Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1026 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Rendre un fichier audio infalsifiable ... sous Linux

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Rendre un fichier audio infalsifiable ... sous Linux

n°1297036
xrms
Posté le 22-11-2011 à 18:51:27  profilanswer
 

Bonjour,
 
Je pose ma question ici car je ne sais vraiment pas où et comment chercher une solution à mon problème.
 
*** contexte :
J'ai un PC Linux qui fait tourner une application d'enregistrement de conversations audio. Ces conversations enregistrées peuvent servir de preuve judiciaire et il ne faut donc pas qu'elles soient modifiables.
 
La solution que j'utilise actuellement est la suivante : il y a un logiciel qui crée des fichiers .wav avec l'aide du programme arecord. Le logiciel d'enregistrement en question tourne sur un compte utilisateur distinct de celui sur lequel est loggué l'utilisateur du PC (j'utilise donc la gestion des droits de Linux pour restreindre l'accès aux fichiers .wav créés).
Bref, tout ceci fonctionne très bien et seul l'administrateur système peut aller modifier ces fichiers.
 
*** probleme :
J'ai un client un peu casse-pieds qui veut que les fichiers audio soient "infalsifiables" (en clair, il voudrait que _personne_ ne puisse modifier les enregistrement des conversations ; pas même ceux qui ont les mots de passe root - chose qui me semble absolument impossible).
 
Quelque chose d'un peu plus réaliste que je pourrais proposer, c'est qu'on puisse dire si oui ou non un fichier a été modifié après coup par un utilisateur malveillant. Je pensais à une solution de "watermark", ie je met une emprunte dans chaque fichier .wav généré et pour dire si oui ou non le fichier est authentique, je regarde si cette emprunte est toujours là.
 
*** questions :
Quelqu'un a t'il une meilleure idée que les "watermark" dans les fichiers .wav pour détecter ou empêcher toute tentative de modification de ces enregistrements ?
Que me conseillez vous comme soft ou librairie pour faire ce que je veux ?
 
Bien sur il faudra que ca marche sous Linux et de préférence un soft ou une lib open-source ;-)
 
Merci pour votre aide ou vos idées !
 
 
P.S. il faut que les fichiers .wav générés soient lisibles par le client - donc pas de solution avec une clef d'encryptage à priori.

mood
Publicité
Posté le 22-11-2011 à 18:51:27  profilanswer
 

n°1297040
o'gure
Modérateur
Multi grognon de B_L
Posté le 22-11-2011 à 19:06:10  profilanswer
 

xrms a écrit :


*** probleme :
J'ai un client un peu casse-pieds qui veut que les fichiers audio soient "infalsifiables" (en clair, il voudrait que _personne_ ne puisse modifier les enregistrement des conversations ; pas même ceux qui ont les mots de passe root - chose qui me semble absolument impossible).


On ne peut pas à moins de stocker le fichier sur un support read-only (gravure cd/dvd par exemple)

xrms a écrit :


Quelque chose d'un peu plus réaliste que je pourrais proposer, c'est qu'on puisse dire si oui ou non un fichier a été modifié après coup par un utilisateur malveillant.


solution 1 : Tu fais un hash du fichier (md5 ou sha par exemple) et tu sauvegardes sur un autre support le résultat (export vers ton client par exemple) tu pourras ainsi déterminer si le fichier est modifié en recalculant le hash ) posteriori

 

solution 2: signature électronique du fichier avec PGP par exemple ou via certificat + exportation du résultat de la signature auprès de ton client

 

Mais bon, y a toujours à un moment donné où il sera possible de recréer un faux fichier. Dans tous système il y a une part minime de confiance qu'il faut avoir quelque part.

xrms a écrit :


Bien sur il faudra que ca marche sous Linux et de préférence un soft ou une lib open-source ;-)


Les deux solutions précisées sont supportées par de nombreux soft open source portable sur différentes plateformes.

xrms a écrit :


P.S. il faut que les fichiers .wav générés soient lisibles par le client - donc pas de solution avec une clef d'encryptage à priori.


Pas besoin de chiffrement, la signature numérique suffit et laisse le fichier lisible

Message cité 1 fois
Message édité par o'gure le 22-11-2011 à 19:22:32
n°1297042
xrms
Posté le 22-11-2011 à 19:20:41  profilanswer
 

Merci pour ta réponse.
 

o'gure a écrit :


solution 1 : Tu fais un hash du fichier (md5 ou sha par exemple) et tu sauvegardes sur un autre support le résultat, tu pourras ainsi déterminer si le fichier est modifié en recalculant le hash ) posteriori
 
solution 2: signature électronique du fichier avec PGP par exemple ou via certificat


Solution 1 :
J'avais bien pensé à faire un md5sum ou autre sur le fichier, mais la faille est dans le stockage de ce md5sum : il va être stocké sur le PC qui fait l'enregistrement, donc modifiable par l'utilisateur malveillant.
Une solution serait de stocker ca à l'extérieur, mais pour des raisons de sécurité justement, le PC d'enregistrement audio n'est pas relié au net (tout au plus il est relié sur un petit réseau interne).
 
Solution 2 :
Je pense que le problème est similaire : qu'est ce qui empêchera l'utilisateur malveillant d'utiliser la clef PGP pour chiffrer le fichier audio falsifié et ainsi faire croire qu'il est authentique ?

n°1297043
o'gure
Modérateur
Multi grognon de B_L
Posté le 22-11-2011 à 19:26:06  profilanswer
 

J'ai édité  avant de voir ton post.
Comme je disais précédemment donc, tout traitement automatisé repose sur un minima de confiance quelques parts. Même sur un support read-only on fait confiance au support mais on peut toujours le récupérer/le dupliquer en y injectant des modifications.

 

A toi de monter le bon process, d'identifier les chaînons faibles, de calculer le risque :
 - facilité de réalisation (technique)
 - impact
 - nombre de personne pouvant le faire


Message édité par o'gure le 22-11-2011 à 19:26:18
n°1297044
o'gure
Modérateur
Multi grognon de B_L
Posté le 22-11-2011 à 19:27:36  profilanswer
 

Ces méthodes n'empêchent nullement la fraude mais permettent de rendre plus dur, moins fréquent, moins impactant, les attaques.
 
A toi de faire comprendre cela au client.

n°1297045
bardiel
Debian powa !
Posté le 22-11-2011 à 19:29:02  profilanswer
 

C'est un peu annexe, mais il y a 2 trucs qui me tracassent (étant dans la partie, à petit niveau [:louis de funes] )

xrms a écrit :

Ces conversations enregistrées peuvent servir de preuve judiciaire
(...)
*** probleme :
J'ai un client un peu casse-pieds qui veut que les fichiers audio soient "infalsifiables" (en clair, il voudrait que _personne_ ne puisse modifier les enregistrement des conversations ; pas même ceux qui ont les mots de passe root - chose qui me semble absolument impossible).


Quel "client" as-tu ? [:jean-guitou]  
 
Après le truc qui me "tue", c'est la fourniture obligatoire d'un wav, alors qu'un flac serait mieux et tout aussi lisible :o (VLC est utilisé en Gendarmerie et Police Nationale).
 
Pour l'application, voir le post d'o'gure :jap: ou que ton client se rapproche des services techniques (au niveau central (STSI²) au besoin) de la Gendarmerie ou de la Police.
 
Après si tu es aussi dans la partie, et que tu demandes ici, alors c'est pas gagné...


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°1297048
xrms
Posté le 22-11-2011 à 19:44:45  profilanswer
 

o'gure a écrit :

Ces méthodes n'empêchent nullement la fraude mais permettent de rendre plus dur, moins fréquent, moins impactant, les attaques.
 
A toi de faire comprendre cela au client.


Je pense que tu as raison ; de toute facon même dans ma solution avec les "watermark", le problème est le même, un utilisateur (vraiment) malveillant pourra recreer ces "watermark". Après l'idée que j'avais c'était plus de dire que personne n'était au courant de ces "traces" dans le fichier ... (oui je sais, c'est pas terrible)
 
 

bardiel a écrit :

C'est un peu annexe, mais il y a 2 trucs qui me tracassent (étant dans la partie, à petit niveau [:louis de funes] )
 
Quel "client" as-tu ? [:jean-guitou]  
 
Après le truc qui me "tue", c'est la fourniture obligatoire d'un wav, alors qu'un flac serait mieux et tout aussi lisible :o (VLC est utilisé en Gendarmerie et Police Nationale).
 
Pour l'application, voir le post d'o'gure :jap: ou que ton client se rapproche des services techniques (au niveau central (STSI²) au besoin) de la Gendarmerie ou de la Police.
 
Après si tu es aussi dans la partie, et que tu demandes ici, alors c'est pas gagné...


 
Alors le client je peux pas le dire, mais en gros, j'enregistre des conversations entre des utilisateurs et des opérateurs, et en cas de litige (par exemple plainte de l'utilisateur parce que le boulot a été mal fait), le client est susceptible de ressortir l'enregistrement de la conversation en tant que preuve de ce qui a été dit.
A noter que le client n'est pas forcément francais ;)
 
Et pour le choix du wav, rien n'est imposé, c'est juste que c'est très facile de faire des fichiers wav ! (et pour l'enregistrement de conversations ca ne prend pas spécialement beaucoup de place).
 
Et non, je ne suis pas de la partie.

n°1297049
o'gure
Modérateur
Multi grognon de B_L
Posté le 22-11-2011 à 19:51:40  profilanswer
 

bardiel a écrit :

Quel "client" as-tu ? [:jean-guitou]  


Centre d'appel, samu (qui est en fait un centre d'appel), c'est pas forcément important qui est le client.
Pour ce qui du wave, c'est le format brut. Une compression/transcodage induit une modification de la preuve. Faudrait voir au niveau législation l'impact sur la "recevabilité" de la preuve.

n°1297052
bardiel
Debian powa !
Posté le 22-11-2011 à 20:26:10  profilanswer
 

xrms a écrit :

Alors le client je peux pas le dire, mais en gros, j'enregistre des conversations entre des utilisateurs et des opérateurs, et en cas de litige (par exemple plainte de l'utilisateur parce que le boulot a été mal fait), le client est susceptible de ressortir l'enregistrement de la conversation en tant que preuve de ce qui a été dit.
A noter que le client n'est pas forcément francais ;)


Ah, dans ce cas il faudra adapter la solution aux critères du ministère de la justice local, et autant (par exemple) les anglais et les allemands sont assez stricts (et je ne parle même pas des pays nordiques), autant au Maroc, Espagne ou Roumanie c'est folklo (limite tu débarquerais avec un enregistrement gravé dans un bout de bois ça serait considéré recevable  [:goumite:2] )
 
Il existe aussi des enregistreurs numériques (fiche 2011) avec horodatage (interne et/ou calibré par radio) comme solution... notamment utilisés dans les centres d'appels de la Gendarmerie et de certains centraux des pompiers en province (site de la boîte)
Le système de gestion fonctionne avec Wine, même s'il n'est requis qu'un XP.
 
@o'gure : suivant le "client", il (le client ou xrms) aurait pu se renseigner directement auprès des instances précédemment citées.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°1297053
Fork Bomb
Obsédé textuel
Posté le 22-11-2011 à 21:00:34  profilanswer
 

Gravure sur CD du fichier et de son empreinte SHA/MD5.
Stockage au choix chez un avocat / homme de loi ou dans une banque suisse.


---------------
Décentralisons Internet-Bépo-Troll Bingo - "Pour adoucir le mélange, pressez trois quartiers d’orange !"
mood
Publicité
Posté le 22-11-2011 à 21:00:34  profilanswer
 

n°1297062
Profil sup​primé
Posté le 22-11-2011 à 22:10:51  answer
 

Fork Bomb a écrit :

Gravure sur CD du fichier et de son empreinte SHA/MD5.
Stockage au choix chez un avocat / homme de loi ou dans une banque suisse.


 
+1, avec SHA256 ou supérieur ;) le md5 n'est plus considéré sécurisé depuis longtemps.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Rendre un fichier audio infalsifiable ... sous Linux

 

Sujets relatifs
Openoffice calc et fichier .csvShell linux commande scp
Serial<>USB ne marche plus sous Linux (marche encore sous Windows..)Répertoire commun windows/linux
Routeur sous linux USBpmugin Shockwave player et lite linux
Corruption de fichier .PHP?Adhésion Linux Foundation et réduction HP/Dell (+ lenovo à l'étranger)
Linux en progression : )Linux : Clé USB en ext3
Plus de sujets relatifs à : Rendre un fichier audio infalsifiable ... sous Linux


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR