Les chercheurs ont démontré comment un nouvel outil peut découvrir du texte expurgé à partir de documents, exposant potentiellement des informations sensibles à des acteurs néfastes.
L’outil, appelé non rédigé, a été publié par Bishop Fox aujourd’hui (15 février). Pour démontrer que la pixellisation est « un moyen inutile, mauvais, peu sûr et infaillible de faire fuir vos données sensibles », il a été conçu pour prendre du texte pixelisé expurgé et l’inverser dans sa révélation du « texte clair » soi-disant caché.
Dans un article de blogle chercheur principal Dan Petro, qui a écrit l’outil, a expliqué qu’il avait été créé afin de relever un défi lancé par Jumspec, et également en raison de l’utilisation de la pixellisation étant sa « bête noire ».
Précaire
Bishop Fox a une « politique de longue date » de ne supprimer les informations qu’à l’aide de barres noires, ce qui, selon la société, est la seule technique de manière sécurisée.
« Parfois, les gens aiment être intelligents et essayer d’autres techniques de rédaction comme le flou, le tourbillon ou la pixellisation », a écrit le chercheur principal Dan Petro. « Mais c’est une erreur. »
Il a dit La gorgée quotidienne: « Ce n’est tout simplement pas un moyen sûr de supprimer des informations », a-t-il expliqué. « Mais vous le voyez tout le temps sur Internet, souvent par des journalistes.
« De toute évidence, la communauté devait être convaincue que la pixellisation est mauvaise, et un outil pour ne pas expurger est la meilleure façon de le faire. »
L’outil
Petro a expliqué qu’en supposant que l’on connaisse déjà le type de police des informations d’origine et du texte expurgé, « puisque l’attaquant dans un scénario réaliste aurait probablement reçu un rapport complet », son outil peut être utilisé pour contourner les problèmes courants lorsqu’il s’agit de révélant des informations expurgées.
Ces problèmes incluent le débordement des caractères, lorsqu’une lettre partage plus d’une colonne de pixilation, les largeurs variables entre les lettres et l’incohérence des polices, ce qui peut rendre difficile l’utilisation d’un algorithme.
Petro a écrit : « … il existe un outil appelé Dépix qui essaie de faire exactement cela grâce à un processus vraiment intelligent consistant à rechercher quelles permutations de pixels auraient pu aboutir à certains blocs pixélisés, étant donné un Séquence de De Bruijn de la bonne police.
« J’aime beaucoup la théorie de cet outil », a-t-il déclaré, mais a ajouté qu’il « ne fonctionne pas aussi bien dans la pratique que vous le souhaiteriez ».
Le billet de blog contient plus de détails techniques sur la façon dont l’outil Unredacter a été construit, ainsi qu’une preuve de concept.
Avertissement
Petro a déclaré que l’outil est destiné à être utilisé par « éventuellement des équipes rouges », mais a ajouté qu’il « est principalement une preuve de concept pour faire comprendre un point – ne jamais expurger le texte avec autre chose que des barres noires recouvrant entièrement le texte » .
Le chercheur a ajouté: «Les données expurgées peuvent être presque n’importe quoi, des mots de passe dans un rapport de test d’intrusion aux noms de victimes dans un rapport criminel.
« Les conséquences de la suppression non sécurisée d’informations dépendent fortement du contexte, mais généralement, quelqu’un supprime des informations parce qu’il ne veut pas qu’elles soient lues. »
