Méthodes de Criminalistique Numérique Multimédia PDF
Document Details
Uploaded by CostEffectivePulsar40
UNIGE
Tags
Summary
Ce document présente un aperçu des techniques de la criminalistique numérique multimédia. Il explique les méthodes actives et passives d'authentification multimédia pour détecter les modifications et analyser des contenus numériques.
Full Transcript
1. Principle of Digital Forensics: Consiste à investiguer ce qu’il s’est passé après un incident. On essaie de répondre aux questions qui, quoi,quand, où, comment, pourquoi? Les principales étapes sont l’acquisition, l’identification, l'évaluation, la présentation. - Acquisition :...
1. Principle of Digital Forensics: Consiste à investiguer ce qu’il s’est passé après un incident. On essaie de répondre aux questions qui, quoi,quand, où, comment, pourquoi? Les principales étapes sont l’acquisition, l’identification, l'évaluation, la présentation. - Acquisition : 1. Scène physique 2. Objectif : Récupérer le plus possible d’informations sans altérer la scène tout en documentant le maximum. - Identification 1. Toujours travailler sur des copies. 2. Identifier les données qui peuvent être récupérées en utilisant des outils et logiciels. 3. Le processus doit être répétable “from scratch” - Evaluation des données et application des méthodologies correctes - Présentation des preuves trouvées 2. Digital Multimedia Forensics: Definition, Classification: La criminalistique multimédia examine l'authenticité et l'origine du contenu numérique, en classant souvent les techniques en méthodes actives (intégration d'identifiants) et passives (analyse des traces intrinsèques) pour l'identification de la source et la détection de la falsification. 3. Active and Passive Approaches for Multimedia Authentication: - Active Approaches: Intégrer des identifiants uniques (par exemple, filigrane, codes-barres 2D) pour assurer l'authenticité. 1. Fragile : indique toute modification de l'image 2. Robust : protège le contenu et les modifications générales - Passive Approaches: Analyse du bruit, des artefacts de compression ou des corrélations au niveau des pixels afin d'identifier la source du contenu ou les manipulations. 1. Avantages : - Il n'est pas nécessaire d'intégrer un filigrane ou de générer une signature du côté de la source. - Pas besoin d'une norme - Pas besoin de connaissances a priori sur le dispositif d'acquisition. 4. Image Generation Pipeline: Le pipeline de l'image comprend la capture de la lumière, sa conversion en signaux électriques (capteurs CCD (coûteux, méthodes de fabrication spéciales) ou CMOS (peu coûteux, utilisés dans de nombreux cas), le traitement au format numérique et l'amélioration par des algorithmes avant le stockage de l'image finale. 5. Camera Identification Based on Photo Response Non-Uniformity (PRNU): PRNU capture les imperfections du capteur comme une empreinte digitale, permettant l'identification de l'appareil photo grâce à l'analyse du bruit spécifique à chaque capteur. Afin de pouvoir identifier la caméra utilisée (modèle précis) pour capturer une image, il est nécessaire de calculer le PRNU de l’image en question et de la comparer avec l’ensemble des PRNU connues et en déduire la source. I(x, y) = I_0(x, y) + I_0(x, y)K(x, y) + N(x, y). K : facteur multiplicatif N : Bruit 6. Media Forensics Based on In-Camera Fingerprints: Utilise des modèles basés sur les capteurs, comme le PRNU, pour vérifier si une caméra spécifique a capturé une image en faisant correspondre les signatures de bruit propres à chaque capteur. Cette signature est intrinsèque à la caméra et non aux possibles retouches. De cette façon, même si quelqu’un affirme que l’image n’est pas retouchée et prise avec une certaine caméra, il est possible de garantir si la caméra mentionnée est la bonne ou non. 7. Application of Geometrical Fingerprints in Digital Forensics: Les empreintes géométriques analysent les distorsions causées par les lentilles ou les angles de prise de vue spécifiques, ce qui permet d'identifier le dispositif de prise de vue et de détecter les altérations des relations spatiales. Aussi, il est nécessaire de vérifier si des éléments sont dupliqué ou coupé, si les ombres et hautes-lumières sont correctement placées en fonction de la source de lumière et si les aberrations chromatiques sont correctes ou non. 8. Out-Camera Fingerprints in Digital Forensics: Il s'agit notamment des empreintes digitales laissées par le traitement logiciel ou les caractéristiques de l'empreinte plutôt que par le matériel, utilisées pour détecter les sources de documents imprimés ou d'images éditées. Ces modifications peuvent être des filtres appliqués à l’image comme un flou ou ajustement de contraste, une transformation géométrique, compression, etc. 9. Principles of Image JPEG Compression: La compression JPEG réduit la taille de l'image en supprimant la redondance psychovisuelle et en minimisant la redondance statistique grâce au traitement des blocs basé sur la DCT, à la quantification et au codage entropique -> meilleure qualité visuelle pour la même taille de fichier 10. JPEG Compression: General Compression Scheme: JPEG transforme les données spatiales dans le domaine des fréquences à l'aide de la DCT, applique la quantification pour compresser les données, puis utilise le codage entropique (RLC/VLC) pour un stockage efficace. 11. JPEG Compression: Sources of Redundancies: Le JPEG exploite les redondances spatiales, spectrales et psycho visuelles des images, en se concentrant sur la sensibilité réduite de l'œil humain aux détails et aux couleurs à haute fréquence. - Statistiques (corrélations) 1. Redondance spatiale : corrélation entre des pixels voisins 2. Redondance spectrale : corrélation entre les composantes de la couleur 3. Redondance temporelle : corrélation entre des frames consécutives - Psychovisual (perception) 1. Redondance spatiale : perception de l’oeil humain pour les petits détails 2. Redondance spectrale : comment l’oeil perçoit les couleurs 3. Redondance temporelle : changement rapide entre des frames consécutives 12. JPEG Compression: Luminance and Chrominance Channels: JPEG sépare la luminance (Y) de la chrominance (Cb, Cr), en compressant plus fortement les données de couleur pour réduire la taille des fichiers sans affecter de manière significative la qualité perçue. 13. JPEG Compression Artifacts: Les artefacts JPEG comprennent le blocking (bords des blocs 8x8), ringing (halos des bords) ,la graininess, et blurring, qui deviennent plus visibles lorsque les facteurs de qualité sont plus faibles. 14. Detection of Double JPEG Compression: La double compression crée des modèles statistiques détectables dans les coefficients DCT, qui diffèrent des artefacts de la compression simple et peuvent être identifiés à l'aide de l'analyse de l'histogramme DCT. Les différences d’histogrammes sont claires et identifiables simplement. Lors de l’utilisation d’un facteur de qualité plus faible, les coefficients seront combinés et une perte d’information sera induite. Dans le cas contraire, les coefficients seront séparés et l'histogramme aura une largeur bien plus importante. QF1 > QF2 : Séparés (coeff) QF1 < QF2 : Combinés (coeff) (pics) 15. Image Editing Forensics: Inconsistency in Light: Examine la cohérence de l'éclairage au sein d'une image, identifie la falsification via la direction des ombres, les hautes lumières et la direction de l'éclairage. Ces différentes composantes d’analyse sont difficilement analysables par un programme, et sont donc souvent faites par l’humain. 16. Image Editing Forensics: Local Filtering Traces: Le filtrage local ne modifie que certaines parties d'une image, ce qui peut être détecté en examinant la continuité de la valeur des pixels ou les changements brusques à l'endroit où le filtrage a été appliqué. Par exemple, lors de l’effacement d’une partie de l’image, ou la modification d’une zone, des artefacts de compression et une discontinuité de valeurs seront présents à ces endroits. 17. Photo Manipulation with Inconsistent Shadows: Basic Assumptions: Elle suppose que les ombres suivent une direction cohérente de la source lumineuse. Avec ce postulat, il est nécessaire que l’ensemble des ombres soient cohérentes dans l’image avec les sources de lumière, ce qui dans certains cas peut être compliqué à estimer. - Cast Shadow - Attached Shadow 18. Photo Manipulation with Inconsistent Shadows: Cast Shadow: Les ombres portées sont des ombres créées par des objets par rapport aux sources de lumières présentes lors de la capture de l’image. Il est possible de valider ou non la cohérence de ces ombres en créant une droite reliant un point de l’ombre avec son point correspondant sur l’objet, et la comparer avec les autres ombres projetées. De cette façon, si une ou plusieurs droites ne sont pas cohérentes avec les autres, cela indique une possible manipulation. - 𝑛1 * 𝑥 − 𝑛1 * 𝑝 >= 0 - 𝑛2 * 𝑥 − 𝑛2 * 𝑝 >= 0 - nx : normale x, p : point , x coord de la source 19. Photo Manipulation with Inconsistent Shadows: Attached Shadow: Les ombres attachées sont celles qui sont posées sur la surface elle-même. Par exemple les ombres créer par le bord d’un cube sur son côté. Ces ombres sont plus complexes à estimer leurs sources, car moins de moyens de tirer de droites pour la direction. En temps normal, un simple plan à la place d’une droite. - 𝑛 * 𝑥 − 𝑛 * 𝑝 >= 0 -> demi plan 20. Photo Manipulation with Inconsistent Shadows: Mathematical Model: Un modèle mathématique évalue la cohérence des ombres entre les objets, en comparant les angles et les intensités pour détecter les anomalies. 𝑁 * 𝑥 − 𝑁 * 𝑃 >= 0 P : point de départ pour l’ombre N : normales x : coordonnées de l’ombre 21. Traces of Image Editing: Resampling Detection: La région de l'image découpée subit généralement une procédure de redimensionnement et/ou de rotation afin de couvrir les traces de la falsification et de donner à l'image falsifiée finale un aspect plus réaliste. En outre, lors de la procédure de redimensionnement et de rotation, les pixels de la zone d'image modifiée doivent être ré échantillonnés pour s'adapter au nouveau réseau d'échantillons. Par conséquent, la détection du rééchantillonnage peut aider à détecter d'éventuelles falsifications d'images et à localiser des régions découpées suspectes. 22. Traces of Image Editing: Detection of Global Contrast Enhancement : L'amélioration du contraste modifie les valeurs des pixels, souvent identifiables en examinant des composantes haute fréquence inattendues dans le spectre de l'image. Ces modifications de contraste induisent des piques dans l’histogramme de couleurs de l’image en question, qui ne sont en temps normal pas présent. 23. Traces of Image Editing: Detection of Local Contrast Enhancement: Les ajustements localisés sont trouvés en divisant l'image en blocs et en examinant l'histogramme de chaque bloc à la recherche de valeurs de contraste anormales 24. Traces of Image Editing: Histogram Equalization: L'égalisation d'histogramme redistribue les valeurs des pixels, créant une uniformité qui s'écarte des distributions naturelles de l'image, ce qui est détectable dans le modèle d'histogramme. 25. Tampering Detection: Pixel-Based and Format-Based Techniques: Les techniques basées sur les pixels analysent les modèles statistiques de pixels (par exemple, clonage, splice), tandis que les méthodes basées sur les formats se concentrent sur les artefacts de compression et les incohérences comme le blocage JPEG - Pixel Based : - Clonage : les régions clonées peuvent avoir n'importe quelle forme et n'importe quel emplacement - Resampling : introduit des corrélations périodiques spécifiques entre les pixels voisins - Découpage : perturbe les statistiques de Fourier d'ordre supérieur - Statistique : modification des propriétés statistiques des pixels - Format Based : compression avec perte, introduit des artifact 26. Tampering Detection: Camera-Based, Physics-Based, and Geometry-Based Techniques: - Camera-Based: Utilise le bruit du capteur et les filtres de couleur. - Physics-Based: Analyse l'éclairage et les réflexions. - Geometry-Based: Applique des mesures spatiales pour évaluer l'alignement et les dimensions d'un objet