Risques liés aux métadonnées des fichiers Office et PDF
Les fichiers Office et les PDF sont des documents souvent utilisés dans les lancements d'alerte.
Procès-verbaux, contrats, rapports, pièces jointes d'e-mail, feuilles de calcul, présentations, PDF scannés. Tous peuvent avoir une forte valeur de preuve, mais ce sont aussi des formats où les métadonnées et les historiques d'édition restent facilement.
Dans un lancement d'alerte, le problème ne concerne pas seulement le contenu du fichier, mais aussi la façon dont le fichier a été créé, qui l'a modifié et de quel environnement il provient.
Informations restant dans les fichiers Office
Word, Excel et PowerPoint peuvent conserver l'auteur, la dernière personne ayant enregistré, le nom de l'entreprise, les commentaires, l'historique des modifications, les feuilles masquées et les objets intégrés.
| Information | Risque |
|---|---|
| Auteur et dernière personne ayant enregistré | Un nom réel ou un compte interne apparaît |
| Commentaires | Des noms de personnes liées ou du contenu de relecture restent |
| Historique des modifications | On voit qui a modifié quelle partie |
| Feuilles masquées | Des données non affichées restent |
| Fichiers intégrés | D'autres documents ou informations internes sont inclus |
Dans un fichier Office, les pages visibles ne sont pas tout le contenu.
Dans Excel en particulier, il faut faire attention aux feuilles masquées, filtres, commentaires, formules et liens externes.
Les fichiers Office conservent facilement les étapes intermédiaires du travail. La coédition, les relectures, les commentaires, l'historique des modifications, les modèles et les liens externes restent. Même lorsqu'un document semble terminé en surface, des traces d'édition peuvent rester à l'intérieur du fichier.
Dans Excel, les feuilles masquées, lignes masquées, lignes cachées par un filtre, formules, noms définis et connexions à des données externes posent problème. Dans PowerPoint, il faut vérifier les notes du présentateur, les diapositives masquées, les images intégrées et les modèles. Dans Word, vérifiez l'historique des modifications, les commentaires, les en-têtes, les pieds de page et les propriétés du document.
Informations restant dans les PDF
Comme un PDF ressemble à une version finale, il est facilement perçu comme sûr.
Pourtant, un PDF peut aussi conserver l'auteur, le logiciel de création, la date de création, l'historique d'édition, les annotations, les signets, les fichiers intégrés et le texte OCR.
| Information | Risque |
|---|---|
| Auteur | Le document d'origine ou la personne qui a travaillé dessus devient visible |
| Logiciel de création | L'environnement de création peut être déduit |
| Annotations et commentaires | L'historique de relecture ou des noms restent |
| Texte OCR | Des caractères censés être caviardés peuvent rester |
| Fichiers intégrés | Des documents d'origine ou pièces jointes sont inclus |
Une simple conversion en PDF ne rend pas le fichier sûr.
Le caviardage ou le floutage peuvent aussi laisser le texte d'origine extractible si le traitement est mal fait.
Le PDF inspire une confiance excessive parce qu'il ressemble à une version finale destinée à la distribution. Mais un PDF peut aussi conserver des informations d'auteur, annotations, signets, fichiers joints, calques masqués et texte OCR. Si le caviardage consiste seulement à poser un rectangle noir par-dessus le texte, les caractères dessous peuvent rester. Même lorsqu'une page ressemble à une image, du texte peut rester derrière.
Lorsque vous préparez un PDF pour publication, vérifiez non seulement son apparence, mais aussi le texte copiable, les annotations, les pièces jointes et les propriétés. Pour les parties caviardées, vérifiez qu'elles ne deviennent pas visibles lors de la copie, de la recherche, de la sélection ou de l'ouverture avec un autre outil.
Points particulièrement dangereux dans un lancement d'alerte
Dans un lancement d'alerte, les métadonnées sont dangereuses même si elles n'affichent pas directement un nom.
La date de création, le numéro de version, le nom du service, le numéro de document, le nom d'une personne ayant commenté ou les traces de distribution peuvent révéler le chemin du document.
| Information restante | Ce qui peut être déduit |
|---|---|
| Numéro de version | Quand et à qui le document a été distribué |
| Numéro de document | Service gestionnaire ou catégorie du document |
| Personne ayant commenté | Service concerné ou personne chargée de la relecture |
| Données masquées | Informations qui ne devaient pas être publiées |
| Date de création | Période où le document a été consulté ou manipulé |
Si la partie qui publie diffuse un document sans attention, elle peut impliquer non seulement la personne lanceuse d'alerte, mais aussi des personnes liées ou des employés sans lien direct.
Dans un lancement d'alerte, certaines personnes chercheront l'origine du document. Elles ne regardent pas seulement le texte, mais aussi le numéro de version, les destinataires, les personnes ayant commenté, le numéro de document, le modèle et la date de création. Par exemple, si une formulation présente seulement dans la dernière version est publiée, les personnes qui avaient accès à cette dernière version peuvent être soupçonnées. Si le nom d'une personne ayant commenté reste, le service concerné ou le circuit de relecture devient visible.
Les métadonnées affectent non seulement la personne lanceuse d'alerte, mais aussi les auteurs du document, les services destinataires, les relecteurs et les coéditeurs. La partie qui publie a la responsabilité de ne pas publier tel quel un document reçu.
Précautions de vérification et de traitement
Lorsque vous traitez des fichiers Office ou PDF, séparez les fichiers de vérification, de conservation et de publication.
Modifier imprudemment un fichier d'origine nécessaire comme preuve peut créer des problèmes plus tard. En revanche, le fichier destiné à la publication ne doit pas conserver d'informations inutiles.
| Étape | Point d'attention |
|---|---|
| Réception | Ne pas ouvrir imprudemment le fichier d'origine dans l'environnement habituel |
| Vérification | Regarder les propriétés, commentaires, historiques de modification et éléments masqués |
| Conservation | Séparer le fichier d'origine et la copie destinée à la publication |
| Traitement | Vérifier la méthode de caviardage, suppression et conversion |
| Nouvelle vérification | Regarder s'il reste des informations dans le fichier destiné à la publication |
Les outils précis de vérification ou de suppression des métadonnées sont traités dans un autre article.
Ici, retenez qu'un simple changement de format ne rend pas le fichier sûr.
Le fichier d'origine peut être important comme preuve. Le modifier directement et l'écraser peut donc affecter la valeur probante ou la possibilité de vérification. En revanche, un fichier destiné à la publication ne doit pas conserver d'informations inutiles. Pour cette raison, séparez le fichier d'origine, la copie de travail et la copie de publication.
| Type de fichier | Manière de le traiter |
|---|---|
| Fichier d'origine | Le conserver prudemment pour préserver sa valeur probante |
| Copie de travail | L'utiliser pour la vérification et le traitement |
| Copie de publication | Supprimer les informations inutiles et vérifier à nouveau |
| Copie de consultation | Ajuster le périmètre montré à un avocat ou spécialiste |
Dans un lancement d'alerte à haut risque, ne décidez pas seulement à partir d'un article ; envisagez aussi de consulter un avocat, un média ou une organisation de soutien fiable. La décision de supprimer ou conserver un fichier touche non seulement l'anonymat, mais aussi la valeur probante et les risques juridiques.
Vérification avant publication
Avant de publier un fichier Office ou PDF, regardez dans l'ordre suivant.
- Le nom du fichier contient-il un nom réel, un service ou un nom d'affaire ?
- Les propriétés contiennent-elles encore l'auteur, le nom de l'entreprise ou la dernière personne ayant enregistré ?
- Reste-t-il des commentaires, un historique des modifications ou des annotations ?
- Y a-t-il des feuilles masquées, diapositives masquées ou notes du présentateur ?
- Reste-t-il du texte sous les zones caviardées du PDF ?
- Le fichier converti a-t-il été revérifié dans un autre environnement ?
La vérification ne se fait pas une seule fois. Revérifiez après traitement, après conversion et juste avant publication. Après conversion en PDF en particulier, traitez le fichier comme un fichier distinct du document d'origine et revérifiez les propriétés, les annotations et les caractères copiables.
Résumé
Les fichiers Office et PDF peuvent conserver l'auteur, la dernière personne ayant enregistré, le nom de l'entreprise, les commentaires, l'historique des modifications, les feuilles masquées, les annotations, le texte OCR et les fichiers intégrés.
Dans un lancement d'alerte, ces informations peuvent relier la personne lanceuse d'alerte, le service, le chemin du document et le périmètre de distribution.
Une simple conversion en PDF ne rend pas le fichier sûr.
Séparez le fichier d'origine, le fichier de vérification et le fichier de publication, puis vérifiez les métadonnées et les éléments invisibles avant publication.
Les fichiers Office et PDF sont forts comme preuves, mais ce sont aussi des formats qui racontent leur origine.
Outils liés
ExifTool
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://exiftool.org/
MAT2
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
qpdf
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
SecureDrop
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://securedrop.org/
GlobaLeaks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://globaleaks.org/