La pratique consistant à brouiller le texte à l’aide d’une méthode appelée pixellisation peut ne pas être aussi sûr qu’on le pensait auparavant.
Alors que le moyen le plus infaillible de dissimuler des informations textuelles sensibles consiste à utiliser des barres noires opaques, d’autres méthodes de rédaction telles que la pixellisation peuvent produire l’effet inverse, permettant d’inverser le texte pixelisé dans sa forme d’origine.
Dan Petro, chercheur principal de la société de sécurité offensive Bishop Fox, a démontré un nouvel outil open-source appelé non rédigé pour reconstruire le texte à partir des images pixélisées, en divulguant efficacement les informations mêmes qui devaient être protégées.
L’outil est également considéré comme une amélioration par rapport à un utilitaire existant nommé Dépixqui fonctionne en recherchant quelles permutations de pixels auraient pu entraîner certains blocs pixélisés pour récupérer le texte.
Le modèle de menace fonctionne sur l’hypothèse sous-jacente selon laquelle, étant donné un morceau de texte contenant à la fois des informations expurgées et non expurgées, l’attaquant utilise les informations sur la taille et le type de police glanées dans le texte clair pour prédire les informations masquées.
C’est loin d’être la première fois que des méthodes similaires sont proposées pour récupérer des informations expurgées à partir d’un contenu pixélisé. En janvier 2022, des chercheurs de Positive Security ont détaillé une méthode pour inverser la pixellisation dans les vidéos.
« Les créateurs de contenu et les journalistes doivent être conscients des risques supplémentaires lors de la rédaction d’informations dans des vidéos et utiliser une taille de mosaïque/rayon de flou suffisamment élevé, ou mieux encore, utiliser une boîte opaque d’une seule couleur », a déclaré le chercheur Fabian Braunlein.
Pétro est d’accord. « L’essentiel est que lorsque vous avez besoin de biffer du texte, utilisez des barres noires couvrant tout le texte. N’utilisez jamais rien d’autre. Pas de pixellisation, pas de flou, pas de flou, pas de tourbillon. »
« La dernière chose dont vous avez besoin après avoir créé un excellent document technique est de divulguer accidentellement des informations sensibles en raison d’une technique de rédaction non sécurisée », a ajouté Petro.
