Le défi majeur de ces méthodes reste celui de trouver un bon compromis entre les exigences de faibles taux de distorsion, de faux positifs et de faux négatifs d‟un côté, et la robustesse aux manipulations acceptables d‟un autre. Plus intéressantes encore, sont les méthodes réversibles qui permettent de supprimer toute distorsion de l‟image après que l‟authentification ait eu lieu.

Dans le prochain chapitre, nous aborderons notre approche de l‟authentification basée sur le contenu, par le biais de la notion de texture d‟image. Cette approche a été fortement inspirée de ce qui se fait actuellement dans certains domaines connexes, comme l‟indexation, la classification et la recherche d‟images basée sur le contenu (CBIR).

86

Chapitre 5