PDF Security Best Practices: Encryption, Passwords, and Redaction - PDF0.ai

Je me souviens encore de l'appel téléphonique qui a changé ma façon de penser à la sécurité des PDF à jamais. Il était 2 h 47 du matin un mardi en mars 2019, et j'étais le directeur de la sécurité de l'information d'un fournisseur de soins de santé de taille moyenne gérant des dossiers pour plus de 340 000 patients. Notre CISO était en ligne, la voix tendue de panique contrôlée : "Nous avons un problème. Dossiers des patients. Exposés. PDFs que nous pensions sécurisés." Cette nuit-là, j'ai appris que 23 000 fichiers PDF soi-disant "protégés par mot de passe" avaient été indexés par des moteurs de recherche, leur contenu entièrement lisible par quiconque ayant une connexion Internet. Les mots de passe ? Ils étaient là, techniquement appliqués, mais mis en œuvre de manière si peu rigoureuse qu'ils auraient aussi bien pu être écrits au crayon sur l'enveloppe.

Cet incident nous a coûté 1,2 million de dollars en remédiation, amendes réglementaires et frais juridiques. Plus important encore, cela nous a coûté la confiance. Mais cela m'a appris quelque chose d'inestimable : la sécurité des PDF ne consiste pas simplement à cocher des cases ou à appliquer des fonctionnalités parce qu'elles existent. Il s'agit de comprendre les modèles de menace réels, les vecteurs d'attaque dans le monde réel, et les façons parfois contre-intuitives dont les fonctionnalités de sécurité peuvent échouer. Au cours des 14 dernières années passées à travailler dans la sécurité des documents—d'abord dans le secteur de la santé, puis dans la technologie juridique, et maintenant en tant que consultant indépendant—j'ai vu toutes les erreurs imaginables, et j'ai appris que protéger les PDF nécessite un état d'esprit fondamentalement différent de celui que la plupart des gens appliquent au problème.

Le paysage de la sécurité des PDF : pourquoi vos documents sont plus vulnérables que vous ne le pensez

Commençons par une vérité déplaisante : l'organisation moyenne n'a absolument aucune idée du nombre de PDF contenant des informations sensibles, de l'endroit où ces PDF sont stockés, ou qui y a accès. Dans un audit que j'ai réalisé en 2023 pour une entreprise de services financiers du Fortune 500, nous avons découvert 847 000 fichiers PDF dans leur réseau. Parmi ceux-ci, 34 % contenaient des informations personnellement identifiables (PII), 12 % contenaient des données financières qui seraient considérées comme des informations non publiques matérielles, et 3 % contenaient des identifiants ou des clés API pouvant permettre d'accéder à des systèmes de production. Le clou ? Seulement 8 % des PDF sensibles avaient des contrôles de sécurité appliqués.

Les PDF sont particulièrement problématiques du point de vue de la sécurité car ils existent à l'intersection de plusieurs vecteurs de menace. Ce sont des documents, donc les gens les traitent avec désinvolture—les envoyant par e-mail, les téléchargeant dans le cloud, les partageant via des applications de messagerie. Mais ce sont aussi des conteneurs exécutables qui peuvent inclure du JavaScript, des fichiers intégrés, des formulaires qui soumettent des données, et des liens vers des ressources externes. Ils sont en même temps trop fiables et pas assez fiables. Les utilisateurs ouvriront un PDF sans réfléchir mais ne vérifieront pas nécessairement son authenticité ou s'il a été altéré.

La spécification PDF elle-même est un document de 756 pages (au format PDF 2.0), et la plupart des développeurs mettant en œuvre des fonctionnalités PDF en comprennent peut-être 15 %. Cela crée une surface d'attaque massive. J'ai personnellement exploité des lecteurs PDF en utilisant des flux d'objets malformés, manipulé des tables de référence croisée pour cacher du contenu, et utilisé des mises à jour incrémentielles pour créer des documents qui affichent un contenu différent en fonction du lecteur qui les ouvre. Et je ne suis même pas un attaquant particulièrement sophistiqué—je suis un défenseur essayant de comprendre ce qui est possible.

Les outils que les gens utilisent pour créer et sécuriser des PDF vont des solutions de niveau entreprise coûtant des milliers de dollars par poste à des convertisseurs en ligne gratuits qui peuvent ou non collecter vos données. Dans mon expérience, environ 60 % des organisations utilisent au moins trois outils différents de création de PDF, et elles n'ont que rarement des politiques de sécurité cohérentes à leur sujet. Un département pourrait utiliser Adobe Acrobat avec un chiffrement approprié, un autre pourrait utiliser un pilote d'impression vers PDF qui supprime toute sécurité, et un troisième pourrait utiliser un outil en ligne qui télécharge tout sur des serveurs dans des juridictions avec des lois sur la protection des données douteuses.

Comprendre le chiffrement PDF : toutes les protections ne sont pas égales

Lorsque la plupart des gens pensent à la sécurité des PDF, ils pensent au chiffrement. Mais un "PDF chiffré" est à peu près aussi spécifique que de dire "porte verrouillée"—il existe de nombreux types de serrures, certaines pouvant être ouvertes avec un trombone, et d'autres nécessitant un équipement de découpe industriel. La spécification PDF prend en charge plusieurs algorithmes de chiffrement, et les différences entre eux ne sont pas académiques—elles représentent la différence entre la sécurité réelle et le théâtre de sécurité.

"La sécurité des PDF ne consiste pas simplement à cocher des cases ou à appliquer des fonctionnalités parce qu'elles existent—il s'agit de comprendre les modèles de menace réels, les vecteurs d'attaque dans le monde réel, et les façons parfois contre-intuitives dont les fonctionnalités de sécurité peuvent échouer."

La méthode de chiffrement la plus ancienne encore utilisée est RC4 avec des clés de 40 bits, qui était considérée comme faible lorsqu'elle a été introduite dans les années 1990 et est maintenant complètement brisée. Je peux craquer un PDF chiffré avec RC4-40 en moins de 30 secondes sur mon ordinateur portable en utilisant des outils disponibles gratuitement. Pourtant, je les rencontre encore dans la nature, généralement créés par des systèmes hérités ou des logiciels obsolètes qui n'ont pas été mis à jour depuis une décennie. Dans un cas mémorable, un cabinet d'avocats utilisait un chiffrement RC4-40 sur des accords de règlement parce que leur système de gestion de documents de 2004 ne supportait rien d'autre. Ils ont été choqués d'apprendre que leurs documents "sécurisés" pouvaient être ouverts par quiconque ayant des compétences techniques de base.

La norme actuelle est le chiffrement AES-256, qui est ce que vous devriez utiliser pour tout ce qui doit vraiment être sécurisé. L'AES-256 est la même norme de chiffrement utilisée par le gouvernement américain pour les informations classifiées jusqu'au niveau SECRET. Lorsqu'il est correctement mis en œuvre avec un mot de passe fort, il est effectivement incassable avec la technologie actuelle—nous parlons de 2^256 clés possibles, ce qui est plus que le nombre d'atomes dans l'univers observable. Mais voici la phrase critique : "lorsqu'il est correctement mis en œuvre avec un mot de passe fort."

Le mot de passe est là où la plupart des chiffrement PDF échouent dans la pratique. J'ai analysé des milliers de PDF chiffrés, et les mots de passe les plus courants sont des motifs prévisibles : "motdepasse", "123456", le nom de l'entreprise, le nom du document, ou des dates sous différents formats. Dans un test d'intrusion que j'ai réalisé l'année dernière, j'ai pu craquer 67 % des PDF chiffrés en utilisant un dictionnaire de seulement 10 000 mots de passe courants. Le chiffrement était techniquement fort—AES-256—mais les mots de passe étaient si faibles que le chiffrement aurait aussi bien pu ne pas exister.

Il y a également une distinction critique entre les mots de passe utilisateurs et les mots de passe propriétaires dans les PDF. Un mot de passe utilisateur (également appelé mot de passe ouvert) est requis pour ouvrir le document. Un mot de passe propriétaire (également appelé mot de passe des autorisations) contrôle ce que vous pouvez faire avec le document une fois ouvert—impression, copie de texte, édition, etc. Voici le problème : les mots de passe propriétaires sont fondamentalement défaillants. Ils n'en cryptent pas réellement le contenu ; ils ne font que définir des indicateurs que les lecteurs PDF conformes acceptent de respecter. Tout lecteur PDF qui ne se soucie pas d'être conforme peut simplement ignorer ces restrictions. Je peux supprimer les restrictions de mot de passe propriétaire d'un PDF en environ cinq secondes en utilisant n'importe lequel de nombreux outils gratuits.

Stratégie de mot de passe : construire des défenses qui fonctionnent réellement

Si vous allez utiliser la protection par mot de passe—et pour de nombreux cas d'utilisation, c'est encore l'option la plus pratique—vous avez besoin d'une stratégie de mot de passe qui reconnaisse à la fois les réalités techniques et les facteurs humains. J'ai développé un cadre que j'appelle "force de mot de passe contextuelle", qui ajuste les exigences en fonction de la sensibilité du contenu, du mode de distribution, et de la durée de vie attendue du document.

Pour les documents très sensibles—tout ce qui contient des PII, des données financières, des secrets commerciaux, ou des données réglementées