La célèbre agence de contre-espionnage américaine a publié un guide à propos de la publication de document suite à certaines mésaventures où des données sensibles ont été inclues involontairement dans des fichiers informatiques et exposés aux yeux de tout le monde. Le document de 13 pages est appelé : "Redacting with confidence: How to safely publish sanitized reports converted from Word to PDF".

La politique de la terre brûlée

D'après la NSA, il vaut mieux supprimer littéralement toutes les informations que vous ne désirez pas partager. "L'idée clé est de savoir que n'importe quelle information cachée ou couverte dans un document informatique peut être presque toujours retrouvée". Pour éviter toutes ces embûches et éviter à votre entreprise ou vous-même quelques ennuis avec les failles de sécurité, la NSA vous fait part de ce document en donnant une démarche pas-à-pas pour convertir un document Word contenant des informations confidentielles en document PDF. Ces documents contiennent des informations de natures diverses : texte, images, tableaux et méta-données rassemblées dans un même fichier. La complexité donne d'autant plus de possibilités de dévoiler des informations sensées rester confidentielles. La publication involontaire de méta-données a déjà dans le passé provoqué de sérieux embarrassements : citons parmi les entreprises maladroites le groupe SCO, le groupe pharmaceutique Merck mais aussi la Maison Blanche, le Pentagone ou l'ONU. Autant de problèmes réels qui font que ce document de la NSA devrait être le bienvenu dans les entreprises pour sensibiliser leur personnel à la sécurité informatique.

Trois attitudes à éviter

L'agence souligne trois fautes principales qui conduisent aux fuites. La première, c'est couvrir du texte avec du noir par dessus. Si cette technique s'applique bien à un document papier, l'efficacité est bien moindre sur un document PDF. La deuxième est assez similaire, l'utilisateur recouvre un dessin ou un graphe avec un autre dessin comme un rectangle noire par exemple. Il est cependant facile de se débarasser de ces rajouts et de découvrir ce qu'ils cachaient. La dernière enfin concerne les méta-données et l'oubli de les enlever ou les modifier : c'est par exemple la date, l'auteur ou l'historique des modifications. Il faudra faire attention également aux méta-données de VistaDernière grande version en date de Windows, sortie début 2007. Windows Vista est la première grande révision de Windows depuis XP. Elle apporte une no..., le prochain OS de Microsoft. Ces mots attachés par l'utilisateur à un document pourraient être consultés par les destinataires et donner des informations que l'ont aurait préféré garder pour soi, voir à ce sujet notre article : "Les métadonnées de Vista : une menace ?"

• Lire le document de la NSA "Redacting with confidence: How to safely publish sanitized reports converted from Word to PDF" (en anglais)