Un système d’authentification à clé secrète basé compression [BB05]

La deuxième solution proposée se manifeste dans une application entre deux tiers communicants, leur permettant de s‟émettre mutuellement des dossiers médicaux à travers un réseau, tout en assurant l‟intégrité de l‟image échangée ainsi que la confidentialité des informations l‟accompagnant. Ces fonctionnalités sont obtenues à travers le mariage d‟un mécanisme de code d‟authentification de message (MAC) à clé secrète et d‟un algorithme de marquage de type LSB rendu réversible grâce à une méthode de compression sans perte.

Dans la solution précédente, l‟image était reçue chiffrée et le récepteur se devait de la déchiffrer d‟abord pour pouvoir l‟exploiter, ainsi que les données patient. Par contre, ici l‟image est reçue simplement marquée, et le récepteur peut choisir de l‟exploiter telle quelle, ou extraire les données patient et effectuer une vérification d‟intégrité, ou encore la sauvegarder au format marqué, pour une utilisation ultérieure tout en la gardant protégée.

Les objectifs attendus de cette procédure sont de pouvoir : - Insérer la marque de manière invisible dans l‟image. - Authentifier l‟image sans ambiguïté et en mode aveugle.

- Obtenir une image marquée qui ne soit pas supérieure en taille à l‟image originale.

- Récupérer l‟image originale dans son intégralité à partir de l‟image marquée. Pour minimiser la visibilité, nous utiliserons un seul LSB par pixel au niveau du marquage. Le MAC servant à authentifier l‟image sera obtenu par chiffrement de l‟empreinte MD5 avec l‟algorithme de Vigénère (voir chapitre 2). Il sera inséré dans les LSB après les avoir compressé par RLE, pour « lui faire de la place ».

Chapitre 6 : Protection des images médicales

121

Du côté émetteur, les étapes suivantes sont effectuées :

 Calculer l‟empreinte de l‟image sur les 7 bits de poids forts (MSB) de chacun des pixels.

 Concaténer l‟empreinte de l‟image avec les données du patient et chiffrer le résultat avec l‟algorithme de Vigénère

 Sélectionner les LSBs de tous les pixels de l‟image originale et leur appliquer une compression sans perte RLE.

 Concaténer le résultat de la compression avec les données chiffrées puis les réinsérer dans l‟emplacement des LSBs.

La figure 6.5 montre les différentes étapes de formation et d‟insertion de la marque.

Figure 6.5 Schéma de formation et d’insertion de la marque

Pour extraire les données patient et effectuer un contrôle d‟intégrité sur l‟image reçue, le récepteur effectue de son côté les étapes suivantes :

 Extraire les LSBs de l‟image reçue.

 Séparer ces LSBs en deux chaînes de caractères l‟une représentant les LSBs originaux compressés et l‟autre la concaténation de l‟empreinte avec les données patient.

 Décompresser les LSBs et les remettre à leur emplacement pour récupérer l‟image originale.

 Récupérer les données du patient et le MAC de l‟image en appliquant un décodage de Vigenère.

 Le contrôle de l‟intégrité de l‟image se fait en recalculant le MAC de l‟image et en le comparant avec le MAC extraite de l‟image.

La figure 6.6 montre les différentes étapes d‟extraction et de vérification de la marque.

Chapitre 6 : Protection des images médicales

122

Figure 6.6 Schéma d’extraction et de vérification de la marque

Ce procédé de marquage se caractérise par une grande capacité d‟insertion. Par exemple pour une petite image 256x256, elle permettra d‟insérer jusqu‟à 8 Ko de données patient incluant les 128 bits du MAC, ce qui est largement au dessus des besoins de la plupart des applications. De plus, cette capacité va encore augmenter avec la taille de l‟image. On peut alors choisir de ne marquer que certains pixels spécifiques choisis de manière secrète, ce qui va renforcer la sécurité de la méthode. Bien-sûr, le pas d‟insertion va dépendre aussi de la taille de l‟image. Le tableau 6.4 montre le format des données (un total de 96 caractères) qui seront insérées dans l‟image en plus des 32 caractères de l‟empreinte. La figure 6.7 montre l‟effet du marquage sur 3 images échographiques, de différentes tailles, en termes de PSNR. Les figures 6.8 à 6.11 montrent l‟effet du marquage sur différentes images, en termes d‟images différences et de leurs histogrammes.

Tableau 6.5 Format des données patient

Données Nb de caractères Données Nb de caractères

Nom Patient 16 Nom-Medecin 16

Age 3 Résultats 16

Sexe 1 Diagnostic 16

Date d'acquisition 8 Traitement 20

256x256 400x268 512x512

39.72 dB 52.27 dB 41.33 dB

Chapitre 6 : Protection des images médicales

123

Image originale Image marquée Image différence Image restaurée

Histogrammes correspondants

Figure 6.8 Exemple d’image IRM (512*512 pixels) avec pas d’insertion 1 pixel

Image originale Image marquée Image différence Image restaurée

Histogrammes correspondants

Figure 6.9 Exemple d’Image IRM (256*256 pixels) avec pas d’insertion 2 pixels

Image originale Image marquée Image différence Image restaurée

Histogrammes correspondants

Chapitre 6 : Protection des images médicales

124

Image originale Image marquée Image différence Image restaurée

Histogrammes correspondants

Figure 6.11 : Exemple d’image d’échographie (800*600 pixels) avec pas d’insertion 25 pixels

Plusieurs tests concernant l‟intégrité ont été effectués. La détection des données patient et de l‟empreinte se fait avec succès pour les images marquées n‟ayant subi aucune attaque, mais échoue pour les images ayant été attaquées.

La Figure 6.12, montre une image (a) et l‟image (a‟) marquée correspondante ainsi que l‟image (b) originale, l‟image (b‟) marquée puis l‟image (b‟) marquée et attaquée par une retouche d‟image simulant une fracture. Le tableau 6.6 montre le résultat du contrôle d‟intégrité de ces images.

Figure 6.12 Echantillon d’images a : originale et marquée b : originale, marquée puis attaquée

Chapitre 6 : Protection des images médicales

125

Tableau 6.6 Vérification de l’intégrité en comparant l’empreinte calculée avec l’empreinte extraite

Valeur de l‟empreinte

Image a : 8C12ED177E82F3D99CD4B66BEE1B6DA7

Valeur de l‟empreinte extraite des LSB

Image a‟ : 8C12ED177E82F3D99CD4B66BEE1B6DA7

Re-calcul de l‟empreinte Image a‟ : 8C12ED177E82F3D99CD4B66BEE1B6DA7

Valeur de l‟empreinte Image b : F3826EB03048F9BCD66F74DCE3E08B85 Valeur de l‟empreinte extraite des LSB Image b‟: F3826EB03048F9BCD66F74DCE3E08B85 attaquée

Re-calcul de l‟empreinte Image b‟: A1FB76CCEBE8C7835815C106B3285C6

attaquée

IV- MEDIMAGE : Un service web pour le partage sécurisé d’images

médicales [BBZ05][BB06]

Dans cette section nous allons proposer un cadre applicatif possible pour nos contributions qui va se manifester sous la forme d‟un service web permettant à une communauté déterminée d‟utilisateurs (par exemple des radiologistes) de partager en toute sécurité une collection d‟images médicales à travers le Net. En effet, les réseaux informatiques étant encore souvent absents de nos structures hospitalières, nous avons opté pour l‟échange d‟images à travers l‟Internet qui, lui, est largement disponible en Algérie. Ce service va permettre aux médecins inscrits de constituer, à terme, une banque d‟images médicales des cas les plus intéressants qu‟ils rencontrent dans leur vie professionnelle, pour instaurer une recherche collaborative en toute sécurité, et sans faillir aux exigences éthiques et légales propres au domaine. La base construite pourra également être utilisée par des étudiants qui auront le seul privilège de consulter ou de télécharger une version marquée des images. Pour permettre une utilisation fiable de ce service, nous mettrons en œuvre les mécanismes d‟authentification et de confidentialité présentés précédemment, à travers une architecture client-serveur dans laquelle les droits d‟accès sont gérés par le serveur.

L‟utilisation pratique de ce système présente de nombreux avantages :

 Les patients n‟aiment généralement pas voir leurs renseignements privés ouverts au public sur un site web, surtout s‟il s‟agit d‟une maladie grave. De ce point de vue, on peut dire que les images médicales constituent une propriété privée dont le copyright est détenu par les patients concernés.

 Quand un médecin archive une image pour une longue période et un autre médecin désire s‟y référer (par exemple pour une étude comparative avec des

Chapitre 6 : Protection des images médicales

126

cas similaires), ce dernier peut vouloir s‟assurer de son intégrité avant de l‟utiliser.

 Pour des médecins en mobilité, par exemple lors d‟une conférence, l‟Internet est souvent le seul canal de communication accessible. Ce service pourra s‟avérer très utile dans diverses interventions.

 Le fait d‟insérer las données patient au sein de l‟image correspondante empêche la perte de lien qui peut arriver dans une sauvegarde séparée.

 Grâce à un marquage réversible, l‟image peut être authentifiée de manière non ambiguë et peut être restaurée dans son intégralité après extraction de la marque, pour un diagnostic fiable. Si elle est altérée pour quelque raison que ce soit, l‟utilisateur en est informé.

 Le marquage/vérification ainsi que toutes les opérations de sécurisation sont effectués du côté serveur, ce qui décharge les médecins d‟avoir à s‟occuper de ce côté ou d‟avoir à installer sur leur machines des plugs-in spécifiques qu‟ils ne sauront pas spécialement faire fonctionner. De plus, le serveur pourra être considéré comme un TTP (Trusted Third Party) dans un scénario de gestion des conflits, dans un contexte médico-légal.