Conteneurs cachés, plus dur sera la forensic…

La méthode décrite ici permet de cacher un fichier crypté à l’aide du logiciel Truecrypt à l’intérieur d’une vidéo quicktime (sorte de stéganographie). Elle est rendue possible grâce au format quicktime qui permet d’inclure des datas avant le flux video (il faut juste changer un checksum à la fin du fichier). L’outil présenté donne, à la fin du processus, un fichier « something.mp4 » qui se lira comme une vidéo avec n’importe quel lecteur (VLC, Media player, etc) et qui aura la possibilité de se « monter » avec Truecrypt !

Évidemment, il faut faire attention à certaines choses, un fichier de mauvaise qualité qui dure 30 secondes qui « pèse » 3 Go, c’est forcément suspect …

Sinon les seuls moyens de repérer une telle imbrication sont :

  1. Analyse de bitrate du fichier vidéo
  2. Checker la répétition des 64 premiers Ko dans le fichier
  3. Trouver un moyen de vérifier l’espace « inutilisé » (en fait le volume Truecrypt) dans le fichier quicktime

En savoir plus : KeyJ