Zoom sur les métadonnées EXIF

You are currently viewing Zoom sur les métadonnées EXIF

Zoom sur les métadonnées EXIF

Introduction

Une image vaut mille mots. Si je vous dis EXIF, vous me dites ?

Non, pas EXIT, mais EXIF. Eh non il n’y a pas de faute d’orthographe. 😊

Ne sortez donc pas, restez ! 😊

Je vous donne un indice ! À vous de trouver le mot-clé dans la phrase suivante :

EXIF est l’acronyme de « Exchangeable image file format » et désigne une norme d’échange de données pour les fichiers d’images (JPEG entre autres).

Vous avez trouvé ?

SPOILER : le mot-clé est « données » !

Et pour être plus précis, on va parler de vos données personnelles lors de l’utilisation de fichiers d’images.

Pourquoi c’est important me direz-vous ? 

Les métadonnées dont les métadonnées EXIF

Bienvenue dans le monde des métadonnées ! Car c’est de ça qu’on va parler aujourd’hui. Les métadonnées servent à définir ou à décrire une autre donnée quel que soit son support et s’enregistrent automatiquement lors de la prise de vue. La quantité d’informations présentes dépend de la configuration de vos logiciels et de vos appareils.

Il existe aussi les métadonnées IPTC (International Press Telecommunications Council), ajoutées plus ou moins manuellement. Potentiellement plus utilisées par les professionnels de la photo et de l’image notamment pour des raisons de copyright. D’autres informations peuvent être stockées : adresse physique, numéro de téléphone, adresse mail, site internet etc.).

Les métadonnées servent à cataloguer vos photos et à faciliter les échanges entre applications. Toutefois, leur usage peut être détourné pour des raisons plus obscures.

Les métadonnées sont partout mais aujourd’hui nous ne parlerons que de celles présentes dans les photos que vous publiez ; votre photo de profil sur Linkedin ou encore vos photos de vacances sur Instagram ou Facebook (ou LinkedIn aussi !) et toute photo publiée sur un site internet, un blog etc.

Quelques exemples de métadonnées toutes confondues pour les fichiers d’image : 

  • Données techniques liées à la prise de vue (luminosité, vitesse d’obturation, focale, etc…)
  • Le type d’appareil, la marque ou encore le modèle (téléphone, webcam ou appareil photo type Reflex qui a servi à produire ou à enregistrer la photo
  • Et notamment des données plus sensibles : l’auteur de la photo (vous en l’occurence). Le jour et l’heure de la prise de vue. Ou encore…les coordonnées GPS (sic).

Quand vous publiez une photo, vous ne voyez qu’une photo. Les métadonnées, elles, se cachent à l’intérieur. Mais il est possible d’avoir accès à ces métadonnées et de les lire.

Vous voyez le problème ?

En fait il y en a deux : 

  • l’accès et la lecture de vos données personnelles 
  • et la sécurité qui en découle.

En croisant les différentes sources de métadonnées (pas seulement celles des fichiers d’image), on peut potentiellement savoir et connaître :

  • qui vous êtes,
  • vos équipements numériques (pratique pour hacker votre téléphone ou votre box ; pensez d’ailleurs à modifier le mot de passe root de votre box qui n’est pas le code WIFI)
  • Votre mail
  • Votre adresse IP
  • Les dates de naissance des membres de votre famille
  • à quel endroit vous ou votre famille vivez (et puis c’est pratique, un logement libre pendant les vacances !), 
  • si vous avez des enfants, êtes en couple etc…

Veille et anecdotes liées aux métadonnées

En outre, les réseaux sociaux (RS) peuvent rajouter, à votre insu, des métadonnées aux photos afin de faciliter leur gestion et l’indexation. En 2019, un chercheur australien en cybersécurité a notamment identifié des métadonnées IPTC rajoutées par un RS ; métadonnées qui, selon lui, permettent un suivi des photos en dehors de sa propre plate-forme avec un niveau de précision dérangeant.

Pensez en l’occurence à désactiver la géolocalisation de vos RS.

Des vulnérabilités peuvent exister dans les logiciels et applications d’enregistrement et de lecture des métadonnées EXIF ou IPTC. Le Portail d’Accompagnement Cybersécurité des Structures de Santé, Cyberveille, a notamment fait état en 2020 de 3 types de vulnérabilités qui permettaient aux hackers des attaques par déni de service et des fuites de données.

En 2016, 229 dealers de drogue et d’armes ont été géolocalisés grâce à des photos qu’ils avaient laissées sur le Dark Web.

Autre anecdote, en 2012, celle-ci, un hacker a été arrêté par le FBI. Il avait pris une photo des seins de sa petite amie à l’aide de son iPhone et l’a postée sur Twitter sans réaliser que l’image contenait les données GPS pointant directement vers sa maison à Melbourne, en Australie.

Enfin, il est possible d’intégrer et d’exécuter du code PHP malveillant dans ces métadonnées à partir d’un serveur.

Conclusion

Vous l’aurez compris, si vous tenez vraiment à publier des photos, pensez au moins à effacer les métadonnées. Certaines politiques de confidentialité des données invitent d’ailleurs à les supprimer. Vous ne pourrez toutefois rien faire concernant celles rajoutées par certains RS.

Sur Windows : cliquer droit sur une image puis sur « propriétés » puis dans l’onglet « détails » puis  enfin sur « Supprimer les propriétés et les informations personnelles ». Deux options alors : Créer une copie en supprimant toutes les propriétés possibles, ou Supprimer les propriétés suivantes de ce fichier.

Sur iOS : aller dans Apple photos, cliquer droit sur la photo dans la galerie, sur le menu déroulant Images dans la barre d’outils puis « emplacement » et « masquer l’emplacement » (uniquement la géolocalisation).

Sur mobile il vous faudra passer par des applications non installées nativement.

Sur iPhone : télécharger ViewExif, ouvrir la photo concernée avec l’application puis appuyer sur l’icône gomme et enfin « Remove Metadata ».

Sur Android : télécharger Photo Medatada Remover. Cette application sauvegarde dans un dossier distinct de la galerie vos photos nettoyées des métadonnées.

N’oubliez pas, sur vos mobiles, d’aller dans les paramètres de votre appareil photo et de désactiver la fonction liée à la géolocalisation (ou étiquette de localisation selon les appareils).

Jean-Noël Lorriaux

Chef de projet digital, fondateur de Khelasys et formateur en compétences numériques

Laisser un commentaire