Risque de fuite de données méconnu avec MS Office

Lors d’une enquête en début d’année, un document avec des propriétés inhabituelles a été porté à notre attention: Nuix a mis en évidence une présentation PowerPoint contenue à l’intérieur d’un autre fichier PowerPoint. Cela semblait plutôt anodin, jusqu’à ce que nous remarquions qu’il n’était pas possible d’accéder à la présentation incluse au travers de Microsoft Office en utilisant les fonctionnalités classiques. Swiss FTS a dès lors été mandatée afin de découvrir l’origine potentielle de ce contenu. Durant cette affaire, nous avons découvert une fonctionnalité de Microsoft Office méconnue qui pose un risque sérieux en matière de fuite de données. Nous estimons qu’il est dès lors de notre devoir de partager nos résultats sur cette affaire avec nos clients et la communauté forensique.

Lors de notre enquête, Nuix a mis en évidence une présentation PowerPoint distincte (la présentation fille) à l’intérieur d’une présentation PowerPoint apparemment sans rapport (la présentation mère). Les contenus et sujets des deux présentations étaient complétement indépendants et la fille n’était pas accessible au travers de fonctionnalités classiques de Microsoft Office.

EnCase 7 a alors été utilisé afin de pouvoir visualiser la structure interne du fichier et de clarifier l’emplacement du contenu additionnel, mais n’a pas permis d’apporter de nouvelles informations sur ce cas. Nous serions-nous limités à l’utilisation d’EnCase que la présentation fille n’aurait probablement jamais été remarquée.

Une autre façon d’accéder à des objets inclus dans des fichiers de formats récents Microsoft Office est de changer l’extension en “ZIP” et de parcourir son contenu comme pour une archive ZIP classique. Cette méthode a bien entendu ses limites d’un point de vue forensique, mais elle peut s’avérer très utile lorsqu’il s’agit d’acquérir une meilleure compréhension de la structure et du contenu d’un fichier Microsoft Office.

Dans notre cas particulier, la présentation mère était dans l’ancien format PPT, ce qui n’est pas compatible avec cette méthode. Une copie du fichier a dès lors été ouverte avec PowerPoint et sauvée dans le format récent PPTX, afin de rendre possible le procédé décrit ci-dessus. Cela a révélé comme attendu la structure interne du fichier, mais a également eu pour effet secondaire de supprimer la présentation fille du fichier mère. Ni la présentation fille ni les images qu’elle contenait n’ont pu être trouvées dans la version ZIP. De plus Nuix ne trouvait plus la présentation fille dans la version PPTX du fichier parent. La conversion dans le format PPTX avait complètement supprimé la présentation fille.

Après des analyses et tests plus approfondis, nous somme finalement parvenus à identifier le coupable: la fonction “Envoyer pour révision” de Microsoft Office (“Send for review” en anglais). Cette fonctionnalité cause le comportement spécifique remarqué dans cette enquête avec les versions de Microsoft Office de 2002 et 2003. Intéressons-nous à présent un peu plus en détail à cette fonctionnalité et les conséquences de son utilisation.

Le site PPTools décrit cette fonctionnalité comme suit:

Avec ces vieilles version de Microsoft Office, si une présentation PowerPoint est envoyée par courrier électronique pour révision en utilisant l’option intégrée “Envoyer vers”, un email type est automatiquement généré, contenant une version modifiée de la présentation PowerPoint en pièce jointe. Cette version modifiée s’avère faire quasiment deux fois la taille du fichier original, et contient en fait une copie cachée de la présentation originale. Cette copie cachée a pour but d’aider l’auteur dans la réconciliation et la révision des changements faits au contenu d’origine. L’accès à cette copie cachée au travers de Microsoft Office nécessite de posséder également une copie du fichier originel.

Dans le meilleur des cas, négliger l’utilisation de cette fonctionnalité peut potentiellement vous faire ignorer lors de vos enquêtes des données plus anciennes et des versions intermédiaires de présentations PowerPoint. L’impact d’un tel cas de figure dépend de la nature de l’investigation.

La présence de la présentation fille peut facilement passer inaperçu puisqu’elle n’est pas directement accessible ou visible à l’utilisateur au travers de Microsoft Office; la même remarque s’applique toutefois à toute forme d’information cachée. A ce titre, il est déjà de notoriété publique que les présentations PowerPoint contiennent souvent plus d’informations que ce qui est directement visible pour l’utilisateur, par exemple des données à l’origine de graphes. Nous recommandons donc d’adapter votre procédure en ce qui concerne la découverte de données cachées en y ajoutant un contrôle concernant la fonctionnalité “envoyer pour révision”.

Le cœur du problème de cette fonctionnalité, autre que la fuite de données intentionnelle, est l’habitude bien connue des utilisateurs à réutiliser d’anciennes présentations comme modèle. Si la présentation “modèle” contient une copie cachée d’une autre présentation, l’utilisateur n’en aura pas forcément conscience. Une copie de la présentation originelle demeurera dans la nouvelle présentation ainsi créée. Même si ce n’est pas directement accessible à l’utilisateur lambda, c’est là et peut contenir des données confidentielles ou sensibles. Ces présentations sont envoyées à des clients ou partagées sur Internet et ainsi de suite sans que leurs auteurs ne soupçonnent la présence de la présentation fille et les risques qu’elle entraîne.

Au contraire du problème bien connu des données sources de graphes dans des présentations, ici la présentation fille est complètement indépendante de la présentation finale. Quand bien même vous supprimeriez tout le contenu du fichier PowerPoint, la présentation cachée persisterait. En fin de compte, une présentation d’une diapositive ne contenant que du texte peut cacher un rapport confidentiel critique sans que l’utilisateur ait même l’ombre d’un soupçon.

De nos jours, les anciens formats de Microsoft Office sont de moins en moins utilisés, ce qui réduit le risque induit par la fonctionnalité analysée dans cet article, puisque sa probabilité est dès lors amoindrie. Toutefois, il y a toujours passablement d’entreprises qui n’utilisent pas les dernières versions d’Office ou préfèrent les anciens formats pour des raisons de compatibilité. Il vaut également la peine de considérer l’impact des périodes analysées dans vos investigations d’eDiscovery. La plupart des investigations couvrent plusieurs années, ce qui augmente la probabilité de rencontrer le type de données cachées décrites dans cet article.

En matière de gouvernance de l’information, la même sempiternelle question demeure: connaissez-vous réellement ce qui se cache dans vos données? Dans quelle mesure votre plan de gouvernance de l’information vous apporte-t-il la maîtrise de vos données?

Si vous désirez tester vos outils forensiques comme nous l’avons fait en ce qui concerne cette problématique, nous vous assisterons volontiers et partagerons notre échantillon de données utilisé pour le test. Nous serions curieux de connaître le résultat de vos tests et le comportement de vos outils en la matière. En ce qui nous concerne, nous avons réellement apprécié la performance de Nuix dans ce cas précis. Bien que cette problématique s’approche plus d’une investigation informatique traditionnelle que d’eDiscovery, Nuix s’est définitivement montré à la hauteur de nos attentes.