Métadonnées qui restent lors d'une transmission d'information ou d'un partage de fichiers
Dans une transmission d'information ou un partage de fichiers, le problème ne vient pas seulement du contenu du texte, mais aussi des métadonnées qui restent dans les fichiers.
Lorsque des documents internes, photos, PDF, documents Office, vidéos ou fichiers audio sont transmis anonymement, le nom de l'auteur, le nom de l'entreprise, l'historique de modification, la date et l'heure de prise de vue, les informations de localisation, le logiciel utilisé et le nom de fichier peuvent devenir des indices sur la source.
C'est particulièrement important pour la protection des sources et le lancement d'alerte. Même si le contenu du fichier est correct, les informations autour du fichier peuvent permettre de déduire qui l'a fourni.
Cet article organise les métadonnées qui restent facilement lors d'une transmission d'information ou d'un partage de fichiers, ainsi que les points à vérifier avant l'envoi.
Les métadonnées indiquent l'origine
Les métadonnées sont des informations attachées à un fichier.
Elles peuvent inclure le créateur, la date et l'heure de prise de vue, les informations de localisation, l'historique de modification, les commentaires, le logiciel de création, le nom de l'appareil, le nom de l'entreprise et des informations similaires.
Même si aucun nom n'est écrit dans le texte, l'anonymat est fortement affaibli si le nom de l'auteur ou de l'organisation reste dans les métadonnées.
| Fichier | Informations qui peuvent rester |
|---|---|
| Image | GPS, date et heure de prise de vue, modèle d'appareil photo |
| Auteur, logiciel de création, annotations, fichiers intégrés | |
| Office | Auteur, nom d'entreprise, historique des modifications, commentaires |
| Vidéo | Date et heure de prise de vue, lieu, informations sur l'appareil, logiciel de montage |
| Audio | Tags, date et heure d'enregistrement, informations sur l'application, son d'arrière-plan |
Les métadonnées ne se voient pas à l'apparence. Il est donc important de ne pas juger la sécurité à l'apparence.
Le traitement côté destinataire compte aussi dans une transmission d'information
Lorsque l'on envoie un fichier, l'autre partie peut l'enregistrer, le transférer et l'analyser.
Même avec un média ou une organisation de soutien digne de confiance, si la méthode d'envoi est inadaptée, des informations du côté de l'expéditeur peuvent rester. Avec un e-mail ordinaire, un service cloud lié à une identité réelle, un appareil professionnel ou le navigateur habituel, la corrélation se fait par des chemins autres que le fichier.
| Chemin | Indices qui restent |
|---|---|
| Expéditeur, heure d'envoi, en-têtes d'e-mail | |
| Partage cloud | Nom du propriétaire, historique de partage, historique de consultation |
| Appareil professionnel | Journaux de gestion de l'appareil, historique d'accès aux fichiers |
| DM sur un réseau social personnel | Compte, réponses, captures d'écran |
| Formulaire de dépôt | IP, informations du navigateur, heure de téléversement |
Même si les métadonnées du fichier sont supprimées, l'anonymat s'effondre si le chemin d'envoi est relié à un contexte en nom réel.
Faire attention aux informations d'auteur
Dans les fichiers de document, les informations d'auteur sont particulièrement importantes.
Les documents Office et les PDF peuvent conserver le nom de l'auteur, le nom de l'entreprise, les éditeurs, les commentaires et l'historique des modifications. Les documents créés sur un PC d'organisation peuvent contenir le nom de l'organisation ou le nom d'utilisateur.
Dans le lancement d'alerte, le contenu des documents n'est pas le seul indice : les personnes qui auraient pu y accéder deviennent aussi un matériau de déduction. En plus des métadonnées, on vérifie le contenu du texte, les noms de services, la chronologie et les termes spécialisés.
| Information | Risque |
|---|---|
| Nom de l'auteur | Une personne est directement identifiable |
| Nom de l'entreprise | L'organisation d'appartenance est identifiable |
| Éditeur | Le périmètre des personnes concernées devient visible |
| Commentaires | Des conversations internes ou des décisions restent |
| Historique des modifications | On voit qui a modifié quelle partie |
Les informations d'auteur peuvent ne pas être visibles en ouvrant simplement le fichier. On les vérifie avec les propriétés ou des outils d'inspection.
Les lieux restent dans les photos et vidéos
Dans les photos et vidéos, le problème ne vient pas seulement du GPS et de la date de prise de vue, mais aussi de l'arrière-plan.
Même si les métadonnées sont supprimées, des lieux et des personnes peuvent être déduits à partir de bâtiments, panneaux, uniformes, bureaux, reflets dans une fenêtre, routes, annonces de gare, conversations autour et indices similaires.
Dans une transmission d'information, des photos prises sur place peuvent constituer des preuves fortes. Cependant, la valeur probante et l'anonymat peuvent entrer en conflit. On distingue jusqu'où cacher affaiblit la preuve, et jusqu'où montrer met en danger la personne qui fournit l'information.
Dans les cas à haut risque, il ne faut pas traiter le fichier sur son seul jugement ; il faut envisager un interlocuteur de confiance à consulter.
Créer une copie d'envoi avant transmission
On n'envoie pas directement le fichier original ; on crée une copie destinée à l'envoi.
Le fichier original est conservé comme preuve si nécessaire. Pour la copie d'envoi, on vérifie le nom de fichier, les métadonnées, le contenu du texte, l'arrière-plan, les commentaires et les fichiers inutiles.
| Étape | À vérifier |
|---|---|
| 1 | Conserver le fichier original en sécurité |
| 2 | Créer une copie d'envoi |
| 3 | Généraliser le nom de fichier |
| 4 | Vérifier les métadonnées |
| 5 | Vérifier le contenu et l'arrière-plan |
| 6 | Vérifier le chemin d'envoi |
| 7 | Réfléchir à ce qui reste après l'envoi |
Après une conversion ou une modification, on vérifie à nouveau les métadonnées. Un logiciel de modification peut ajouter de nouvelles informations d'auteur.
Les outils sont une aide, pas une solution complète
Des outils comme ExifTool sont utiles pour vérifier les métadonnées.
ExifTool est un outil représentatif qui permet de vérifier et modifier localement les métadonnées d'images, de vidéos, de documents et de fichiers similaires. Dans le lancement d'alerte ou la transmission d'information, téléverser un fichier vers un site externe pour le vérifier peut en soi créer un nouveau risque ; les outils qui permettent une vérification locale sont donc importants. URL : https://exiftool.org/
Cependant, on ne peut pas dire qu'un fichier est complètement sûr simplement parce qu'un outil n'affiche rien. Les informations internes non prises en charge par l'outil, les noms propres dans le texte, les arrière-plans d'image, l'audio et les chemins de partage doivent être vérifiés séparément.
Pour l'anonymat, on traite séparément les résultats des outils et la vérification par le regard humain.
Ordre de vérification avant dépôt
Dans une transmission d'information, l'ordre de vérification est aussi important.
On ne commence pas immédiatement par un outil de suppression des métadonnées ; on décide d'abord ce qu'il faut protéger. Le périmètre de vérification change selon qu'il faut protéger la personne qui fournit l'information, protéger une source, ou éviter d'impliquer des collègues ou des membres de la famille.
| Ordre | À vérifier |
|---|---|
| 1 | Décider qui doit être protégé |
| 2 | Vérifier si le contenu du fichier contient des noms propres ou une chronologie |
| 3 | Vérifier les noms de fichiers et de dossiers |
| 4 | Vérifier les métadonnées |
| 5 | Vérifier le chemin d'envoi et l'affichage côté destinataire |
| 6 | Réfléchir à qui traitera le fichier après l'envoi |
Pour l'anonymat, si l'on effectue d'abord seulement une suppression technique, on manque les risques dans le texte ou le chemin d'envoi. On décide d'abord ce qu'il faut protéger, puis on vérifie le fichier et le chemin.
Ne pas juger seul les documents à haut risque
Pour le lancement d'alerte, le signalement d'actes illégaux, les documents professionnels et les fichiers liés à des sources, il existe non seulement des risques d'anonymat, mais aussi des risques juridiques et de sécurité.
Un traitement imprudent peut modifier la valeur probante. À l'inverse, si l'on envoie sans traitement, la personne qui fournit l'information ou des personnes concernées peuvent être déduites.
Dans ces situations, ne prenez pas de décision sur la base de cet article seul. Envisagez un interlocuteur adapté à la situation, comme un média digne de confiance, une organisation de soutien ou un avocat.
Même après l'envoi, il est important de ne pas répondre dans la précipitation si l'autre partie demande des documents supplémentaires. Les fichiers supplémentaires sont justement ceux pour lesquels la vérification devient plus relâchée, et des informations d'auteur ou une chronologie qui n'apparaissaient pas dans les premiers documents peuvent s'y mélanger.
Résumé
Dans une transmission d'information ou un partage de fichiers, non seulement le corps du fichier, mais aussi les métadonnées deviennent un indice sur la source.
Les images, PDF, documents Office, vidéos et fichiers audio peuvent conserver le créateur, le nom de l'entreprise, l'historique des modifications, la date et l'heure de prise de vue, les informations de localisation, les tags et le logiciel utilisé.
En plus, le chemin d'envoi, le nom du propriétaire du cloud, les en-têtes d'e-mail, les journaux du formulaire de dépôt et l'historique de l'appareil professionnel deviennent des indices séparés.
Avant de transmettre un fichier anonymement, on n'envoie pas directement l'original ; on crée une copie d'envoi et l'on vérifie le nom de fichier, les métadonnées, le contenu et le chemin de partage. Pour une transmission d'information à haut risque, on ne décide pas sur la base de cet article seul ; on envisage aussi un interlocuteur de confiance à consulter.
Outils liés
ExifTool
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://exiftool.org/
MAT2
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
SecureDrop
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://securedrop.org/
GlobaLeaks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://globaleaks.org/
OnionShare
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://onionshare.org/