L'origine d'un fichier est-elle traçable? Si c'est le cas, comment puis-je le désinfecter?

Si j'ai copié un fichier de mon PC sur une clé USB nouvellement formatée, j'ai pris le fichier sur un PC public et une connexion Internet publique, créé à partir de là un nouvel e-mail, créé un nouveau compte sur un serveur de téléchargement, téléchargé le fichier, partagé un lien de téléchargement de ce fichier sur le Web et une personne ou organisation anonyme après avoir téléchargé le fichier, ce fichier serait-il traçable par cette personne ou organisation?

Et qu'en est-il si ce fichier n'est pas un fichier PDF que j'ai pris à quelqu'un d'autre, comment puis-je rendre ce fichier introuvable?

L'origine d'un fichier est-elle traçable? Si c'est le cas, comment puis-je le désinfecter?

La réponse courte est que cela dépend:

• Si le dossier contenait votre nom, votre adresse, votre numéro de téléphone et votre numéro de sécurité sociale, il ne serait pas très difficile de vous les retracer ...

• De nombreuses applications laissent des informations d'identification d'une certaine sorte - appelées métadonnées - dans les fichiers en plus des données visibles évidentes dans le fichier lui-même.

• Les métadonnées peuvent généralement être supprimées des fichiers (la méthode de suppression dépend du type de fichier).

• Le téléchargement d'un fichier n'enverra que le flux de données principal et laissera les flux de données alternatifs et les métadonnées résidant sur le système de fichiers.

• Comme l'a souligné Andrew Morton, certaines organisations apportent de petites modifications grammaticales (ou autres) à chaque copie d'un document avant qu'il ne soit distribué.

  Ce faisant, des copies peuvent être retracées à des individus particuliers si la copie est volée (ou transmise). Ceci, bien sûr, est très difficile à vaincre.

• Lisez la suite pour plus d'informations sur le type de données sensibles et masquées qui peuvent être associées à différents types de fichiers et comment les nettoyer (les nettoyer).

Les fichiers de texte brut sont-ils sûrs à utiliser?

Comme l'a souligné Uwe Ziegenhagen , même les fichiers de texte brut Windows (ainsi que tout autre type de fichier) sur un système de fichiers NTFS peuvent potentiellement contenir des métadonnées, sous la forme de flux de données alternatifs . Voir aussi Comment utiliser les flux de données alternatifs NTFS .

Des flux de données alternatifs permettent d'associer des fichiers à plusieurs flux de données. Par exemple, un fichier tel que text.txt peut avoir un ADS avec le nom de text.txt: secret.txt (de la forme nom de fichier: ads) auquel on ne peut accéder qu'en connaissant le nom de l'ADS ou par des programmes spécialisés de navigation dans les répertoires.

Les flux alternatifs ne sont pas détectables dans la taille du fichier d'origine mais sont perdus lorsque le fichier d'origine (c'est-à-dire text.txt) est supprimé, ou lorsque le fichier est copié ou déplacé vers une partition qui ne prend pas en charge ADS (par exemple une partition FAT, un disquette ou un partage réseau). Bien que l'ADS soit une fonctionnalité utile, il peut également facilement consommer de l'espace sur le disque dur s'il est inconnu, qu'il soit oublié ou non détecté.

Cette fonctionnalité n'est prise en charge que si les fichiers se trouvent sur un lecteur NTFS.

Boîte de dialogue d'ouverture de fichier source UltraEdit .

Affichage et suppression d'autres flux de données

Remarques:

• Tout fichier d'un système de fichiers NTFS peut être associé à un autre flux de données (pas seulement des fichiers texte).
• Pour plus d'informations sur les problèmes de sécurité potentiels associés aux flux de données alternatifs, voir Menace cachée: flux de données alternatifs

Le bloc-notes et Word peuvent être utilisés (à partir de la ligne de commande) pour ouvrir et lire des flux de données alternatifs. Voir cette réponse Flux de données alternatifs NTFS par nishi pour plus d'informations.

UltraEdit peut ouvrir des flux de données alternatifs à partir du programme lui-même.

AlternateStreamView peut être utilisé pour supprimer des flux de données alternatifs:

AlternateStreamView est un petit utilitaire qui vous permet d'analyser votre lecteur NTFS et de trouver tous les flux alternatifs cachés stockés dans le système de fichiers.

Après avoir analysé et trouvé les flux alternatifs, vous pouvez extraire ces flux dans le dossier spécifié, supprimer les flux indésirables ou enregistrer la liste des flux dans un fichier texte, HTML, CSV ou XML.

Source AlternateStreamView par Nirsoft

Et les images?

Comme l'a souligné Scott , les images peuvent également contenir des données cachées (un fichier, un message, une autre image ou une vidéo, en utilisant la stéganographie :

La stéganographie comprend la dissimulation d'informations dans des fichiers informatiques. En stéganographie numérique, les communications électroniques peuvent inclure un codage stéganographique à l'intérieur d'une couche de transport, tel qu'un fichier de document, un fichier image, un programme ou un protocole.

Les fichiers multimédias sont idéaux pour la transmission stéganographique en raison de leur grande taille. Par exemple, un expéditeur peut commencer avec un fichier image inoffensif et ajuster la couleur de chaque 100e pixel pour correspondre à une lettre de l'alphabet, un changement si subtil qu'une personne qui ne le recherche pas spécifiquement ne le remarquera probablement pas.

Stéganographie source

Ceci, bien sûr, est très difficile à éliminer.

Voir aussi Steganography - A Data Hiding Technique and Stenography Software

Qu'en est-il des feuilles de calcul Excel ou des documents Word?

Par défaut, les documents Office contiennent des informations personnelles:

• Ces informations peuvent être supprimées, voir le lien ci-dessous.

Mot:

• Envisagez d'utiliser un fichier texte brut , créé avec le bloc-notes ou un autre éditeur, au lieu d'un document Word

Tableur:

• Pensez à utiliser un fichier CSV , créé avec Excel et enregistré au format CSV, ou créez un CSV directement avec un autre programme tel que le bloc-notes.

Les documents Word peuvent contenir les types de données masquées et d'informations personnelles suivants:

• Commentaires, marques de révision des modifications, versions et annotations manuscrites

  Si vous avez collaboré avec d'autres personnes pour créer votre document, votre document peut contenir des éléments tels que des marques de révision des modifications suivies, des commentaires, des annotations manuscrites ou des versions. Ces informations peuvent permettre à d'autres personnes de voir les noms des personnes qui ont travaillé sur votre document, les commentaires des réviseurs et les modifications apportées à votre document.

• Propriétés du document et informations personnelles

  Les propriétés du document, également appelées métadonnées, incluent des détails sur votre document tels que l'auteur, le sujet et le titre. Les propriétés du document incluent également des informations qui sont automatiquement gérées par les programmes Office, telles que le nom de la dernière personne à avoir enregistré un document et la date de création d'un document. Si vous avez utilisé des fonctionnalités spécifiques, votre document peut également contenir d'autres types d'informations personnellement identifiables (PII), telles que des en-têtes de courrier électronique, des informations d'envoi pour révision, des bordereaux de routage et des noms de modèle.

• En-têtes, pieds de page et filigranes

  Les documents Word peuvent contenir des informations dans les en-têtes et pieds de page. En outre, vous avez peut-être ajouté un filigrane à votre document Word.

• Texte masqué

  Les documents Word peuvent contenir du texte formaté en tant que texte masqué. Si vous ne savez pas si votre document contient du texte masqué, vous pouvez utiliser l'inspecteur de document pour le rechercher.

• Propriétés du serveur de documents

  Si votre document a été enregistré à un emplacement sur un serveur de gestion de documents, tel qu'un site Document Workspace ou une bibliothèque basée sur Microsoft Windows SharePoint Services, le document peut contenir des propriétés de document supplémentaires ou des informations liées à cet emplacement de serveur.

• Données XML personnalisées

  Les documents peuvent contenir des données XML personnalisées qui ne sont pas visibles dans le document lui-même. L'inspecteur de documents peut rechercher et supprimer ces données XML.

Remarque:

• L'inspecteur de document Word ne détecte pas le texte ou les images de couleur blanche avec la stéganographie (un fichier, un message, une image ou une vidéo caché)

Source Supprimez les données cachées et les informations personnelles en inspectant les documents

Que faire si j'utilise un fichier PDF obtenu auprès de quelqu'un d'autre?

Les PDF ne sont pas sûrs:

• Ils peuvent contenir des virus, voir Un fichier PDF peut-il contenir un virus?

• Ils peuvent contenir du JavaScript. Si le JavaScript devait "téléphoner à la maison" à chaque fois que le PDF était ouvert, il pourrait y avoir une belle piste incluant votre adresse IP.

• Les fichiers PDF peuvent également contenir des informations cachées:

  Le format PDF a également été fréquemment utilisé comme format de distribution pour les fichiers créés à l'origine dans Microsoft Office, car les données et métadonnées cachées peuvent être filtrées (ou caviardées) pendant le processus de conversion.

  Malgré cette utilisation courante des documents PDF, les utilisateurs qui distribuent ces fichiers sous-estiment souvent la possibilité qu'ils contiennent des données ou des métadonnées cachées. Ce document identifie les risques qui peuvent être associés aux documents PDF et fournit des conseils qui peuvent aider les utilisateurs à réduire la diffusion involontaire d'informations sensibles.

Source des données et métadonnées cachées dans les fichiers Adobe PDF:
risques de publication et contre-mesures , un document écrit par la NSA

Comment puis-je vérifier le fichier PDF pour m'assurer qu'il ne contient aucune information sensible?

Vous pouvez suivre les conseils donnés par la NSA pour assainir votre PDF.

• J'ai résumé les étapes de base que vous devez suivre.
• Des instructions détaillées étape par étape avec des captures d'écran sont disponibles à partir du lien ci-dessous.

Ce document décrit les procédures de nettoyage des documents PDF pour publication statique. La désinfection aux fins de ce document signifie la suppression des données cachées et du contenu dynamique non destinés à la publication (par exemple, le nom d'utilisateur de l'auteur ou les commentaires d'édition intermédiaires intégrés dans le fichier mais non visibles sur aucune page).

Les données cachées incluent:

• Métadonnées

• Contenu intégré et fichiers joints

• Scripts

• Couches masquées

• Index de recherche intégrée

• Données de formulaire interactif stockées

• Révision et commentaires

• Page masquée, image et données de mise à jour

• Texte et images obscurcis

• Commentaires PDF (non affichés)

• Données non référencées

...

Procédure détaillée de désinfection

1. Assainir le fichier source

   Si l'application qui a généré le fichier source dispose d'un utilitaire de nettoyage, celui-ci doit être appliqué avant la conversion au format PDF.

2. Configurer les paramètres de sécurité

   • Assurez-vous que toutes les mises à jour d'Acrobat applicables ont été téléchargées et installées
   • Désactiver JavaScript
   • Vérifiez que les paramètres du gestionnaire de confiance sont correctement définis

3. Exécuter le contrôle en amont

   Le contrôle en amont s'assure que le contenu du fichier est compatible avec la version de destination et applique des «corrections» si nécessaire.

4. Exécutez l'optimiseur PDF

   • Si le fichier PDF contient d'autres fichiers joints, un message d'avertissement apparaît. Cliquez sur 'OK' pour continuer. Les fichiers joints seront supprimés lors de l'optimisation PDF.
   • Les balises de document présentent un risque de données caché. Cette procédure (en particulier l'option cochée pour 'Supprimer les balises de document') les supprime du PDF nettoyé.

5. Exécutez l'utilitaire Examine Document

   • Cela permet de trouver du texte caché derrière des objets ainsi que toute autre zone qui aurait pu être manquée lors des étapes précédentes.

Source des données et métadonnées cachées dans les fichiers Adobe PDF:
risques de publication et contre-mesures , un document écrit par la NSA

Mais j'ai un logiciel antivirus!

Même un logiciel antivirus n'est pas garanti pour tout attraper. Voir exploit jour zéro :

Une vulnérabilité zero-day (également connue sous le nom de zero-hour ou 0-day) est une vulnérabilité de logiciel informatique non divulguée auparavant que les pirates peuvent exploiter pour nuire aux programmes informatiques, aux données, aux ordinateurs supplémentaires ou à un réseau.

Il est connu comme un «jour zéro» car une fois que la faille est connue, l'auteur du logiciel n'a aucun jour pour planifier et conseiller toute atténuation contre son exploitation (par exemple, en conseillant des solutions de contournement ou en émettant des correctifs)

Source zéro jour

Et ma clé USB? Dois-je m'en inquiéter?

Vous ne pouvez pas garantir la sécurité de votre clé USB.

Les périphériques USB, tels que les clés USB, peuvent être reprogrammés pour voler le contenu de tout ce qui est écrit sur le disque et pour diffuser le code de modification du micrologiciel sur tous les PC qu'il touche. Le résultat net pourrait être un virus auto-reproducteur qui se propage par le biais de clés USB épargnées, un peu comme les virus rudimentaires qui se propageaient par disquette il y a des décennies.

Source Pourquoi votre périphérique USB est un risque pour la sécurité

Cela dépend du type de fichier. Par exemple, toutes les applications Microsoft Office (Word, Excel, etc.) stockent les informations suivantes dans le fichier:

• nom de l'ordinateur (si le fichier a été enregistré)
• nom de l'auteur (par défaut, nom de la personne auprès de laquelle Microsoft Office est enregistré, mais cela peut être facilement modifié)
• date à laquelle le fichier a été crédité
• date de dernière sauvegarde du fichier

Les informations ci-dessus sont généralement appelées métadonnées de fichier.

Si vous enregistrez le document en tant que fichier texte brut, c'est-à-dire document.TXT (s'ouvre avec le Bloc-notes), aucune métadonnée ne sera enregistrée.

Traitez avec soin :)