Lors du Congrès sur la sécurité informatique, tenu sur deux jours le mois dernier et organisé par la Coordinación de Seguridad de la Información/UNAM-CERT, des chercheurs de divers domaines de la sécurité ont présenté leurs travaux.

Pour sa part, le spécialiste de la sécurité José Miguel Baltazar Gálvez a présenté une étude intitulée Identifier la source d’une image numérique, élaborée dans le cadre du programme de maîtrise en sécurité et technologies d’information de l’Instituto Politécnico Nacional du Mexique. Cette étude porte sur la reconnaissance, durant le processus d’analyse judiciaire, de la marque et du modèle d’un appareil utilisé pour prendre une photographie numérique.

Défis du processus d’analyse en imagerie numérique judiciaire

L’utilisation accrue des appareils électroniques et de leurs différentes fonctions est un facteur déterminant pour le profil technique des analystes en informatique judiciaire, qui sont responsables d’authentifier les images numériques devant être utilisées comme preuves dans le cadre d’une enquête judiciaire.

L’ANALYSE JUDICIAIRE D’IMAGES NUMÉRIQUES EST DE PLUS EN PLUS IMPORTANTE POUR DÉTERMINER L’ORIGINE ET L’AUTHENTICITÉ D’UNE PHOTOGRAPHIE.

Puisque des photographies peuvent être utilisées pour établir la responsabilité, ou comme preuve dans des affaires administratives, civiles ou criminelles, l’analyse judiciaire en imagerie numérique est de plus en plus importante pour déterminer l’origine et l’authenticité d’une photographie afin d’établir un lien entre une personne et un appareil, un endroit ou un événement.

Il est judicieux d’appliquer ce type de techniques, étant donné qu’il existe de plus en plus d’outils de manipulation d’images sophistiqués, ce qui rend difficile l’identification des caractéristiques d’intérêt.

Dans ce domaine, les principaux défis auxquels font face les analystes sont de déterminer l’origine d’une photographie numérique, d’identifier la marque, le modèle et l’appareil utilisé pour prendre la photographie et d’établir si l’image a été ajoutée, supprimée ou modifiée.

Mode opératoire normalisé : proposition pour les analystes

Les recherches effectuées par Baltazar Gálvez se concentrent sur l’élaboration d’un mode opératoire normalisé pour identifier la source d’une image à l’aide de trois techniques : l’analyse des métadonnées, l’analyse de la matrice de quantification et l’analyse du Photo Response Non-Uniformity (PRNU, ou bruit spatial fixe sous illumination). Ce mode opératoire normalisé comprend les étapes suivantes :

Mode opératoire normalisé - proposition pour les analystes

  • Recommandations initiales

La première étape consiste à créer les conditions idéales pour repérer les renseignements pertinents. On commence par rassembler les preuves (sous format JPEG). Il est préférable de disposer de deux copies pour assurer leur intégrité. Il faut ensuite définir et gérer adéquatement la chaîne de possession, les mesures de protection des preuves et l’appareil mobile utilisé pour l’analyse.

  • Définir la portée des travaux

La deuxième étape se concentre sur l’application méthodologique du mode opératoire normalisé. Puisque la procédure a pour objectif d’identifier la marque, le modèle et l’appareil utilisé pour prendre une photographie numérique, il est essentiel d’organiser l’information pour obtenir de bons résultats. Il est donc nécessaire d’envisager les scénarios suivants : une image liée à un appareil, plusieurs images liées à un seul appareil et plusieurs images liées à plusieurs appareils.

  • Techniques d’analyse et de développement

Techniques d’analyse et de développement

Métadonnées : la première technique d’analyse vise les métadonnées, d’où sont extraits la marque et le modèle de l’appareil analysé. On compare les renseignements obtenus avec ceux d’une image de référence. Les analystes doivent tenir compte d’autres éléments techniques durant ce processus, par exemple la version du logiciel utilisé, les données de géolocalisation ou la date d’acquisition, renseignements qui pourront être corrélés avec d’autres éléments de l’enquête. Bien qu’il s’agisse d’une analyse de base, il est possible que la photographie ait été altérée ou que les métadonnées aient été modifiées. Il est donc nécessaire d’avoir recours à d’autres techniques.

Analyse de la matrice de quantification : encore une fois, il est nécessaire d’utiliser une image de référence pour cette technique afin d’établir une comparaison. Toutefois, dans ce cas, ce sont les matrices de quantification de chaque photographie qui sont calculées et extraites. La matrice de quantification est un ensemble de valeurs utilisées pour représenter une image; le nombre et le contenu de chaque matrice sont vérifiés au moment de l’analyse. Comme dans le cas précédent, si la photographie a été modifiée ou que les appareils utilisés sont de même marque et de même modèle, il est nécessaire d’utiliser un autre type d’analyse, c’est-à-dire celle du PRNU.

Analyse du Photo Response Non-Uniformity (PRNU) : le bruit spatial fixe sous illumination est une caractéristique du capteur d’un appareil photo numérique. Pour cette analyse, il est nécessaire de disposer d’images planes (prises avec l’appareil sous les mêmes conditions d’éclairage et sans décor), ce qui permet de générer un modèle de référence du PRNU. Le modèle du PRNU de l’image à analyser est ensuite obtenu et mis en corrélation avec le modèle de référence. Une image numérique prise avec l’appareil analysé obtiendra une valeur de corrélation d’environ 1, tandis que les images qui n’ont pas été prises avec cet appareil auront des valeurs de corrélation de 0, ou même des valeurs négatives.

Analyse du Photo Response Non-Uniformity

  • Rapport de synthèse et rapport technique

La dernière étape de la procédure consiste à produire un rapport de synthèse et un rapport technique présentant le résultat des comparaisons, selon le mode opératoire normalisé. Pour ce faire, les renseignements obtenus grâce aux différentes techniques d’analyse utilisées sont consignés dans un document.

Techniques et outils d’analyse pour les analystes en informatique judiciaire

Dans le cadre de son exposé, M. Baltazar Gálvez a présenté l’outil « AnálisisJPEG », qui permet de comparer automatiquement des métadonnées et des matrices de quantification. Pour conclure sa présentation, il a affirmé que « la procédure et les techniques proposées visent à venir en aide aux analystes. » Pour cette raison, un examen approfondi doit être effectué afin de pouvoir utiliser les renseignements comme preuve dans le contexte d’une enquête judiciaire, ou simplement pour établir la responsabilité.

Il a terminé en recommandant d’étendre le champ d’application des techniques existantes et d’élaborer de nouvelles méthodes d’analyse d’imagerie numérique sur le terrain. Il a aussi mis l’accent sur l’interprétation et la corrélation avec d’autres éléments d’enquête des différentes techniques et outils utilisés, afin de permettre aux analystes de tirer des conclusions définitives.