DOCUMENTS SPÉCIALISÉS
Des outils essentiels
Acrobat et la protection de vos documents
Serge Dufour, rédacteur, Multiscripta, chef de projets documentaires
Vous utilisez des fichiers PDF régulièrement. Parfois, ce sont vos lectures de chevet. À d’autres moments, vous les créez pour les envoyer à vos clients. Il s’agit sans doute d’un des formats de fichier les plus utilisés dans le monde. Et pourtant, les connaissez-vous vraiment? Sont-ils sécuritaires? Peut-on les ouvrir sans danger? Quels risques y sont associés? Comment se protéger?
Nous verrons dans cet article, les méthodes principales qui sont utilisées par Adobe Acrobat pour protéger vos documents PDF. Pour simplifier notre propos et pour éviter d’alourdir cet article, nous ne nous intéresserons pas aux solutions qui demandent l’utilisation d’infrastructures informatiques.
En effet, Adobe permet de développer des plateformes plus propices pour les grandes entreprises qui produisent et font circuler de grandes quantités de documents PDF. Ces entreprises doivent utiliser des serveurs dédiés et utiliser des méthodes d’authentification automatisées pour se simplifier la tâche. C’est le rôle d’une plateforme comme Adobe LiveCycle Rights Management ES.
La protection de vos documents
La protection des documents PDF se distingue de deux façons : la protection liée à l’application et la protection liée au contenu. À l’application, c’est en fait, surtout contre l’application :
- protection contre le code malveillant;
- pièces jointes infectées;
- hyperliens dangereux;
- actions du PDF sur des fichiers et des répertoires non autorisés, etc.
La protection liée au contenu elle, c’est surtout pour limiter sur mesure tout ce qu’on peut faire avec un fichier PDF :
- l’ouvrir;
- l’imprimer;
- le modifier;
- le copier;
- en modifier les droits, etc.
La protection du contenu
La protection du contenu est souvent celle qui est la plus utilisée. Elle permet de créer des documents PDF avec des profils bien adaptés à vos besoins. Vous pouvez vouloir qu’une seule personne puisse ouvrir votre fichier PDF. Vous pouvez demander à ce que le fichier puisse être lu sans qu’il soit possible de le copier ou encore de l’imprimer.
Vous pouvez aussi demander à ce qu’un document PDF soit validé par votre destinataire à l’aide d’un certificat, ce qui permettra de garantir l’origine du document.
La protection par mot de passe
La protection par mot de passe possède deux niveaux dans Adobe Acrobat : mot de passe pour l’ouverture du fichier (ou mot de passe utilisateur) et mot de passe pour le changement des droits d’accès (ou mot de passe principal). Il est conseillé de toujours utiliser ces deux niveaux lorsque vous créez ce type de protection.
La protection par mot de passe vous permet de protéger votre document à l’aide d’un cryptage de votre fichier de même niveau que vos transactions bancaires en ligne. Bien entendu, je vous conseille de toujours garder une copie originale des documents que vous protégez et d’utiliser un gestionnaire de mots de passe. Autrement, l’exercice peut vite s’avérer impossible à gérer si vous en produisez régulièrement.
Le mot de passe sur les droits d’accès vous permet de modifier les fonctions liées à l’impression, la modification, la copie du contenu des documents. Les seules exceptions dans le cas des restrictions liées à la modification sont celles qui touchent les champs des formulaires. Il est toujours possible de les remplir. Le document lui-même ne peut pas être protégé contre la copie. S’il est copié, les propriétés seront transférées au double. Lors de l’ouverture du document protégé, vous pouvez utiliser l’un ou l’autre des mots de passe pour l’ouverture (1).
La protection par certificat
La protection par certificat implique la création d’un certificat et l’échange de celui-ci avec les personnes concernées. Celui-ci peut être produit par une autorité de certification du même type que celle qui valide l’origine des pages Web que vous visitez ou vous pouvez le créer et le gérer à partir de votre application Adobe Acrobat.
Grâce à un certificat, vous pourrez lire un fichier chiffré et valider la signature numérique de votre destinataire. Vous pouvez associer votre certificat à un ou plusieurs destinataires et établir des stratégies sur mesures qui donneront des droits de copie, de modification, d’impression, etc., de vos documents PDF (2). Comme nous le verrons plus loin, il est aussi possible de gérer la protection de vos documents à l’aide d’une stratégie de protection.
Échange de certificats
Dans le cadre de vos activités de création de documents, vos certificats sont stockés sur des serveurs ou des répertoires partagés. Si vous recevez un certificat d’un utilisateur, il faut vous assurer qu’il fait bien partie de votre liste d’identités approuvées. Une fois les certificats validés, les documents que vous recevrez seront automatiquement vérifiés. La validation des certificats peut se faire grâce à l’envoi d’un courriel. Il est aussi possible d’accepter un certificat après approbation de l’identité numérique de l’émetteur dans un document PDF. Nous ne nous étendrons pas ici sur les méthodes de validation supplémentaires qui existent et qui permettent de valider les informations que contiennent les certificats ni sur les différentes configurations touchant, entre autres, la durée et la portée de ceux-ci.
La protection de votre confidentialité
Modifier le contenu confidentiel
Les documents PDF contiennent des informations visibles, lisibles et des informations présentent sous forme de métadonnées et d’information non accessible en lecture. Lorsque vous voulez faire parvenir un document que vous avez créé, vous pouvez décider de limiter l’accès à ces informations ou simplement vérifier si celle-ci est facilement disponible.
Pour effacer du contenu non visible, il faut utiliser la fonction Supprimer les informations cachées. Ainsi, vous pourrez effacer le contenu des métadonnées ou tout contenu pouvant permettre de modifier, par la suite, votre document. Vous pouvez aussi inspecter votre document de façon à rendre visibles les éléments autrement invisibles dans votre document. Pour effacer du contenu visible, il faut utiliser l’outil biffure. Vous pouvez modifier facilement le format de caviardage des éléments que vous désirez biffer.
Par la suite, vous pouvez inspecter votre document PDF en utilisant la fonction Supprimer les informations cachées. Vous pouvez aussi vérifier qu’il n’y a pas de pièces jointes qui pourraient être envoyées accidentellement. Utilisez la fonction Affichage du volet navigateur pour permettre l’affichage de ce contenu. Il est possible de faire de même avec toutes les informations que peut contenir votre document PDF : les signets, les commentaires, les annotations, les champs de formulaire, les index, les scripts.
La protection de l’application
Depuis les tout débuts, les innovations en informatique se sont toujours accompagnées de comportements malveillants : virus, exécution de scripts, vol d’identité, ouverture d’hyperliens dangereux, etc. Le format PDF a pu profiter d’une certaine accalmie à ses débuts, mais les choses évoluant, il a rejoint depuis les autres fichiers et applications pouvant comporter des dangers pour votre sécurité. C’est pour cette raison qu’Adobe Acrobat a développé des mécanismes afin de vous protéger contre ces types d’attaques.
Par défaut, la protection renforcée est activée sur Acrobat et Reader. Il vous est possible de modifier cette protection de façon à effectuer une protection sur mesure. Cette protection vous permettra de contrôler le type d’actions pouvant être exécutées et de valider les emplacements où une action pourra se réaliser, ou non. Parmi les protections les plus utilisées, nous retrouvons les mesures suivantes.
Blocage de l’utilisation d’hyperliens dans votre document
Il s’agit d’éviter qu’un simple lien vous conduise à un site malveillant qui, par la suite, pourrait infecter votre environnement de travail ou vous soutirer des données personnelles. Vous pouvez vous créer une liste blanche qui n’autorisera que les sites de confiance que vous aurez sélectionnés.
Emplacements protégés
Vous pouvez sélectionner les emplacements et les fichiers de façon à bloquer toute action non autorisée. Dans le panneau Protection renforcée, sélectionnez vos emplacements privilégiés, les répertoires et les fichiers sur lesquels des actions peuvent être réalisées et des sites Web qui peuvent être ouverts à partir de votre document PDF. Aucune interaction ne sera exécutable en dehors de ce que vous aurez défini.
Protection contre les pièces jointes
Il est possible d’ajouter des pièces jointes lors de la création d’un document PDF. Par contre, les fichiers pouvant être joints sont contrôlés. De façon générale, les fichiers qui ne sont pas lisibles ou utilisables par Acrobat ou Reader pourront être attachés en pièces jointes, mais lors de l’ouverture et de l’enregistrement de votre document, une boîte de dialogue vous avertira de la présence de ces fichiers considérés à risque. Vous pouvez gérer les extensions de fichier à partir d’une liste noire et blanche auxquelles vous ajouterez les extensions que vous jugez sécuritaires. Dans un environnement avec serveurs dédiés (entreprise), vous devez être administrateur pour modifier ces listes. En cas de problème avec vos sélections, vous pouvez toujours revenir aux valeurs par défaut. Votre gestionnaire des approbations vous permettra de décider si les fichiers joints peuvent permettre le lancement de ceux-ci lorsqu’ils sont exécutables.
Messages d’avertissements à l’ouverture d’un fichier
Grâce à ces mesures de protection, des messages d’avertissement vont s’afficher selon le type d’action rencontré. Ces messages sont reliés à certains facteurs comme la reconnaissance de l’expéditeur ou la confiance accordée au site affichant le document PDF. Il est possible de définir le comportement de ces avertissements à l’aide du Gestionnaire des approbations à partir des options de gestion des URL et du panneau Fiabilité multimédia. De cette façon, vous pouvez gérer plus facilement les autorisations et y intégrer les sites et expéditeurs de confiance.
Les messages d’avertissement s’appliquent aussi aux fonctionnalités de JavaScript. Adobe possède une liste noire des scripts présentant des dangers et suit régulièrement les développements à ce sujet. Adobe s’assure que ses certificats sont mis à jour afin d’éviter que des sources malveillantes puissent tenter de mettre à niveau votre logiciel et y introduisent du code malveillant. Il faut toujours s’assurer de la source de vos mises à jour. Certaines fonctionnalités liées à des fonctions (XObjects) permettant d’accéder à des contenus externes sont sujettes à des messages d’avertissement. Par exemple, des URL qui pointent vers du contenu extérieur peuvent ouvrir la porte à la transmission d’informations confidentielles. Acrobat et Reader vont réagir par un message d’avertissement s’il y a lieu.
Il existe des fonctions qui permettent de commander l’impression d’un fichier PDF sans que vous ayez à approuver cette action. Ce qui représente un danger tant pour vos activités d’impression que pour le contenu envoyé à l’impression. Un message d’avertissement vous avisera d’une telle tentative.
Exécution du code java script
Les logiciels d’Adobe permettent de régler l’application du code JavaScript de façon à vous permettre une protection sur mesure. Il est ainsi possible d’activer JavaScript uniquement pour les éléments du menu ou encore d’activer JavaScript pour des documents particuliers. Des messages d’avertissement vous permettront de toujours garder un œil sur ces activités.
La fonction vue protégée
Il existe dans Acrobat une fonction qui permet, une fois activée, d’ouvrir un document dans un environnement test. Cet environnement se caractérise par une isolation des fonctions du logiciel et des communications avec votre système d’exploitation et d’autres applications.
En activant la vue protégée, vous vous assurez de toujours garder à l’œil les documents qui proviennent du Web ou de sources non contrôlées et de protéger votre environnement de travail. Il existe une version allégée de cette fonction dans Acrobat Reader (mode protégé). Qui dit protégé, dit limité. Lors de l’utilisation de ce mode, vous ne pourrez qu’utiliser les fonctions de base : ouverture de fichier, défilement de pages, etc.
La protection de votre identité
Adobe Acrobat offre la possibilité de recourir à l’identification numérique pour garantir l’authenticité et la validité des documents utilisés. Il est possible d’utiliser ce type de protection pour améliorer grandement les relations d’affaires en permettant de confirmer des transactions, des ententes, etc. Des normes existent aussi qui viennent soutenir l’utilisation de ces signatures dans certains cadres (3). Nous ne traiterons pas ici des garanties légales entourant l’utilisation de ce type de protection. Ce qui est beaucoup plus du ressort de professionnels qualifiés provenant du milieu juridique.
L’identification numérique, de façon générale, permet de valider votre identité. Elle contient votre nom, votre adresse de courriel, le nom de votre organisation, un numéro d’identifiant et une date d’expiration. Cet identifiant est utilisé pour protéger votre document à l’aide d’un certificat et pour créer votre signature numérique. L’identification numérique est composée de deux clés, une, publique, qui sert à chiffrer les données et une clé privée qui sert à les déchiffrer. Pour assurer son fonctionnement, le certificat doit être envoyé aux personnes qui souhaitent valider votre signature ou votre identité.
La création d’une identification numérique peut se faire par l’intermédiaire d’un fournisseur externe ou elle peut être créée par vous, autosignée. Ce qui est plus adapté aux besoins des petites organisations. L’utilisation d’une autorité de certification est adaptée aux grandes entreprises et aux entreprises qui doivent répondre à des normes de sécurité plus élevées. L’identification numérique permet de créer une signature numérique. La signature numérique permet d’authentifier un document par l’équivalent de votre signature (4) et de certifier l’origine du document en confirmant l’expéditeur et le contenu original.
Des stratégies de protection pour vous faciliter la vie
Les stratégies de protection sont là pour vous économiser du temps et vous assurer un traitement homogène lors de la production de vos documents. Elles peuvent être configurées et enregistrées facilement. Les stratégies de protection se déclinent sous deux formes : les stratégies d’entreprise et les stratégies pour les utilisateurs. Nous ne traiterons pas ici des stratégies d’entreprise (avec Adobe LiveCycle Rights Management ES) qui pourraient facilement s’étaler sur plusieurs articles.
Les stratégies de protection utilisateurs sont stockées sur votre ordinateur, en local. Elles se configurent grâce à l’utilisation de mots de passe et de certificats pour en garantir la sécurité. Ainsi, lorsque vous voulez appliquer une protection par mot de passe pour l’ouverture d’un fichier, avec une limitation pour l’impression ou la modification d’un document PDF, vous pouvez paramétrer tous ces éléments et en faire un fichier de configuration que vous pourrez importer, exporter, modifier, utiliser sur un groupe de documents, etc. Il en est de même lorsque vous créez un certificat et que vous établissez des paramètres bien définis. Une fois enregistrée, cette stratégie s’appliquera selon vos besoins.
Ce qu’il faut retenir
La gestion de la protection sous Acrobat, et en partie, sous Reader est souvent peu ou mal utilisée. Elle représente pourtant un élément essentiel lorsqu’il est temps d’assurer une saine gestion des risques, que vous soyez une petite entreprise, une grande société ou un travailleur autonome utilisant régulièrement des fichiers PDF. Les fichiers PDF sont des instruments de choix dans nos communications quotidiennes. Bien que de nombreuses fonctions soient apparues avec le temps, et que des failles de sécurité se soient aussi glissées du même coup, il vous est toujours possible de maximiser votre gestion de la sécurité dans vos environnements de travail. Le but : pouvoir continuer à utiliser des fichiers PDF et profiter de tous ses avantages tout en minimisant les risques associés.
Références
1. La seule exception à l’ajout de mots passe est associée à l’utilisation d’un document signé ou certifié.
2. Pour éviter tout problème d’ouverture, il est conseillé d’inclure votre certificat dans votre liste des identités approuvées.
3. Normes de protection des données produites par l’institut ETSI (European Telecommunications Standards Institute); norme PAdES (PDF Advanced Electronic Signature)
4. La consultation de professionnels du milieu juridique est conseillée pour vous permettre de vous y retrouver. Il existe une quantité importante de lois et de règlements qui viennent encadre la légalité d’un tel type de document.
Serge Dufour
Technicien en documentation, technicien informatique et gestionnaire de projets chez Multiscripta
________________________________________
Passionné par la recherche de solutions documentaires, je cherche constamment à trouver des moyens uniques de résoudre les besoins en information des organisations, entreprises et professionnels d’ici. Le traitement de l’information et sa présentation visuelle sont au cœur de tout ce qui me passionne. Écrire dans un blogue est une façon pour moi de partager cette passion avec tous ceux et celles qui la vivent dans leurs activités de tous les jours, comme défi, comme problème et comme motivation dans leur besoin de s’améliorer en tant que personnes et organisations.
Vous voulez en savoir plus sur notre entreprise?
Nous sommes une entreprise de secrétariat technique qui vise à assister votre entreprise dans sa recherche de ressources. Nous pouvons vous assister dans vos tâches administratives et cléricales, pour le traitement et la création de vos documents d’affaires, pour vos besoins en recherche d’information. Vous êtes à la la recherche de partenaires, de ressources supplémentaires, temporaires, de compétences que vous n’avez pas à l’interne, faites appel à notre équipe. Communiquez avec nous et voyez comment nous pouvons vous assister.
Avis légal : Nos articles sont présentés en tant qu’information générale. Il ne s’agit pas d’avis juridiques, d’avis concernant un domaine ou une profession réglementée. Nos articles sont présentés uniquement en tant que source d’information générale et moyens de vulgariser les domaines de connaissance qui touchent l’ensemble de nos services. S’il y a lieu, vous êtes invités à consulter la législation pertinente et les professionnels qui y sont associés si vous avez l’intention d’utiliser l’information contenue dans nos pages.