Il est possible de dissimuler des informations dans un emoji ou même dans une simple lettre du clavier. Il existe des outils très simple d'utilisation pour ça. Doit-on craindre des cyberattaques par ce biais ?

À moins que vous soyez particulièrement distrait, vous n'allez pas cliquer sur l'icône d'un programme dont vous ne connaissez pas la provenance et l'installer sur votre ordinateur ou smartphone. Vous savez depuis le temps que c'est presque à coup sûr un malware. Les hackers en sont conscients et c'est pourquoi ils passent leur temps à dissimuler leur logiciel malveillant du mieux qu'ils peuvent. La plupart du temps, ils se servent d'une application en apparence légitime, voire d'un appareil connecté possédant une faille de sécurité.

Mais ils peuvent être plus subtils que ça. L'ingénieur Paul Butler a réussi à cacher des données dans un emoji et, pire, dans une simple lettre du clavier. Ça paraît fou, et c'est pourtant simple sur le papier. L'homme est parti pour cela de la table des caractères Unicode, qui permet l'affichage de centaines de milliers de lettres, chiffres et symbole en les associant à une combinaison du type U+XXXX. Ainsi, U+0067 représente la lettre “g”. Ensuite, il s'est intéressé aux “sélecteurs de variation“.

Dissimuler des informations dans un emoji se fait en quelques clics

Les sélecteurs de variation sont utilisés par l'Unicode pour modifier la représentation du caractère qui les précède. Ça permet par exemple d'afficher des minuscules ou des majuscules. Paul Butler a alors créé un programme qui converti des données tapées par vos soins en sélecteurs de variation. Comme ces derniers sont conservés lors d'un copier/coller, vous pouvez cacher un message secret dans la lettre ou l'emoji de votre choix puis vous en servir dans un message.

Lire aussi – Cette cyberattaque fait chanter les pixels de votre écran pour voler vos données personnelles

Essayez par vous-même à l'aide de cet outil en ligne très intuitif, c'est saisissant. Maintenant la question est : peut-on utiliser cette technique à des fins frauduleuses ? La réponse est non, du moins pour ce qui est des cyberattaques puisque cette méthode ne permet pas d’injecter du code malveillant. En revanche, elle peut servir à créer des filigranes invisibles. Imaginez que vous receviez un texte confidentiel et que vous le postiez sur Internet, il serait possible de remonter jusqu'à vous par ce biais. Les leakers sont prévenus.