Criminalistique des images numeriques

F. RETRAINT
PST Cyber Securite, UMR ICD CNRS
Kenitra, CISSI le 12/03/2014
Sommaire
1
Presentation generale et etat de lart
2
Methodolgie proposee
3
1
er
exemple : identication de lappareil dacquisition
4
2
eme
exemple : detection de la steganographie dune image brute
5
Conclusion et perspectives
Sommaire
1
Presentation generale et etat de lart
2
Methodolgie proposee
3
1
er
exemple : identication de lappareil dacquisition
4
2
eme
exemple : detection de la steganographie dune image brute
5
Conclusion et perspectives
Motivation des travaux
Avec linformatique grand public de nombreux supports numeriques
de types images et videos circulent un peu partout dans le monde.
La falsication et lalteration de ces supports est devenue une realite
incontournable.
Les modications peuvent :
etre relativement anodines (retoucher lapparence dune personne
pour lui enlever des imperfections cutanees),
etre problematiques (faire disparaitre les defauts dun objet en vente
en ligne),
avoir de graves repercussions sociales (montage presentant la
rencontre improbable de personnalites politiques).
Recherche de preuves numeriques
L`ere numerique a permis `a tout utilisateur de falsier des medias
lutilisation dun media comme preuve est un probl`eme : il faut
pouvoir certier son integrite.
Ces travaux proposent de certier lintegrite dun media au moyen
dun test dhypoth`eses statistique qui verie que certains param`etres
physiques re`etent la coherence intrins`eque du processus
dacquisition.
?!?
Image integre ? Image conforme ?
1
er
type de falsications : la steganographie
Communication invisible
La steganographie permet de cacher lexistence dun message qui
est alors dicilement decelable.
Linformation est souvent cachee dans les bits de poids faibles des
pixels de limage.
Image saine Image steganographiee
2
eme
type : falsications de la structure
Quelques exemples de modications
Incrustation dun objet dans une sc`ene,
Retouche locale dune image,
Suppression dun objet de la sc`ene,
Double compression du support numerique.
Propagande Coreenne (09/04/13) Propagande Coreenne (11/04/13)

Etat de lart du forensics

Classication des travaux de Forensics
1
Methodes basees sur les proprietes physiques des medias ont etes
proposees (aberrations des lentilles, incoherence des ombres, etc.)
exploitation ad-hoc des elements de regularite ;
Les proprietes statistiques des detecteurs/ou classieurs sont
inconnues.
2
Methode ad-hoc fondee sur les proprietes dune falsication :
abilite inconnue, depend grandement de la falsication ciblee.
3
Beaucoup de detecteurs reposent sur lapprentissage supervise :
permet de saranchir dun mod`ele dimage ;
caracteristiques diciles `a choisir et performances inconnues.

Etat de lart
Limites des autres approches
Peu detudes statistiques sur les methodes de detection proposees.
Lexpression des probabilites derreur est obtenue empiriquement,
Borne sur la puissance des tests inconnue,
Lutilisation dun mod`ele precis des medias issu de la physique
dacquisition na pas ete proposee.
Principaux enjeux des travaux
Les performances des tests doivent etre analytiquement connues
pour avoir une valeur probatoire.

Eliminer les nombreux param`etres de nuisances (contenu des images,

conditions de prise de vue et quantication des pixels) qui
interf`erent avec les traces des falsications.
Sommaire
1
Presentation generale et etat de lart
2
Methodolgie proposee
3
1
er
exemple : identication de lappareil dacquisition
4
2
eme
exemple : detection de la steganographie dune image brute
5
Conclusion et perspectives
Methodologie proposee
Mod`eliser lesp`erance et la variance des pixels de limage et
eventuellement la falsication.
Utiliser la theorie des tests statistiques pour maximiser et matriser
la puissance de detection et .
Alice
Wendy
Image saine C
Falsication
Image F
Falsiee

Z=
_
C?
F?
Canal
public
Diusion de F
j
*
&%
'$
R
i
n
f
o
r
m
a
t
i
o
n
s
m
o
d
`e
l
e
Modelisation des images
Problematique : construire des mod`eles parametriques exploitablent
dans le cadre de tests dhypoth`eses statistiques.
Proposer des mod`eles pour les images brutes (format Raw), les
images traitees (format TIFF) et les images compressees (format
JPEG).
Sommaire
1
Presentation generale et etat de lart
2
Methodolgie proposee
3
1
er
exemple : identication de lappareil dacquisition
4
2
eme
exemple : detection de la steganographie dune image brute
5
Conclusion et perspectives
Mod`ele physique dune image raw
Un pixel dune image naturelle brute est modelise comme suit :
z
i
a
_
P(
i
Np
i
+ Nt
i
)
_
a : gain damplication

i
: facteur de conversion photons-electrons
Np
i
: nombre de photons incidents
Nt
i
: nombre delectrons obscurs generes par le bruit thermique
Mod`ele simplie dune image brute
Mod`ele simplie de limage naturelle :
z
i
N(
i
, a
i
+ b)
Formulation du probl`eme
Statistiquement, le probl`eme didentication du mod`ele de lappareil
photographique se traduit comme suit :
_
H
0
: z
i
P

i
,a
0
,b
0
= N(
i
,
2
i,0
) i = 1, . . . , M
2
i,0
= a
0

i
+ b
0
H
1
: z
i
P

i
,a
1
,b
1
= N(
i
,
2
i,1
) i = 1, . . . , M
2
i,1
= a
1

i
+ b
1
Objectif : tester si limage inspectee provient dun appareil photo 0 ou
dun appareil photo 1.
Param`etres informatifs : (a
0
, b
0
) et (a
1
, b
1
) supposes prealablement
connu
Param`etres de nuisance :
i

i
connus
Le rapport de vraisemblance (RV) peut etre simplie sous la forme :
log

1
(z
i
) =

2
i,1

2
i,0

2
i,1

2
i,0
(z
i

i
)
2
La moyenne et la variance sous chaque hypoth`ese sont donnees par
_

_
E
0
_
log

1
(z
i
)
_
= 1

2
i,0

2
i,1
E
1
_
log

1
(z
i
)
_
=

2
i,1

2
i,0
1
Var
0
_
log

1
(z
i
)
_
= 2
_
1

2
i,0

2
i,1
_
2
Var
1
_
log

1
(z
i
)
_
= 2
_

2
i,1

2
i,0
1
_
2
(1)

i
connus
Le rapport de vraissemblance est normalise :
log

1
(Z) =
log

1
(Z) m
(1)
0
_
v
(1)
0
Le test du RV est deni par la fonction de decision suivante :

1
=
_
H
0
si log

1
(Z) =

M
i=1
log

1
(z
i
) <

0
H
1
si log

1
(Z) =

M
i=1
log

1
(z
i
)

0
Le seuil de decision et la puissance sont donnes par :

0
=
1
(1
0
)

1
= 1
_
_
m
(1)
0
m
(1)
1
+

0
_
v
(1)
0
_
v
(1)
1
_
_

i
inconnus
Le test du RV Generalise (RVG) est propose comme suit :

2
(Z) =
_
H
0
si log

2
(Z) =

M
i=1
log

2
(z
i
) <

0
H
1
si log

2
(Z) =

M
i=1
log

2
(z
i
)

0
o` u
i
est remplace par son estimateur de maximum de vraisemblance :

2
(z
i
) =
sup

i
P

i
,a
1
,b
1
sup

i
P

i
,a
0
,b
0
=
P

i
,a
1
,b
1
P

i
,a
0
,b
0
Estimation de
i
:
Transformation en ondelettes de limage : obtention dune image de
details et une image basse frequence.
Segmentation de limage basse frequence en zones homog`enes o` u les
pixels sont i.i.d
Resultats numeriques
0 0.2 0.4 0.6 0.8 1
0.2
0.4
0.6
0.8
1
50 pixels, images reelles
100 pixels, images reelles
200 pixels, images reelles
50 pixels, theorie
100 pixels, theorie
200 pixels, theorie

0
)
Sommaire
1
Presentation generale et etat de lart
2
Methodolgie proposee
3
1
er
exemple : identication de lappareil dacquisition
4
2
eme
exemple : detection de la steganographie dune image brute
5
Conclusion et perspectives
Modelisation de la steganographie
Modications dues `a la steganographie par substitution de LSB
En denissant R le taux dinsertion (nombres de bits caches par
pixel), la distribution Q
R

n
du stego-pixel s
n
est :
q
R

n
[k] = P[s
n
= k|
n
,
n
, R] =
_
1
R
2
_
p

n
[k] +
R
2
p

n
[

k]
o` u

k est lentier k dont le LSB est inverse

k = k + (1)
k
.
La distribution pixel z
n
est donc caracterisee par :
z
n
N(
n
, a
n
+ b)
Param`etres connus
Test du rapport de vraissemblance
Le probl`eme de la detection de steganographie est de choisir entre :
_
H
0
= {z
n
P

n
, n {0, . . . , N}}
H
1
= {z
n
Q
R

n
, n {0, . . . , N} , R > 0}
Le test le plus puissant veriant P
H
0
[(Z) = H
1
]
0
est le test
R
du rapport de vraisemblance (RV) :

R
:
R
(Z) =
N

n=1

R
(z
n
) =
N

n=1
log
_
q
R

n
[z
n
]
p

n
[z
n
]
_
H
0

H
1

0
o` u

0
est la solution de lequation P
H
0
[
R
(Z)

0
] =
0
.
Resultats du RV
Solution
On peut montrer que
R
(Z) peut secrire :

R
(z
n
) =

N
N

n=1
(z
n

n
)(z
n
z
n
)

2
n
avec
1

2
=
1
N

2
n
On retrouve le test du WS (Weighted-Stego) de Jessica Fridrich
Generalisation du test du rapport de vaissemblance
En pratique
n
et
n
ne sont pas connus. Il est donc necessaire de
construire des estimateurs des variables pour la mise en oeuvre du
rapport de vraissemblance generalise.
Modelisation de la sc`ene imagee
x
y

k
(x)
0 200 400 600
0
x
(x, y
k
)
100
200
Modelisation de lesperance
(param`etre de nuisance)
Lesperance des pixels (contenu des images) est un des parametres
de nuisance pour lequel une modelisation parametrique precise est
necessaire,
Lesp`erance est mod`elisee par la somme de zones homog`enes et de
hedges ltres.
Modelisation des param`etres de nuissance
Resulats numeriques sur des images clippees
Sommaire
1
Presentation generale et etat de lart
2
Methodolgie proposee
3
1
er
exemple : identication de lappareil dacquisition
4
2
eme
exemple : detection de la steganographie dune image brute
5
Conclusion et perspectives
Contributions
Construction de tests statistiques permettant lidentication de
lappareil dacquisition dune image donnee (compressee ou non),
Construction de tests de la conformite dune image compressee
(Raw, TIFF) ou non compressee (format JPEG),
Exploitation de la methodologie pour le controle dintegrite des
images dans un cadre supervise.
Exploitation de la methodologie pour la construction de detecteur
dinformations cachees (plusieurs formats dinsertion de
linformation)
En 2013 et 2014 : publication de ces travaux dans 11 revues (impact
factor superieur `a environ 2) et 3 brevets deposes.
Perspectives
Controle dintegrite des images dans un cadre non supervise,
Extention des travaux `a la video,
Avez-vous des questions ?