Aujourd\u2019hui nous allons parler d\u2019un sujet que les individus ne connaissent pas ou auquel ne pensent pas beaucoup, les m\u00e9tadonn\u00e9es<\/em>, des informations sur un fichier plut\u00f4t que des informations figurant dans <\/em>un fichier. Les m\u00e9tadonn\u00e9es peuvent transformer un document num\u00e9rique en un fichier compromettant.<\/p>\n Commen\u00e7ons notre immersion par un peu de th\u00e9orie. La loi am\u00e9ricaine d\u00e9finit trois cat\u00e9gories de m\u00e9tadonn\u00e9es\u00a0:<\/p>\n Voici un exemple classique de probl\u00e8mes que les m\u00e9tadonn\u00e9es compromises peuvent engendrer\u00a0: le rapport du gouvernement britannique de 2003 sur les pr\u00e9tendues armes de destruction massive de l\u2019Irak. La version .doc du rapport incluait des m\u00e9tadonn\u00e9es sur les auteurs (ou pr\u00e9cis\u00e9ment, des personnes qui avaient introduit les 10 derni\u00e8res modifications). Ces informations avaient lanc\u00e9 quelques signaux sur la qualit\u00e9, l\u2019authenticit\u00e9, et la cr\u00e9dibilit\u00e9 du rapport.<\/p>\n Selon la BBC<\/a>, \u00e0 la suite de la d\u00e9tection des m\u00e9tadonn\u00e9es du fichier d\u2019origine, le gouvernement avait choisi d\u2019utiliser la version .pdf du rapport \u00e0 la place, du fait qu\u2019il contenait moins de m\u00e9tadonn\u00e9es.<\/p>\n Une autre r\u00e9v\u00e9lation curieuse concernant des m\u00e9tadonn\u00e9es avait impliqu\u00e9 un client de Venable, un cabinet juridique am\u00e9ricain, en 2015<\/a>. Venable avait \u00e9t\u00e9 contact\u00e9 par une entreprise dont le vice-pr\u00e9sident avait r\u00e9cemment d\u00e9missionn\u00e9. Peu apr\u00e8s sa d\u00e9mission, l\u2019entreprise avait perdu un contrat avec une organisation gouvernementale pour un concurrent, un concurrent travaillant avec l\u2019ancien vice-pr\u00e9sident.<\/p>\n L\u2019entreprise avait accus\u00e9 son ancien vice-pr\u00e9sident de ne pas avoir respect\u00e9 le secret professionnel, en indiquant que c\u2019est de cette mani\u00e8re qu\u2019il avait gagn\u00e9 le contrat gouvernemental. Pour leur d\u00e9fense, l\u2019accus\u00e9 et son nouveau cabinet avaient fourni comme preuve une offre commerciale similaire pr\u00e9par\u00e9e pour un gouvernement \u00e9tranger. Ils avaient indiqu\u00e9 qu\u2019elle avait \u00e9t\u00e9 cr\u00e9\u00e9e pour un autre client avant <\/em>que le contrat soit lanc\u00e9 aux Etats-Unis, et que par cons\u00e9quent il ne violait pas la convention de non-concurrence de l\u2019ancien vice-pr\u00e9sident avec le plaignant.<\/p>\n Mais les accus\u00e9s avaient omis de consid\u00e9rer que les m\u00e9tadonn\u00e9es dans leur t\u00e9moignage contenaient une anomalie de l\u2019horodatage. Les m\u00e9tadonn\u00e9es du syst\u00e8me ont montr\u00e9 que le fichier avait \u00e9t\u00e9 sauvegard\u00e9 pour la derni\u00e8re fois avant la derni\u00e8re impression, qui, selon les affirmations d\u2019un expert, ne peut pas se produire. L\u2019horodatage de la derni\u00e8re impression appartient aux m\u00e9tadonn\u00e9es de l\u2019application, et est sauvegard\u00e9 dans le document uniquement <\/em>lorsque le fichier lui-m\u00eame est sauvegard\u00e9. Si un document est imprim\u00e9 et n\u2019est pas sauvegard\u00e9 ensuite, la nouvelle date de l\u2019impression n\u2019est pas sauvegard\u00e9e dans les m\u00e9tadonn\u00e9es.<\/p>\n Une autre preuve de falsification de documents \u00e9tait sa date de cr\u00e9ation sur le serveur d\u2019entreprise. Le document avait \u00e9t\u00e9 cr\u00e9\u00e9 apr\u00e8s que le proc\u00e8s a eu lieu devant les tribunaux. De plus, les pr\u00e9venus ont \u00e9t\u00e9 accus\u00e9s d\u2019avoir alt\u00e9r\u00e9 l\u2019horodatage de la derni\u00e8re modification dans les fichiers .olm (cette extension est utilis\u00e9e sur Microsoft Outlook pour les fichiers Mac).<\/p>\n Les preuves des m\u00e9tadonn\u00e9es \u00e9taient suffisantes pour que la justice se prononce en faveur des plaignants, en les d\u00e9dommageant de 20 millions de dollars et en sanctionnant les accus\u00e9s avec des millions suppl\u00e9mentaires.<\/p>\n Les fichiers Microsoft Office proposent un riche ensemble d\u2019outils de collecte de donn\u00e9es priv\u00e9es. Par exemple, les notes de bas de page du texte peuvent inclure des informations suppl\u00e9mentaires qui ne sont pas destin\u00e9es \u00e0 un usage public. Le suivi de r\u00e9vision int\u00e9gr\u00e9 dans Word pourrait \u00e9galement \u00eatre utile pour un espion. Si vous choisissez l\u2019option \u00ab\u00a0Final\u00a0: afficher les marques\u00a0\u00bb (ou \u00ab\u00a0pas de marge\u00a0\u00bb ou similaire, selon la version de votre Word), le suivi des modifications dispara\u00eetra de l\u2019\u00e9cran, elles resteront dans les fichiers, en attendant un lecteur attentif.<\/p>\n Il existe \u00e9galement des notes pour les diapositives dans les pr\u00e9sentations Power Point, des colonnes cach\u00e9es dans des feuilles Excel, et plus encore.<\/p>\n En fin de compte, les tentatives de masquer des donn\u00e9es sans savoir comment le faire correctement ont tendance \u00e0 ne pas fonctionner. Un bon exemple ici est un document judiciaire<\/a> publi\u00e9 sur CBSLocal, se r\u00e9f\u00e9rant au cas Etats-Unis vs. Rod Blagojevic, ex gouverneur de l\u2019Illinois. Il s\u2019agit d\u2019une requ\u00eate du tribunal de d\u00e9livrer une assignation \u00e0 compara\u00eetre du proc\u00e8s de Barack Obama, dat\u00e9e de 2010.<\/p>\n Certaines parties du texte sont masqu\u00e9es par des ratures noires. Toutefois, si vous copiez et collez un bloc de texte dans n\u2019importe quel traitement de texte, vous pourrez le lire dans son int\u00e9gralit\u00e9.<\/p>\n Les ratures noires dans un PDF peuvent \u00eatre utiles pour masquer des informations publi\u00e9es, mais cette mesure peut \u00eatre facilement contourn\u00e9e dans un format num\u00e9rique<\/em><\/p>\n<\/div>\n Les donn\u00e9es des fichiers externes int\u00e9gr\u00e9es dans un document sont une toute autre histoire.<\/p>\n Pour montrer un exemple r\u00e9el, nous avons cherch\u00e9 certains documents sur des sites web gouvernementaux, et avons examin\u00e9 la d\u00e9claration de revenus de 2010 du D\u00e9partement de l\u2019\u00c9ducation des \u00c9tats-Unis.<\/p>\n Nous avons t\u00e9l\u00e9charg\u00e9 le fichier et d\u00e9sactiv\u00e9 la protection en lecture seule (qui ne n\u00e9cessitait pas de mot de passe). Il existe un graphique en apparence normale \u00e0 la page 41. Nous avons s\u00e9lectionn\u00e9 \u00ab\u00a0Modifier les donn\u00e9es\u00a0\u00bb dans le menu contextuel du graphique, en ouvrant finalement un fichier source Microsoft Excel int\u00e9gr\u00e9 contenant toutes les donn\u00e9es source.<\/p>\n Voici un rapport dans un fichier Word, contenant un Excel dot\u00e9 d\u2019une multitude de donn\u00e9es sources pour cela et d\u2019autres graphiques. <\/em><\/p>\n<\/div>\n Il va sans dire que ces fichiers int\u00e9gr\u00e9s peuvent contenir n\u2019importe quoi, y compris des tonnes d\u2019informations priv\u00e9es, quiconque a publi\u00e9 le document doit avoir suppos\u00e9 que les donn\u00e9es \u00e9taient inaccessibles.<\/p>\n Le processus de collecte des m\u00e9tadonn\u00e9es provenant d\u2019un document appartenant \u00e0 une organisation d\u2019int\u00e9r\u00eat peut \u00eatre automatis\u00e9 \u00e0 l\u2019aide d\u2019un logiciel tel qu\u2019ElevenPaths de FOCA (Fingerprinting Organizations with Collected Archives<\/em>).<\/p>\n FOCA peut trouver et t\u00e9l\u00e9charger des formats de documents (par exemple, .docx et .pdf), analyser leurs m\u00e9tadonn\u00e9es, et d\u00e9couvrir de nombreux \u00e9l\u00e9ments \u00e0 propos de l\u2019entreprise, tels que le c\u00f4t\u00e9 du logiciel du serveur qu\u2019elle utilise, les identifiants et bien plus encore.<\/p>\n Nous devons cependant \u00e9mettre une mise en garde ici\u00a0: analyser des sites web avec de tels outils, m\u00eame au profit de la recherche, peut \u00eatre pris tr\u00e8s au s\u00e9rieux par des propri\u00e9taires de sites web ou m\u00eame \u00eatre qualifi\u00e9 de cybercrime.<\/p>\n Voici quelques particularit\u00e9s de m\u00e9tadonn\u00e9es que tous les experts en informatique ne connaissent pas. Prenez le syst\u00e8me de fichiers NTFS utilis\u00e9 par Windows.<\/p>\n Fait 1. <\/strong>Si vous supprimez un fichier d\u2019un dossier et que vous sauvegardez imm\u00e9diatement un nouveau fichier avec le m\u00eame nom dans le m\u00eame dossier, la date de cr\u00e9ation sera la m\u00eame que celle du fichier que vous avez supprim\u00e9.<\/p>\n Fait 2. <\/strong>En plus d\u2019autres m\u00e9tadonn\u00e9es, NTFS conserve la date du dernier acc\u00e8s au fichier. Toutefois, si vous ouvrez le fichier et v\u00e9rifiez ensuite la date du dernier acc\u00e8s dans les propri\u00e9t\u00e9s du fichier, la date restera la m\u00eame.<\/p>\n Vous devez penser que ces faits \u00e9tranges sont juste des bugs, mais ils sont essentiellement des fonctionnalit\u00e9s enregistr\u00e9es. Dans le premier cas, on parle de tunneling<\/a>, qui est n\u00e9cessaire pour activer la compatibilit\u00e9 du logiciel en arri\u00e8re. \u00a0Par d\u00e9faut, cet effet dure 15 secondes, au cours duquel le nouveau fichier obtient l\u2019horodatage de cr\u00e9ation associ\u00e9 au fichier pr\u00e9c\u00e9dent (vous pouvez modifier l\u2019intervalle dans les param\u00e8tres du syst\u00e8me ou d\u00e9sactiver totalement le tunneling dans le journal des modifications). En r\u00e9alit\u00e9, l\u2019intervalle par d\u00e9faut \u00e9tait suffisant pour que je puisse tomber sur le tunneling deux fois par semaine rien qu\u2019en faisant mon travail.<\/p>\n Le second cas est \u00e9galement enregistr\u00e9\u00a0: en commen\u00e7ant par Windows 7, par souci de performance Microsoft a d\u00e9sactiv\u00e9 l\u2019horodatage automatis\u00e9 pour l\u2019heure lors du dernier acc\u00e8s. Vous pouvez activer cette fonction dans le registre<\/a>. Toutefois, une fois qu\u2019elle est activ\u00e9e, vous ne pouvez pas faire marche arri\u00e8re pour corriger le probl\u00e8me\u00a0; le fichier ne garde pas les dates correctes (comme le prouve un \u00e9diteur de disque de bas niveau).<\/p>\n Nous esp\u00e9rons que les experts l\u00e9gistes sont conscients de ces sp\u00e9cificit\u00e9s.<\/p>\n D\u2019ailleurs, les m\u00e9tadonn\u00e9es de fichiers peuvent \u00eatre alt\u00e9r\u00e9es en utilisant des applications natives\/du syst\u00e8me d\u2019exploitation par d\u00e9faut et un logiciel sp\u00e9cial. Cela signifie que vous ne pouvez pas compter sur les m\u00e9tadonn\u00e9es comme preuve dans un tribunal \u00e0 moins qu\u2019elles soient accompagn\u00e9es d\u2019\u00e9l\u00e9ments tels qu\u2019un service de messagerie ou des registres de serveurs.<\/p>\n Une fonction int\u00e9gr\u00e9e dans Microsoft Office appel\u00e9e Document Inspector (Fichier-> Informations -> Inspecter-> Document sur Word 2016<\/em>) montre \u00e0 un utilisateur les donn\u00e9es contenues dans un fichier. Dans une certaine mesure, ces donn\u00e9es peuvent \u00eatre supprim\u00e9es sur demande, bien que les donn\u00e9es ne soient pas int\u00e9gr\u00e9es (comme dans le rapport du D\u00e9partement de l\u2019\u00c9ducation cit\u00e9 pr\u00e9c\u00e9demment). Les utilisateurs devraient faire attention lorsqu\u2019ils ins\u00e8rent des graphiques et des diagrammes.<\/p>\n![\"Metadata](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/03\/06093732\/metadata-office-files-featured-2-1024x672.jpg\")
<\/a><\/p>\nM\u00e9tadonn\u00e9es de documents <\/strong><\/h3>\n
\n
Un fichier (trafiqu\u00e9) de 20 millions de dollars <\/strong><\/h3>\n
Fichiers cach\u00e9s <\/strong><\/h3>\n
<\/a><\/p>\nFichiers \u00e0 l\u2019int\u00e9rieur des fichiers <\/strong><\/h3>\n
<\/a><\/p>\nCollecte des m\u00e9tadonn\u00e9es<\/strong><\/h3>\n
Particularit\u00e9s enregistr\u00e9es <\/strong><\/h3>\n
M\u00e9tadonn\u00e9es\u00a0: S\u00e9curit\u00e9 <\/strong><\/h3>\n