Un peu de son disque dans un PDF

Cette « faille » de confidentialité a été révélée par un article sur le blog SecureThoughts.com. Et c’est assez simple en réalité.

Lorsque vous imprimez une page Web sous forme de fichier PDF, il est courant que l’application insère le nom du fichier imprimé en pied de page et par défaut il s’agira du chemin complet vers le fichier imprimé… Donc si vous avez sauvé localement une copie de la page Web ou construit sur votre disque dur la page Web en question, le chemin complet apparaîtra, révélant certaines informations sur votre arborescence, comme votre nom d’utilisateur local.

Il est d’ailleurs possible de configurer sous Internet Explorer le pied de page (Menu Fichier / Mise en page… / Pied de page, remplacer URL par – Vide – ou autre chose).

Ce qui pose problème est que lorsqu’on effectue cette impression depuis Internet Explorer 8 (et selon l’auteur pas depuis d’autres navigateurs), l’impression insère par défaut ce chemin complet vers le fichier imprimé à l’intérieur du code du fichier PDF, sans qu’il soit possible de modifier cet état de fait, et ce quel que soit le moteur d’impression PDF utilisé (Adobe, CutePDF, etc.). Ce serait d’ailleurs aussi le cas lorsque l’on invoque l’impression depuis l’explorateur de Windows.

L’auteur de cet article propose de chercher un certain nombre de ces fichiers dans votre moteur de recherches préféré en entrant comme mots clés: « filetype:pdf file c (htm OR html OR mhtml) » (puis d, e, etc. à la place de c). Outre des fichiers PDF qui arborent cette information dans le pied de chaque page, on trouve aussi des fichiers qui les abritent au sein du code PDF, à l’insu vraisemblablement de la personne qui a publié ce fichier.

Sous un angle criminalistique, ces métadonnées sont évidemment particulièrement intéressantes pour rapprocher une impression PDF d’un ordinateur. Sur le plan de la vie privée, avant de publier un PDF d’une page Web sur son site Web, on veillera à utiliser une autre configuration.

À propos Éric Freyssinet
Officier de gendarmerie. Docteur en informatique. Travaille depuis 1998 dans le domaine de la lutte contre la cybercriminalité, actuellement conseiller auprès du Préfet en charge de la lutte contre les cybermenaces au Ministère de l'intérieur. Les idées publiées sur ce blog le sont à titre personnel. Law enforcement officer (colonel with the Gendarmerie nationale in France). PhD in computer science. Working since 1998 in the fight against cybercrime. Views published on these blogs are personal.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :