Le vrai #FAIL du Quai d'Orsay...

Publié le 16 mars 2011 par Sid

L

e pêtard mouillé du Quai d'Orsay, à savoir une supposée énorme fuite de renseignements sur la sécurité du système d'information du Ministère des Affaires Étrangères au travers du CCTP d'un appel d'offre public, a quelque peu occulté un vrai bon #FAIL des familles. Lequel illustre une vulnérabilité du format PDF, autre que celle qui a mis Bercy à mal...

Comme cela a été mentionné dans l'article de Zataz et ici-même par voie de commentaire, le dossier de candidature contient en particulier deux documents dont certaines parties ont été dissimulées. Sauf que comme chacun le sait, avec le format PDF en particulier, les rectangles noirs apposés sur du texte ne manquent pas de poser quelques soucis...

Les deux documents en question sont respectivement intitulés "Documentation Analyse-de-risque-2005-.pdf" et "Documentation Note de Cadrage-2005.pdf" et font appel à cette technique largement décriée[1]. Or, comme beaucoup le savent, mais pas encore assez manifestement, ça ne ne donne pas le résultat escompté pas. En effet, le format PDF stocke le texte et les graphismes dans deux types d'objets différents. Quand on convertit un document dont du texte a été masqué au moyen de rectangles noirs, cette différence de traitement fait que le texte ainsi dissimulé ne disparaît pas du document mais se trouve simplement derrière un objet graphique. Du coup, un simple copier/coller du texte du document vous rendra les parties que l'auteur voulait voir disparaître.

Cette spécificité technique est particulièrement visible quand on commence à s'amuser avec un outil de manipulation de documents PDF comme l'excellent PDFedit. Au-delà de la manipulation ultra-simple de récupération du texte dissimulé par copier/coller, voila qui vous permettra d'approfondir la question sur ce genre de documents. Plus largement en ce qui concerne les formats binaires, les possibilités offertes par un outil tel que FOCA devrait en amuser plus d'un, et faire réfléchir quelques autres...

En particulier sur le fait que pleins de formats dits WYSIWYG ne le sont en fait pas. Car si tout ce que vous obtenez grosso modo tout ce que vous voyez, vous ne voyez pas forcément tout ce qui vous allez obtenir[2]. Ce qu'on pourrait qualifier de "what you get is way more then what you see"...

Dans le cas qui nous intéresse, en plus de la suppression notable de la mention "DOCUMENT CONFIDENTIEL" de toutes les pages, ce sont des noms qui se trouvent dissimulés ainsi : nom de auteurs, des relecteurs et plus largement des personnes citées dans le document. On notera également une paire d'annotations qui traînent encore. Pas de quoi, certes, comme je le disais précédemment, porter directement atteinte à la sécurité du système d'information du Quai d'Orsay. Mêmes ajoutée aux informations qu'on peut trouver dans le reste du dossier[3], cette fuite n'est en rien de comparable avec le Wikileaks qu'on nous décrivait. Seulement, comme la dissimulation de ces noms semble manifestement avoir été la condition de passage du statut de confidentiel à celui de public, cette bévue laisse tout de même un sérieux sentiment d'amateurisme. Ou tout du moins de sérieux manque de maîtrise quant au processus de publication...

Car dire qu'il s'agit là d'un problème connu relève au mieux du doux euphémisme. Parmi tous les cas d'école, la publication des documents d'enquête sur la mort de Nicola Calipari, officier des services de renseignement militaires italien abattu par un tir américain en Irak, reste exemplaire dans ce domaine. La bévue, qui date quand même de 2005, illustre la plupart des sensibilisations à la fuite de données[4], au même titre que les grands classiques sur la gestion des révisions des documents Office ou les données EXIF des images JPEG.

On pourrait donc se montrer surpris de découvrir une énième boulette de ce genre en 2011. Mais ce serait oublier combien le monde de l'informatique a la mémoire courte...

Notes

[1] Et apprécié par les adeptes de la démonstration par l'exemple...

[2] Sujet de dissertation : WYSIWYG vs. "What you see is what you want". Vous avez quatre heures ;)

[3] CCTP en particulier.

[4] En tout cas celles auxquelles il m'a été donné d'assister et/ou de contribuer.