RTFlash

L'image sécurise les applications de banque mobile

Dans le but d'améliorer la sécurité des applications de m-banking, des chercheurs indiens proposent de recourir à la stéganographie, qui permet de faire passer inaperçu un message au sein d'un autre message. Ici, il s'agit d'utiliser cette technique pour dissimuler les données à encrypter au sein d'une image. Celle-ci agissant alors comme couverture. Le nombre quasi infini d'images disponibles, de formats et de tailles en fait une ressource idéale pour encrypter les données. Concrètement, un utilisateur pourra accéder à ses données bancaires depuis un téléphone connecté à Internet et sur lequel l'application aura été installée. L'ensemble du processus de cryptage s'appuie sur une clé, en fait une variable renouvelée à chaque envoi.

Elle est utilisée dans un premier temps par un système qui détermine au sein de quelle série de pixels les données vont être dissimulées dans l'image. Puis un deuxième algorithme encrypte les données avant de les insérer à l'image. Cette étape constitue une double protection pour les données encodées. Pour éviter que ces dernières ne soient retrouvées simplement en comparant l'image d'origine et celle qui porte les informations, d'autres pixels de l'image sont déplacés et modifiés. Une fois l'image envoyée au serveur, il s'agit également de s'assurer de la validité de la requête en vérifiant l'identité de son expéditeur.

Pour communiquer avec le serveur, chaque message caché dans l'image est doté d'une "identité de requête". Là encore, une clé est utilisée pour générer ce code de vérification. Il ne s'agit pas de celle qui a été utilisée pour cette transaction mais la clé utilisée lors d'une précédente opération.

Les clés sont en effet gardées en mémoire par le serveur et par le téléphone, de sorte qu'ils disposent de la même clé pour procéder à l'authentification. Avant de prendre la requête en compte, le serveur va venir vérifier la validité de celle-ci en confirmant l'"ID". Le clé est alors extraite de l'image et utilisée pour récupérer les informations qui y sont dissimulées. La transaction est ensuite effectuée.

Atelier

Noter cet article :

 

Vous serez certainement intéressé par ces articles :

Recommander cet article :

back-to-top