Le FBI se prend les pieds dans un document PDF

Pas si simple de masquer des informations sensibles sur les documents mis en ligne à destination du public. Un simple copier-coller suffit pour révéler les petits secrets de la police fédérale des Etats-Unis.

Matt Blaze, un professeur de l'université de Pennsylvanie, vient accidentellement de démontrer que les services du Département américain de la Justice (l'équivalent du ministère de la Justice) n'effacent pas correctement les données sensibles des documents qu'ils rendent public.

Le Département de la Justice a publié un document concernant la mise à niveau technique des commutateurs des compagnies de télécommunication américaines pour se conformer à la nouvelle réglementation sur les écoutes, le Communications Assistance to Law Enforcement Act, dit Calea. C'est le FBI qui est chargé de l'exécution de cette mission.

Ce document, publié en ligne au format .pdf, contient des tableaux qui détaillent le coût des opérations, et dont les données ont été masquées de manière à ne pas les rendre publiques.

Mais en voulant copier les parties visibles de ce document, pour le faire parvenir à un de ses étudiants, Matt Blaze a copié le contenu du tableau masqué, contenu qui apparaît dès lors que l'on le colle dans un éditeur de texte standard.

fbi
Copier-coller les données masquées dans un traitement de texte après les avoir sélectionnées suffit pour lire le contenu jugé sensible par le FBI. © Department of Justice

En 2007 déjà, le département américain de la justice avait du faire face à un même type d'erreur de la part de ses services.

En mai 2005, c'est un rapport de l'armée portant sur le décès de Nicolas Calipari, un agent des services secrets italiens abattu par des militaires américains, qui avait laissé apparaître au public les noms et grades des soldats mis en cause, alors que ces informations avaient été masquées sur le document .pdf.

La NSA (National Security Agency) met à disposition du public un document qui explique comment masquer efficacement les informations sensibles sur des documents au formats .doc et .pdf rendus publics. Ce document mentionne par ailleurs que les erreurs proviennent très souvent du fait que les auteurs impriment les documents masqués pour vérifier leur travail.

Posées sur le papier, les données masquées ne sont effectivement plus lisibles. Mais lues sur un ordinateur, l'ensembles des données contenues dans le document, mais aussi les méta données telles que les dates de modification des versions et les noms des auteurs, peuvent aisément être retrouvées.

Un facteur de fuite qui doit également être prise en compte dans les documents diffusés vers l'extérieur par les entreprises.