L'image sécurise les applications de banque mobile

Par 11 février 2010
Mots-clés : Smart city, Asie du Sud

Le système proposé par l'université de Pune dissimule les données au sein d'un visuel via une clé générée à chaque envoi. Une technique inspirée de la stéganographie.

Dans le but d'améliorer la sécurité des applications de m-banking, des chercheurs indiens de l’université de Pune proposent de recourir à la stéganographie, qui permet de faire passer inaperçu un message au sein d'un autre message. Ici, il s’agit d’utiliser cette technique pour dissimuler les données à encrypter au sein d’une image. Celle-ci agissant alors comme couverture. Le nombre quasi infini d’images disponibles, de formats et de tailles en fait une ressource idéale pour encrypter les données. Concrètement, un utilisateur pourra accéder à ses données bancaires depuis un téléphone connecté à Internet et sur lequel l’application aura été installée. L’ensemble du processus de cryptage s’appuie sur une clé, en fait une variable renouvelée à chaque envoi.
Une clé unique générée pour tout le processus
Elle est utilisée dans un premier temps par un système qui détermine au sein de quelle série de pixels les données vont être dissimulées dans l’image. Puis un deuxième algorithme encrypte les données avant de les insérer à l’image. Cette étape constitue une double protection pour les données encodées. Pour éviter que ces dernières ne soient retrouvées simplement en comparant l’image d’origine et celle qui porte les informations, d’autres pixels de l’image sont déplacés et modifiés. Une fois l’image envoyée au serveur, il s’agit également de s’assurer de la validité de la requête en vérifiant l’identité de son expéditeur.
Vérifier l’identité avant de procéder à la transaction
Pour communiquer avec le serveur, chaque message caché dans l’image est doté d’une "identité de requête". Là encore, une clé est utilisée pour générer ce code de vérification. Il ne s’agit pas de celle qui a été utilisée pour cette transaction mais la clé utilisée lors d’une précédente opération. Les clés sont en effet gardées en mémoire par le serveur et par le téléphone, de sorte qu’ils disposent de la même clé pour procéder à l’authentification. Avant de prendre la requête en compte, le serveur va venir vérifier la validité de celle-ci en confirmant l'"ID". Le clé est alors extraite de l’image et utilisée pour récupérer les informations qui y sont dissimulées. La transaction est ensuite effectuée.

Mentions légales © L’Atelier BNP Paribas