Précautions lors du partage anonyme de fichiers
Dans les activités qui nécessitent l'anonymat, le partage de fichiers arrive fréquemment.
Tracts, images, vidéos, déclarations, consignes de participation, listes de noms, plans de lieu, documents comptables, données filmées. Quand ces éléments sont partagés, des informations liées à l'anonymat et à la sécurité des participants circulent avec eux.
Même si l'on pense avoir partagé anonymement, l'identité ou les relations peuvent devenir visibles à travers les noms de fichiers, les créateurs, les comptes cloud, l'historique de partage, les métadonnées et la synchronisation des contacts.
Pour le partage de fichiers, on vérifie non seulement le contenu, mais aussi le trajet de partage.
Informations qui restent dans les fichiers
Les fichiers conservent des informations autres que leur contenu.
Pour une image, la date de prise de vue et les informations de localisation peuvent poser problème ; pour un document, le créateur et l'historique des modifications ; pour un PDF, les annotations et le logiciel de création ; pour une vidéo, le son et l'arrière-plan.
| Fichier | Informations à vérifier |
|---|---|
| Image | GPS, date de prise de vue, arrière-plan, reflets |
| Vidéo | Visages, voix, sons d'arrière-plan, lieu de tournage |
| Créateur, annotations, informations intégrées | |
| Document Office | Historique des modifications, commentaires, créateur |
| Fichier compressé | Noms de fichiers internes, structure des dossiers |
Avant le partage, on vérifie les noms de fichiers et les métadonnées.
Dans la vérification des fichiers, il est important de ne pas juger seulement par l'extension. Même pour un même PDF, les informations qui restent diffèrent selon qu'il a été créé à partir d'une image, exporté depuis un document Office ou numérisé. Même pour les images, les points à vérifier changent entre une photo prise avec un smartphone, une capture d'écran, une image retouchée et une image enregistrée depuis un réseau social.
Les noms de fichiers sont aussi des informations faciles à manquer. Ils peuvent contenir non seulement des noms directs comme NomReel_demande.pdf, mais aussi un nom de projet, un nom de service, une date, un nom d'événement ou un chemin d'enregistrement de l'appareil. On vérifie le nom de fichier visible par le destinataire, les noms de dossiers dans les fichiers compressés et les noms affichés dans le cloud.
Risques du partage cloud
Le partage cloud est pratique, mais il demande de la prudence pour un partage anonyme lié à une activité.
Les comptes en nom réel, les noms de propriétaire, les destinataires du partage, l'historique de consultation, l'historique de modification et les commentaires peuvent être visibles.
| Information cloud | Risque |
|---|---|
| Nom du propriétaire | Un nom réel ou un compte habituel est visible |
| Destinataires du partage | On voit qui est relié à qui |
| Historique de consultation | Qui a ouvert le fichier et quand reste enregistré |
| Historique de modification | Les créateurs et collaborateurs deviennent visibles |
| Commentaires | Les rôles et conversations internes restent |
La règle de base est de ne pas envoyer depuis un cloud en nom réel utilisé au quotidien les fichiers que l'on veut partager anonymement.
Dans le partage cloud, on peut voir non seulement le fichier lui-même, mais aussi les informations autour de la page de partage. Cela inclut le nom du propriétaire, l'icône, l'adresse e-mail, le nom d'organisation, le nom du dossier partagé, d'autres fichiers, les commentaires, l'historique de modification et l'historique de consultation. Même si le fichier a été préparé pour un usage anonyme, le partager depuis un cloud en nom réel le relie par les informations de propriétaire.
Il faut être particulièrement prudent avec les fonctions d'édition collaborative. Qui a modifié, quand, et quels commentaires ont été laissés peuvent rester dans l'historique. Dans des documents d'activité, le texte avant modification ou des commentaires supprimés peuvent aussi être visibles.
Restreindre les destinataires du partage
Dans le partage de fichiers, on limite les personnes qui peuvent voir le fichier au périmètre nécessaire.
Le réglage "toute personne disposant du lien" est pratique, mais une fois le lien transféré, il devient difficile à contrôler.
| Réglage | Attention |
|---|---|
| Toute personne disposant du lien | Le partage s'étend si le lien est transféré |
| Modification autorisée | Le contenu peut être réécrit |
| Consultation seule | Les captures d'écran et l'enregistrement sont difficiles à empêcher |
| Lien sans expiration | Peut être réutilisé plus tard |
| Dossier partagé | Des fichiers sans rapport peuvent aussi être visibles |
Après le partage, on désactive les liens qui ne sont plus nécessaires.
Les liens de partage restés après un événement deviennent un risque par la suite.
On vérifie les paramètres de partage avant et après la publication. Avant le partage, on regarde qui peut voir, qui peut modifier, si le téléchargement est possible et ce qui se passe si le lien est transféré. Après le partage, on désactive les liens devenus inutiles, on réduit les destinataires et on organise les anciens fichiers.
| Étape | À vérifier |
|---|---|
| Avant le partage | Fichier lui-même, métadonnées, destinataires, autorisations |
| Pendant le partage | Lecteurs, éditeurs, commentaires, possibilité de téléchargement |
| Après le partage | Désactivation des liens, rangement des dossiers, suppression des données sources |
| Lors d'un repartage | S'il reste d'anciens liens ou d'anciennes versions |
Choisir des méthodes adaptées au partage anonyme
Lorsqu'un anonymat élevé est nécessaire, on envisage des méthodes pensées pour l'anonymat plutôt que le partage cloud ordinaire.
OnionShare est un outil utilisable pour le partage et la réception temporaires de fichiers via . Il devient un candidat lorsque l'on veut éviter le nom de propriétaire et l'historique de partage d'un cloud en nom réel, mais le contenu du fichier, les métadonnées et la transmission de l'adresse à l'autre personne doivent être vérifiés séparément. Ce point est traité plus en détail dans un autre article.
URL : https://onionshare.org/
Cependant, même avec OnionShare, les métadonnées du fichier et le traitement côté destinataire restent présents.
On vérifie non seulement l'outil, mais aussi le fichier lui-même que l'on partage.
Des outils comme OnionShare peuvent être des options utiles lorsqu'on réfléchit au trajet de partage. Mais avant d'utiliser un outil, on définit l'objectif du partage. La méthode adaptée change selon que l'on transmet à une personne, que l'on distribue à plusieurs personnes, que l'on reçoit de quelqu'un, qu'il s'agit d'un partage temporaire ou d'un stockage de longue durée.
Dans le partage anonyme, le traitement côté destinataire est également important. Si le destinataire téléverse à nouveau le fichier vers un cloud en nom réel, prend des captures d'écran, le transfère sans changer le nom du fichier ou conserve les données sources, la sécurité ne peut pas être assurée par l'expéditeur seul. Le partage de fichiers relie les pratiques de la personne qui envoie et de celle qui reçoit.
Séparer les données sources et la version publique
Pour les fichiers utilisés dans une activité, on sépare les données sources et la version publique. Les données sources peuvent conserver l'historique de modification, des calques, des visages non retouchés, des informations de localisation, des commentaires internes et des informations sur le créateur. Dans la version publique, on ne garde que le contenu nécessaire et l'on vérifie les métadonnées, le nom de fichier et les informations d'arrière-plan.
Si les données sources restent dans un dossier partagé, la création d'une version traitée perd de son sens. On décide qui détient les données sources, où elles sont stockées, quand elles sont supprimées et qui les gère si elles sont conservées pour préserver des preuves.
Liste de vérification avant partage
Avant de partager des fichiers, on vérifie séparément le contenu, le format, le trajet, le destinataire et la durée. Si un seul élément reste flou au moment du partage, il devient difficile de revenir en arrière plus tard.
| Point à vérifier | Ce qu'il faut regarder |
|---|---|
| Contenu | S'il reste des noms de personnes, adresses, visages, informations internes ou informations sur des personnes concernées |
| Métadonnées | S'il reste un créateur, une date de prise de vue, un GPS ou un historique de modification |
| Nom de fichier | Si des noms réels, noms de services, noms d'événements ou dates apparaissent |
| Trajet de partage | Si l'on utilise un cloud en nom réel ou un compte habituel |
| Destinataire | Si le réglage permet d'atteindre seulement les personnes nécessaires |
| Durée du partage | Si le lien peut être désactivé une fois devenu inutile |
Pour les fichiers importants, cette vérification vaut la peine d'être faite à plusieurs. La personne qui a créé le fichier est habituée à l'arrière-plan ou au nom de fichier et peut manquer des informations dangereuses. Toutefois, augmenter le nombre de personnes qui vérifient élargit aussi le périmètre de partage ; il faut donc le limiter à des personnes de confiance.
Résumé
Quand on partage anonymement des fichiers, on vérifie le contenu du fichier, le nom de fichier, les métadonnées, le trajet de partage et les destinataires.
Images, vidéos, PDF, documents Office et fichiers compressés contiennent chacun des indices différents.
Dans le partage cloud, les noms de propriétaire, les destinataires, l'historique de consultation, l'historique de modification et les commentaires restent.
Pour un partage anonyme lié à une activité, il est important de ne pas utiliser de cloud en nom réel, de restreindre les destinataires et de désactiver les liens devenus inutiles.
Le partage de fichiers est une action qui déplace ensemble les informations de l'activité et les personnes concernées.
Outils liés
ExifTool
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://exiftool.org/
SecureDrop
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://securedrop.org/
GlobaLeaks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://globaleaks.org/
OnionShare
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://onionshare.org/