http://www.presence-pc.com/actualite/nsa-securite-14231/
La NSA vous conseille...
Publié le 25/01/2006 à 09:59:50 par Benoit Parriaud
Source : News.com
La célèbre agence de contre-espionnage américaine a publié un guide à
propos de la publication de document suite à certaines mésaventures où des
données sensibles ont été inclues involontairement dans des fichiers
informatiques et exposés aux yeux de tout le monde. Le document de 13
pages est appelé : "Redacting with confidence: How to safely publish
sanitized reports converted from Word to PDF".
La politique de la terre brûlée
D'après la NSA, il vaut mieux supprimer littéralement toutes les
informations que vous ne désirez pas partager. "L'idée clé est de savoir
que n'importe quelle information cachée ou couverte dans un document
informatique peut être presque toujours retrouvée". Pour éviter toutes ces
embûches et éviter à votre entreprise ou vous-même quelques ennuis avec
les failles de sécurité, la NSA vous fait part de ce document en donnant
une démarche pas-à-pas pour convertir un document Word contenant des
informations confidentielles en document PDF. Ces documents contiennent
des informations de natures diverses : texte, images, tableaux et
méta-données rassemblées dans un même fichier. La complexité donne
d'autant plus de possibilités de dévoiler des informations sensées rester
confidentielles. La publication involontaire de méta-données a déjà dans
le passé provoqué de sérieux embarrassements : citons parmi les
entreprises maladroites le groupe SCO, le groupe pharmaceutique Merck mais
aussi la Maison Blanche, le Pentagone ou l'ONU. Autant de problèmes réels
qui font que ce document de la NSA devrait être le bienvenu dans les
entreprises pour sensibiliser leur personnel à la sécurité informatique.
Trois attitudes à éviter
L'agence souligne trois fautes principales qui conduisent aux fuites. La
première, c'est couvrir du texte avec du noir par dessus. Si cette
technique s'applique bien à un document papier, l'efficacité est bien
moindre sur un document PDF. La deuxième est assez similaire,
l'utilisateur recouvre un dessin ou un graphe avec un autre dessin comme
un rectangle noire par exemple. Il est cependant facile de se débarasser
de ces rajouts et de découvrir ce qu'ils cachaient. La dernière enfin
concerne les méta-données et l'oubli de les enlever ou les modifier :
c'est par exemple la date, l'auteur ou l'historique des modifications. Il
faudra faire attention également aux méta-données de Vista, le prochain OS
de Microsoft. Ces mots attachés par l'utilisateur à un document pourraient
être consultés par les destinataires et donner des informations que l'ont
aurait préféré garder pour soi, voir à ce sujet notre article : "Les
métadonnées de Vista : une menace ?"
Lire le document de la NSA "Redacting with confidence: How to safely
publish sanitized reports converted from Word to PDF" (en anglais)
http://www.nsa.gov/notices/notic00004.cfm?Address=/snac/vtechrep/I333-TR-015R-2005.PDF
