Les risques associés aux métadonnées

July 2006

Introduction

Au cours des dernières années, un certain nombre d’incidents se sont produits impliquant des « métadonnées de document » qui ont provoqué des situations embarrassantes professionnellement et politiquement. Les métadonnées indiquent, en dépit parfois des assertions du public, comment, quand et par qui un document a été créé et dans quelles mains il s’est retrouvé.

Dans cette fiche d'information, nous examinons les risques associés aux métadonnées et présentons certaines suggestions sur la façon dont vous pouvez les minimiser.

Que sont les métadonnées?

Les métadonnées sont habituellement qualifiées « de donnée sur une donnée » ou « d’information sur une information ». On peut les considérer comme un niveau caché d’information additionnelle automatiquement créée et incorporée dans un fichier informatique. Prenons un exemple que vous connaissez sûrement : l’étiquette d'une soupe en conserve. L’étiquette contient, dans un format standardisé et structuré, de l’information au sujet du contenu de la conserve (p. ex. le type de soupe, le fabricant, les ingrédients, la valeur nutritionnelle et ainsi de suite). De la même façon, les métadonnées liées à un document (sous forme de mots-clés, par exemple) peuvent fournir de l’information sur le contenu du document.

Chaque fois qu’un document est créé, mis en forme ou sauvegardé, des métadonnées y sont ajoutées. Cette information accompagne le document lorsqu’il est envoyé sous forme électronique (p. ex. en pièce jointe à un courriel) à d’autres groupes ou personnes de façon interne ou externe au sein d’une organisation. Ces métadonnées contiennent de l’information de nature potentiellement délicate pouvant être communiquée à des personnes ou à des groupes non autorisés.

Pour les besoins de cette fiche d'information, nous traiterons des métadonnées associées aux documents électroniques. Voici quelques exemples de métadonnées :

  1. le suivi des changements : marques qui indiquent l'endroit, dans un document, où une suppression, un ajout ou un autre changement de mise en forme ont été faits;
  2. les commentaires : notes ou annotations qu’un auteur ou un réviseur ajoute à un document. Microsoft Word présente les commentaires sous forme de bulle dans la marge d’un document ou le volet révision;
  3. vos noms et initiales;
  4. votre adresse électronique;
  5. le nom de votre entreprise ou organisation;
  6. les autres propriétés et renseignements sommaires du fichier comme la taille, la date et l’heure de création, de modification et de consultation ainsi que l’emplacement (p. ex. C:\MyDocuments\BankingInformation\AccountDetails);
  7. les noms des auteurs précédents du document;
  8. les modifications apportées au document;
  9. les versions du document;
  10. l’information du modèle : détermine la structure de base d’un document et contient les paramètres du document, comme les polices de caractères, les macros, la mise en page, le formatage spécial et les styles;
  11. le texte caché : texte visible pour les moteurs de recherche, mais invisible pour les humains. Il s’agit principalement d’un texte de la même couleur que la couleur de fond de la page. Il sert surtout à inclure des mots-clés additionnels dans la page sans en altérer la présentation;
  12. les macros : mini-programmes qui exécutent un ensemble de commandes en série. L’utilisateur n’a donc pas à taper l’information ou à saisir les données de nouveau. Les macros sont généralement créées pour les tâches fréquemment effectuées;
  13. les hyperliens.

Comme vous pouvez le constater, une quantité importante d’information « additionnelle » est liée aux documents électroniques. Puisque les métadonnées ne sont pas immédiatement visibles et que les applications éventuelles pourraient n’offrir aucun moyen de prévenir les utilisateurs que des commentaires sont insérés ou que des documents en pièce jointe contiennent des métadonnées, vous pourriez sans le savoir envoyer de l’information confidentielle à des personnes qui ne font pas partie de votre organisation. Les mêmes risques s’appliquent lorsque vous affichez certains types de documents dans votre site Web.

Quels sont les risques associés aux métadonnées?

Les applications logicielles qui semblent les plus touchées par la question des métadonnées sont les applications de soutien bureautique telles que Microsoft Word, Excel et PowerPoint, Corel WordPerfect, StarOffice de Sun et OpenOffice (une suite bureautique multi-plateforme à normes ouvertes). L’utilisation de fonctions de collaboration intégrées à ces applications (p. ex. commentaires et suivi des modifications), parallèlement aux fonctions destinées à accroître le soutien bureautique (p. ex. l’option Enregistrements rapides de Word), permet d’ajouter des métadonnées à un document. Certaines de ces applications (p. ex. StarOffice) sauvegardent les métadonnées dans un fichier distinct.

Les métadonnées constituent un cas classique d’arme à double tranchant : elles peuvent être à la fois utiles et néfastes. À titre d’exemple, les métadonnées d’un document contribuent à la catégorisation et à la recherche d’information intelligente (p. ex. par des mots-clés), au contrôle de la version et au déroulement des opérations. La possibilité de voir les commentaires d’autres personnes et les modifications proposées à un document à l’aide de la fonction Suivi des modifications est essentielle à la collaboration de collègues à un projet. Cependant, les modifications qui ne sont pas acceptées sont toujours conservées dans le document même si elles ne sont pas immédiatement visibles (on peut les voir en appuyant sur afficher les balises) et pourraient être vues par inadvertance par des personnes non autorisées lorsque le document est communiqué sous forme de pièce jointe à un courriel ou par disque souple ou CD-ROM ou encore mis dans un site Web.

Incidence financière

Des amendes pourraient être imposées à une organisation à la suite de la communication d’information de nature délicate. Les statistiques d’un document Microsoft Word (p. ex. lorsqu’un document a été créé, modifié, consulté et/ou imprimé) sont incluses dans les métadonnées ainsi que le nombre de modifications, le temps total consacré à mettre en forme le document, le nom des personnes qui ont travaillé au document et les noms de fichier sous lesquels le document a été enregistré. Si ces statistiques ne correspondent pas à l’information fournie à un client en ce qui concerne la facturation, par exemple, l’organisation pourrait se trouver dans une situation embarrassante ou devoir payer des amendes.

Désavantage concurrentiel

Si un document existant sert de modèle à un nouveau document, l’information liée à l’utilisation antérieure (p. ex. l’information sur le client, la tarification, les commentaires, etc.) pourrait être conservée en tant qu’information cachée dans le nouveau document. Si un compétiteur est en mesure d’obtenir une copie du document, il peut en extraire l’information cachée et offrir un tarif concurrentiel pour attirer un consommateur.

Il y a également le cas où plusieurs personnes collaborent à l’élaboration d’un document  présentant les fonctions d’un nouveau produit, à l’aide du suivi des modifications, des commentaires ou de la fonctionnalité de contrôle des versions Microsoft Word. De l’information de nature délicate pourrait alors figurer dans les modifications qui ne sont pas acceptées (p. ex., on pourrait décider d’exclure certaines fonctions du produit dans la documentation parce qu’elles ne sont pas tout à fait prêtes) ou dans les versions antérieures du document. Un compétiteur pourrait avoir accès à cette information et s’en servir pour en tirer un avantage sur le plan de la concurrence (c.-à-d. qu’il pourrait mettre en circulation un produit contenant les fonctions exclues et affaiblir votre position sur le marché).

Incidence de la réglementation

À la suite d’une erreur dans l’envoi d’un courriel, les profits de toute une année d’une entreprise auraient pu être révélés avant d’être confirmés et présentés à l’organisme de réglementation concerné. Mis à part l’embarras et l’incidence possible sur le prix de l’action de l’entreprise, l’incident a donné lieu à une enquête lancée par l’organisme de réglementation.Note de bas de page 1

Que pouvez-vous faire pour vous protéger?

Il existe un certain nombre de moyens que vous pouvez prendre pour atténuer les risques liés aux fuites d’information par les métadonnées d’un document. Vous pourriez notamment effectuer les opérations suivantes:

  1. Utilisez les capacités existantes des applications de Microsoft Office. Par exemple, veillez à ce que la case « Autoriser les enregistrements rapides » dans Outils (menu Options-onglet Enregistrement) ne soit pas cochée. Dans Outils (menu Options-onglet sécurité), Microsoft vous donne la possibilité de supprimer l’information personnelle d’un fichier lorsqu’il est sauvegardé et vous signale que le document que vous allez imprimer, enregistrer ou envoyer contient un suivi des modifications ou des commentaires – assurez-vous de cocher cette case. Il en va de même pour Corel WordPerfect Office X3 qui comporte un outil de suppression des métadonnées disponible dans « Fichier, sauvegarder sans les métadonnées » du menu Option.
  2. Produisez des documents dans d’autres formats tel que PDF. Bien que les fichiers PDF contiennent encore certaines métadonnées de base (p. ex. la taille du fichier, la date de création, etc.), la conversion d’un fichier en format PDF aide habituellement à épurer les autres métadonnées (rappelons une chose : quelques convertisseurs gratuits en PDF pour Windows récupéreront les métadonnées de Word et les ajouteront aux fichiers PDF que vous créerez). Idéalement, vous devriez épurer les métadonnées, comme le suivi des modifications, avant de les convertir en PDF.
  3. Utilisez l’outil de suppression des métadonnées de Microsoft. Il est disponible dans le site Web d’aide de Microsoft à http://support.microsoft.com/default.aspx?kbid=834427. Malheureusement, cet outil ne fonctionne qu’avec Office 2003 ou Office XP 2003.
  4. Utilisez une application tierce partie pour supprimer toutes les métadonnées des documents. Au nombre des applications tierces parties figurent : Metadata Assistant dans le site Web de Payne Consulting Group (www.payneconsulting.com) et Workshare Protect dans le site de Workshare (www.workshare.net).  Nota : les références à un outil ou un fournisseur particulier ne supposent nullement que le Commissariat souscrit à cet outil ou à ce fournisseur. Ils ne sont mentionnés qu’à titre d’exemple.

Information additionnelle

Tel que susmentionné, un certain nombre d’entreprises ont conçu des outils logiciels permettant de supprimer les métadonnées des documents avant qu’ils soient communiqués ou rendus publics. Ces entreprises prodiguent souvent des avis et des conseils sur la façon de supprimer les métadonnées dans les documents.

Microsoft publie également plusieurs guides pratiques sur la suppression des métadonnées dans les documents Office. Ces guides se trouvent dans la base de connaissances de Microsoft (en anglais seulement) :

La base de connaissances de Corel contient deux entrées (nos des réponses 753605 et 759035) qui traitent de la suppression des métadonnées des documents WordPerfect Office.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :