Risques liés aux métadonnées des PDF
Les PDF sont souvent utilisés comme documents publics ou documents à transmettre.
Cependant, un PDF ne se juge pas seulement à son apparence. Même si le texte ne contient pas de nom, le fichier peut conserver en interne le nom du créateur, le logiciel de création, la date de création, des annotations, des fichiers intégrés ou des informations de formulaire.
Pour l'anonymat, le contenu du PDF n'est pas le seul indice : l'environnement de création du PDF et son historique d'édition en sont aussi.
Cet article organise les informations qui restent facilement dans les PDF et les points à vérifier avant publication.
Informations qui restent dans un PDF
Un PDF peut contenir des informations autres que le document lui-même.
| Information | Ce qu'elle indique | Risque pour l'anonymat |
|---|---|---|
| Créateur | Nom d'utilisateur de l'OS ou du logiciel de document | Un nom personnel ou d'organisation apparaît |
| Date de création | Quand il a été créé | Se relie à l'heure d'action ou à la période de création du document |
| Logiciel de création | Word, LibreOffice, scanner, etc. | Devient un indice sur l'environnement de travail |
| Titre | Nom du document d'origine ou du projet | Un nom interne reste |
| Annotation | Commentaire ou note d'édition | Les personnes liées ou le processus de décision apparaissent |
| Fichier intégré | Document d'origine ou donnée jointe | Des informations inutiles se mélangent |
Un PDF ressemble à une "version finale".
Mais, à l'intérieur, des informations du processus de création peuvent rester.
Échecs de caviardage
Le point particulièrement dangereux dans les PDF est l'échec du caviardage.
Même si le texte semble caché par un rectangle noir, les informations textuelles peuvent rester en interne. Le texte d'origine peut être extrait par copie, recherche ou désactivation de calques.
| Traitement fréquent | Problème | Manière de se rapprocher d'un traitement sûr |
|---|---|---|
| Superposer une forme noire | Le texte d'origine reste en interne | Utiliser une fonction dédiée de caviardage |
| Simple capture d'écran | Attention à la qualité et aux informations cachées | Revérifier la partie nécessaire |
| Cacher par annotation | L'annotation peut parfois être retirée | Copier et rechercher après export |
| Suppression de page | Des éléments intégrés ou historiques peuvent rester | Régénérer comme fichier séparé |
| Suppression partielle manuelle | Des oublis se produisent | Utiliser une liste de vérification |
Pour les documents à haut risque, il est plus prudent de ne pas juger un caviardage avec un seul regard.
Dans les contextes juridique, journalistique ou de lancement d'alerte, la vérification par un spécialiste ou une personne ou structure de confiance peut être nécessaire.
Séparer l'apparence et l'intérieur du PDF
Dans la vérification d'un PDF, séparez l'apparence et les informations internes.
L'apparence contient le texte, les images, les tableaux, les QR codes, les numéros de page, l'arrière-plan et les filigranes. L'intérieur contient les métadonnées, annotations, fichiers intégrés, formulaires et liens.
| Endroit à vérifier | Information à regarder | Raison |
|---|---|---|
| Apparence | Texte, images, tableaux, arrière-plan | Vérifier les informations personnelles directes |
| Liens | URL, destinations de partage, suivi | Éviter les ID personnels et URL internes |
| Métadonnées | Créateur, logiciel de création | Ne pas exposer l'environnement de travail |
| Annotations | Commentaires, relecture | Ne pas laisser les conversations internes |
| Éléments intégrés | Pièces jointes, formulaires | Ne pas inclure de données inutiles |
Un PDF ressemble à un document imprimé.
Mais, en réalité, c'est un fichier numérique avec une structure interne.
Procédure de vérification
Avant de publier un PDF, la règle de base est de ne pas publier directement le fichier d'origine.
Créez une copie de publication et ne gardez que les informations nécessaires.
| Étape | Ce qu'il faut vérifier |
|---|---|
| 1 | Créer une copie de publication plutôt qu'utiliser le fichier d'origine |
| 2 | Regarder si le nom de fichier contient un vrai nom, un nom de projet ou un nom d'organisation |
| 3 | Vérifier les propriétés du document |
| 4 | Vérifier les annotations, commentaires, formulaires et éléments intégrés |
| 5 | Vérifier si les zones caviardées peuvent être copiées ou recherchées |
| 6 | Rouvrir dans un autre environnement pour vérifier l'affichage |
| 7 | Après téléversement, vérifier comment cela apparaît à l'autre personne |
Les outils comme ExifTool et qpdf peuvent aider à vérifier.
Cependant, même si un outil supprime les métadonnées, les informations qui restent dans le texte ou les images doivent être vérifiées séparément. Si vous téléversez le PDF d'origine vers un service externe de conversion, de caviardage ou de vérification des métadonnées, le contenu du document, les informations d'accès et l'heure de traitement peuvent être transmis à ce service. Pour un PDF à haut risque, effectuez autant que possible la vérification et la conversion dans un environnement local.
Vérifier aussi le destinataire du PDF
Le risque d'un PDF ne concerne pas seulement l'intérieur du fichier.
Le lieu de téléversement, la personne destinataire et le compte utilisé pour le partager concernent aussi l'anonymat. Un partage depuis un cloud personnel peut afficher le nom du propriétaire ou l'adresse e-mail. Un envoi par e-mail laisse l'expéditeur, l'objet et l'heure.
| Méthode de partage | Informations restantes | Point d'attention |
|---|---|---|
| Lien cloud | Nom du propriétaire, historique de partage | Ne pas partager depuis un compte sous vrai nom |
| Pièce jointe e-mail | Expéditeur, objet, heure | Regarder la corrélation du canal de contact |
| Site de publication | Heure de téléversement, compte | Se relie au contenu publié |
| Envoi par chat | Reste sur l'appareil de l'autre personne | Attention aux captures d'écran et transferts |
| Soumission anonyme | Journaux du destinataire, heure de vérification | Regarder la fiabilité du destinataire |
Rendre un PDF plus sûr ne consiste pas seulement à nettoyer l'intérieur du PDF.
Il faut aussi penser au canal de partage, au compte, à l'heure d'envoi et à la conservation côté destinataire.
Séparation avec les autres articles
Cet article traite les risques liés aux informations qui restent dans les PDF.
Le flux de suppression réelle des métadonnées PDF est traité dans "Précautions lors de la suppression des métadonnées PDF". Si vous créez un PDF à partir d'un document Office, vérifiez aussi les informations de créateur et l'historique de modification du fichier Office d'origine.
Autrement dit, il est important de ne pas s'arrêter au seul PDF.
| Objet à regarder | Vérification principale |
|---|---|
| PDF lui-même | Créateur, annotations, éléments intégrés, caviardage |
| Office d'origine | Historique des modifications, commentaires, nom d'entreprise |
| Image | Arrière-plan, reflet, texte, |
| Canal de partage | Nom du propriétaire, URL, heure d'envoi |
| Aide consultée | Traitement de la valeur probante et de la sécurité |
Le PDF est, dans beaucoup de situations, un "format facile à transmettre".
C'est précisément pourquoi on a tendance à l'envoyer tel quel dans les lancements d'alerte, les consultations liées à l'école ou au travail et les transmissions à la presse. Si l'anonymat compte, vérifiez séparément où restent les informations de la personne qui a créé, modifié, partagé et ouvert le PDF.
Attention aussi aux PDF reçus
Le risque d'un PDF ne concerne pas seulement les fichiers que vous avez créés.
Un PDF reçu de quelqu'un peut aussi conserver le créateur, la date de création, le logiciel de création, des annotations ou des fichiers intégrés. Publier tel quel un PDF reçu lors d'un reportage ou d'une consultation peut créer une piste qui remonte au fournisseur.
| Information du PDF reçu | Risque |
|---|---|
| Créateur | Le fournisseur ou l'organisation apparaît |
| Date de création | La période de création du document apparaît |
| Annotation | Des notes internes restent |
| Élément intégré | Des documents d'origine se mélangent |
| Nom de fichier | Un nom de projet ou un nom personnel apparaît |
Plus le PDF est reçu d'une autre personne, plus il faut le vérifier du point de vue de la protection du fournisseur.
Les PDF scannés gardent aussi des indices
Scanner du papier en PDF ne permet pas d'affirmer que le document est sûr.
Un PDF scanné peut conserver le nom du scanner, le logiciel de création et la date de création. De plus, la page elle-même peut contenir des cachets, numéros de réception, écriture manuscrite, plis, notes en marge ou caractéristiques de photocopieur. Même un PDF image sans information textuelle peut livrer des indices par son apparence.
| Indice | Ce qu'il révèle | Point d'attention |
|---|---|---|
| Information de scanner | Matériel ou environnement utilisé | Vérifier les métadonnées |
| Numéro de réception | Document interne à une organisation | Le système de numérotation réduit le cercle des candidats |
| Écriture manuscrite | Personne ayant écrit | Les connaissances peuvent reconnaître |
| Cachet ou signature | Personne ou organisation | Devient une information d'identification directe |
| Marge ou pli | Manière dont le document a circulé | Le parcours de l'original est déduit |
Un PDF scanné combine les risques du document numérique et du document papier.
Vérifiez non seulement les métadonnées, mais aussi l'apparence de la page en l'agrandissant.
Résumé
Un PDF ne peut pas être jugé sûr seulement à son apparence.
Le nom du créateur, la date de création, le logiciel de création, les annotations, les fichiers intégrés et les informations de formulaire peuvent rester.
Le caviardage aussi est insuffisant s'il n'est vérifié qu'à l'apparence. Les traitements qui laissent le texte d'origine en interne sont dangereux.
Pour l'anonymat, vérifiez séparément le texte du PDF, son apparence, ses informations internes, son nom de fichier et sa destination de partage.
Pour les documents à haut risque, envisagez aussi de ne pas décider seul et de recourir à une personne ou structure de confiance ou à un spécialiste.
Outils liés
ExifTool
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://exiftool.org/
MAT2
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
qpdf
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.