Informations de créateur dans les documents, PDF et fichiers Office
Quand on manipule des documents pour une alerte, il ne faut pas regarder seulement le corps du texte.
Dans les PDF, Word, Excel, PowerPoint et documents transformés en image, des informations de créateur, historiques de modification, commentaires, modèles, chemins de fichier et identifiants de distribution peuvent rester.
Même si le nom est supprimé du texte, l'anonymat est compromis si le nom du créateur reste à l'intérieur du fichier.
Cet article organise les informations de créateur dans les documents, PDF et fichiers Office auxquelles il faut particulièrement faire attention lors d'une alerte.
Ce que sont les informations de créateur
Les informations de créateur sont les informations associées à un fichier : créateur, nom d'entreprise, éditeur, logiciel de création, date de création, etc.
Dans les documents Office et les PDF, des informations invisibles à l'écran peuvent rester.
| Information | Ce que l'on peut savoir |
|---|---|
| Nom du créateur | Vrai nom ou nom de compte interne |
| Nom de l'entreprise | Organisation d'appartenance |
| Dernier modificateur | Personne qui a participé à la modification |
| Date de création | Moment où le document a été créé |
| Chemin de fichier | Nom de service, nom d'utilisateur, nom d'appareil |
| Commentaires | Conversations internes ou noms de responsables |
Même si ces éléments n'apparaissent pas à l'écran lorsque le fichier est ouvert, ils peuvent rester comme propriétés ou métadonnées.
Points de vigilance pour les fichiers Office
Dans Word, Excel et PowerPoint, les historiques de modification et les commentaires restent facilement.
Dans les documents internes en particulier, les responsables de relecture, noms de service, historiques de correction, feuilles masquées et objets intégrés deviennent des indices.
| Information du fichier Office | Risque |
|---|---|
| Historique des modifications | On peut savoir qui a modifié quelle partie |
| Commentaires | Des noms de responsables ou des conversations internes restent |
| Feuilles masquées | Des données qui ne sont pas visibles restent |
| Fichiers intégrés | Des documents sources ou d'autres fichiers sont inclus |
| Modèle | Le nom de l'organisation ou du service apparaît |
Envoyer un fichier Office tel quel vers l'extérieur est dangereux.
Créez une copie de publication et vérifiez les historiques et commentaires inutiles. Toutefois, dans les situations où la valeur probante est nécessaire, conservez l'original non modifié.
Points de vigilance pour les PDF
Les PDF semblent sûrs, mais des informations restent à l'intérieur.
Le créateur, le logiciel de création, les annotations, les formulaires, le texte intégré, le texte sous les caviardages et les fichiers joints peuvent être inclus.
| Information du PDF | Point d'attention |
|---|---|
| Créateur | Un vrai nom ou un nom d'organisation reste |
| Annotations | Les commentaires ou historiques de relecture sont visibles |
| Texte intégré | Du texte peut rester sous un caviardage |
| Formulaires | Des historiques de saisie ou noms de champs restent |
| Fichiers joints | D'autres fichiers peuvent être inclus dans le PDF |
Un fichier ne devient pas sûr simplement parce qu'il a été converti en PDF.
Vérifiez les caviardages, annotations, propriétés et informations intégrées.
Attention aux échecs de caviardage
Dans les documents liés à une alerte, on caviarde parfois des noms ou des numéros.
Cependant, si l'on place seulement un rectangle noir par-dessus, le texte situé dessous peut rester. Il peut être possible de copier le texte depuis le PDF, de le rechercher ou de le voir en retirant un calque.
| Échec de caviardage | Ce qui se produit |
|---|---|
| Simple forme placée sur le texte | Le texte d'origine ressort à la copie ou à la recherche |
| Simple masquage par annotation | Il devient visible si l'annotation est masquée |
| Transformation en image insuffisante | Le texte reste lisible en haute résolution |
| Suppression partielle seulement | Les informations autour permettent une déduction |
| Fichier source joint | Le document non modifié reste |
Pour un caviardage, ne jugez pas seulement à l'apparence.
Ouvrez le fichier de publication dans une autre application et vérifiez la copie, la recherche et les propriétés.
Limites de la capture d'écran
Certaines personnes pensent qu'un document devient sûr si l'on en fait une capture d'écran.
Une capture d'écran peut réduire une partie des métadonnées, mais ce n'est pas une solution universelle. Des notifications, noms de compte, l'heure, l'interface du système d'exploitation, les onglets du navigateur et le nom de fichier peuvent apparaître à l'écran. Le fichier image peut lui aussi conserver une date de prise ou des informations sur l'appareil.
| Ce qui reste dans une capture d'écran | Point d'attention |
|---|---|
| Notifications | Un compte réel ou un autre service apparaît |
| Onglets du navigateur | Des pages ou services consultés sont visibles |
| Heure | Elle se relie à l'historique de comportement |
| Nom de fichier | Le nom du dossier ou du service est visible |
| Métadonnées d'image | La date de création ou des informations sur l'appareil peuvent rester |
Transformer un document en capture d'écran n'efface pas tous les problèmes de l'original.
Une vérification séparée est nécessaire pour l'image de publication.
Séparer la vérification et la conservation
Dans une alerte, il est dangereux de penser uniquement à supprimer les métadonnées.
La valeur probante de l'original peut être importante. Il peut être nécessaire de conserver des informations indiquant quand un document a été créé, qui l'a créé ou attestant son authenticité.
| Fichier | Traitement |
|---|---|
| Original | Conserver en sécurité pour préserver la valeur probante |
| Copie de vérification | Examiner les métadonnées et le contenu |
| Copie de remise | Adapter à la procédure du destinataire |
| Copie de publication | Supprimer les informations personnelles inutiles |
Ce qu'il faut supprimer et ce qu'il faut garder change selon l'objectif.
La décision diffère entre une transmission d'informations à une rédaction, une consultation avec un avocat et une publication publique.
Ne pas décider seulement avec des outils
Les outils de vérification des métadonnées sont utiles.
ExifTool est un outil représentatif utilisé pour vérifier les métadonnées de nombreux formats de fichier.
URL : https://exiftool.org/
Cependant, les informations visibles par un outil ne sont pas les seuls risques. Le vocabulaire interne dans le texte, les numéros de document, le périmètre de distribution, les habitudes de formulation et le faible nombre de personnes pouvant obtenir le fichier réduisent aussi le cercle des personnes susceptibles d'être à l'origine de l'envoi.
S'adapter à la procédure du destinataire
Pour les documents liés à une alerte, il est aussi important de ne pas trop les modifier de sa propre initiative.
Les rédactions, avocats, organisations de soutien et canaux de réception peuvent avoir chacun leur manière de recevoir les documents et leur politique de conservation des preuves. Avant la remise, vérifiez dans quel format envoyer, si l'original est nécessaire ou si une copie anonymisée suffit.
| Interlocuteur | Ce qu'il faut vérifier |
|---|---|
| Rédaction | Canal de réception anonyme et format des documents |
| Avocat | Conservation de l'original, valeur probante, possibilité de modification |
| Organisation de soutien | Canal de consultation sûr, documents nécessaires |
| Canal de signalement interne | Vérification d'identité, journaux, risque de représailles |
| Autorité administrative | Format de remise, procédure, traitement des informations personnelles |
Le traitement sûr des documents change selon l'objectif et le destinataire.
Ne décidez pas seul que « supprimer suffit à rendre sûr » ; vérifiez à la fois la valeur probante nécessaire et l'anonymat.
Si le jugement est difficile, vérifiez avant la remise une méthode de consultation sûre auprès du destinataire.
Le traitement des documents consiste à gérer simultanément l'anonymat et la valeur probante.
Si l'on privilégie seulement l'un des deux, il reste des risques difficiles à expliquer ensuite.
Résumé
Dans les documents, PDF et fichiers Office, des informations de créateur, historiques de modification, commentaires, chemins de fichier, annotations et données masquées peuvent rester.
Même si le nom est supprimé du texte, l'anonymat est compromis si un vrai nom ou un nom d'organisation reste à l'intérieur du fichier.
Dans une alerte, on sépare l'original, la copie de vérification, la copie de remise et la copie de publication. Pour les documents dont la valeur probante est nécessaire, ne les modifiez pas sans précaution ; consultez un spécialiste ou le destinataire.
Les outils de vérification des métadonnées sont utiles, mais il faut examiner en même temps la corrélation entre le contenu du document et le périmètre de distribution.
Outils liés
ExifTool
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://exiftool.org/
MAT2
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
qpdf
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
SecureDrop
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://securedrop.org/
GlobaLeaks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://globaleaks.org/