Nouvelles révélations tirées des documents Snowden grâce à l’analyse des versions de métadonnées PDF

 (libroot.org)
1 points par GN⁺ 2026-01-12 | 1 commentaires | Partager sur WhatsApp
  • L’analyse de l’historique des versions des métadonnées PDF des documents Snowden publiés confirme que des sections liées à des stations au sol d’agences de renseignement situées aux États-Unis ont été supprimées délibérément
  • Les passages supprimés incluaient la structure des noms opérationnels et des noms de couverture de Potomac Mission Ground Station (PMGS) et de Consolidated Denver Mission Ground Station (CDMGS)
  • Dans les deux documents, ces informations figuraient dans les versions initiales, mais ont été entièrement retirées de la version finale publiée, ne laissant des traces que dans l’historique des versions interne au PDF
  • À l’inverse, des informations sur des installations à l’étranger comme Menwith Hill au Royaume-Uni et Pine Gap en Australie ont été conservées telles quelles, révélant un schéma de caviardage systématique limité aux installations nationales
  • Cette découverte est importante car elle montre qu’il est possible de retracer techniquement les प्रक्रédures d’édition et de censure lors de la publication des documents Snowden

Contenus supprimés concernant des installations de renseignement aux États-Unis

  • L’analyse des métadonnées des deux documents confirme que les sections consacrées aux installations de renseignement nationales ont été entièrement supprimées
    • Dans le Menwith satellite classification guide publié en 2016, la section liée à PMGS (Washington DC) a été retirée
    • Dans le NRO SIGINT Guide for Pine Gap publié en 2017, la section liée à CDMGS (région de Denver) a été retirée
  • Les parties supprimées contenaient notamment le nom officiel, le nom de couverture, l’emplacement et les informations destinées aux visiteurs
  • Les deux installations étaient explicitement désignées comme des Mission Ground Station du National Reconnaissance Office (NRO), avec :
    • pour PMGS, le nom de couverture « Classic Wizard Reporting and Testing Center (CWRTC) »
    • pour CDMGS, le nom de couverture « Aerospace Data Facility (ADF) »

Potomac Mission Ground Station (PMGS)

  • Emplacement : bâtiments 259 et 260 du Naval Research Laboratory à Washington DC
  • Nom public : « Classic Wizard Reporting and Testing Center (CWRTC) »
  • Fonction réelle : station au sol du réseau de renseignement satellitaire du NRO
  • Le document précise le niveau de classification de chaque désignation
    • « CWRTC » = non classifié (UNCLASSIFIED)
    • « PMGS » = secret (S//TK)
    • « CWRTC est le nom de couverture de PMGS » = secret (S//TK)
    • « lien entre CWRTC et du personnel du NRO, de la CIA et de la NSA » = secret (S//TK)
  • Cette structure de classification à plusieurs niveaux est présentée comme un dispositif permettant de séparer le nom public de la mission réelle

Consolidated Denver Mission Ground Station (CDMGS)

  • Emplacement : Buckley Space Force Base à Aurora, Colorado
  • Nom public : « Aerospace Data Facility (ADF) »
  • Nom réel : « Consolidated Denver Mission Ground Station (CDMGS) »
  • Publiquement, ADF-C est connu comme une installation de commandement et de contrôle de satellites de reconnaissance, mais
    • le fait qu’« ADF soit le nom de couverture de CDMGS » est confirmé pour la première fois dans le document
  • Dans un tableau du document, les noms réels et noms de couverture de chaque installation apparaissent en parallèle, avec notamment :
    • CDMGS–ADF–FSD (Field Station Denver)
    • PMGS–MSF–CWRTC
    • HMGS–RAF MHS, AMGS–JDFPG, etc.

Résultats de l’analyse éditoriale et des métadonnées

  • Les métadonnées PDF enregistrent le moment des modifications et les outils utilisés
    • Le document Pine Gap a donné lieu, le 31 juillet 2017, à la création de deux versions à quelques minutes d’intervalle avec Nitro Pro 8
    • La première version contenait la section CDMGS, supprimée dans la seconde
    • Il a été confirmé que The Intercept et ABC ont publié le document en partageant le même fichier
  • Le document Menwith Hill présente le même schéma, avec suppression de la seule section concernant une installation nationale
  • Ces métadonnées servent ainsi de preuve médico-légale du processus d’édition et de censure

Travaux de suivi et outils

  • Les analyses à venir viseront, via le suivi des versions dans l’ensemble des métadonnées PDF, à
    • vérifier techniquement des noms d’agents supprimés, des captures d’écran modifiées et des traces de retouches en plusieurs étapes
  • L’extraction des versions PDF peut se faire avec l’outil pdfresurrect
    • Exemple : pdfresurrect -w filename.pdf
  • Libroot.org permet de télécharger directement les fichiers des versions 1 et 2 de chaque document
    • Les deux versions des documents Menwith Hill et Pine Gap sont toutes deux disponibles

À lire aussi

1 commentaires

 
GN⁺ 2026-01-12
Commentaires sur Hacker News

  • Ces PDF semblent utiliser la fonctionnalité « incremental update »
    c’est-à-dire qu’au lieu de réécrire tout le fichier lors d’une modification, ils n’ajoutent que les changements à la fin du document original
    En pratique, il suffit de trouver la ligne %%EOF dans un éditeur de texte et de couper tout ce qui suit pour restaurer une version antérieure du PDF
    Attention toutefois : dans un linearized PDF, le premier %%EOF n’est pas une vraie version, mais une fausse révision présente pour des raisons techniques

    • J’ai l’impression de venir d’apprendre une nouvelle compétence OSINT
    • C’est assez drôle qu’Adobe, en essayant de rattraper les fonctionnalités de MS Word, ait fini par créer un tel outil d’espionnage

  • Du point de vue de la protection de l’information, imprimer un document puis le rescanner sous forme de PDF image paraît de plus en plus judicieux

    • Mais toutes les imprimantes couleur contiennent un code à points jaunes (dotcode) invisible à l’œil nu
      Ce code peut inclure le numéro de série de l’imprimante, voire l’adresse IP utilisée lors de la connexion à Internet
      Il faut donc éviter d’utiliser des imprimantes dont on ne peut pas contrôler le firmware
      Outils d’analyse associés : YellowDotDecode, dotsecrets, présentation CCC 2007
    • Une meilleure méthode consiste à convertir le PDF en JPEG/PNG → BMP avant de le partager ou de l’imprimer
      On peut aussi reconstruire le document avec un LLM pour supprimer la ponctuation et les espaces, puis retransformer le résultat en image
      La prise de vue analogique d’un écran avec un appareil photo argentique est utile pour éviter les falsifications et préserver les preuves
      Mais quelle que soit la méthode, il restera toujours des traces, donc il faut absolument éviter tout partage non autorisé d’informations
      On dirait qu’on entre dans une époque où les espions reviennent au microfilm
    • À ta place, j’enregistrerais le PDF en TIFF ou en PNG, puis je le reconvertirais en PDF
      Et si j’étais vraiment inquiet, j’appliquerais un filtre de bruit à l’image pour la rendre floue
    • Ce ne serait pas plus simple de faire juste une capture d’écran de chaque page ?
    • Ce serait assez amusant d’essayer de respecter à grande échelle les exigences d’accessibilité de la Section 508 comme ça

  • Il faudrait de meilleurs outils pour analyser les documents PDF
    Pour l’instant, on s’en sort plus ou moins avec le mode QDF de qpdf, mais il manque vraiment une GUI

    • La page d’analyse PDF de REMNux vaut le détour
      Elle est orientée analyse de PDF malveillants, mais beaucoup d’outils qu’elle présente sont aussi utiles pour comprendre des documents ordinaires
    • Cet outil semble surtout conçu pour l’édition, donc je me demande dans quel contexte il est utilisé
      Depuis l’affaire du PDF Epstein, ce genre d’idée est devenu encore plus intéressant

  • Cette recherche est vraiment perspicace
    Elle me rappelle qu’autrefois quelqu’un avait déjà réanalysé les documents Snowden et y avait trouvé de nouvelles informations
    C’est dommage qu’il n’ait pas pu tout publier intégralement

    • Les informations totalement nouvelles les plus récentes viennent de la thèse de doctorat de Jacob Appelbaum en 2022
      Elle traite d’éléments qui n’avaient jamais été publiés auparavant
      Voir aussi le blog Electrospaces ainsi que
      Libroot Part 2, Part 3

  • J’ai demandé au journaliste Ryan Gallagher des précisions sur les choix éditoriaux, mais je n’ai toujours pas reçu de réponse
    Les fêtes sont terminées, donc j’espère avoir bientôt des nouvelles

    • Je me demande pourquoi les journalistes ont caviardé (redact) les documents
      Était-ce sous pression du gouvernement, ou parce que le contenu était trop sensible ?
      Peut-être que seuls les journalistes disposent encore des fichiers originaux

  • Je me demandais comment c’était possible avec un PDF
    Je voulais savoir si le format stocke tout l’historique des versions, ou s’il conserve des diff dans les métadonnées

    • Un PDF est structuré en plusieurs objets (object)
      Chaque objet a un identifiant et, lorsqu’il est modifié, l’ancien objet n’est pas écrasé : une nouvelle génération est ajoutée
      Par exemple, on peut voir cette structure en décompressant avec mutool clean -d in.pdf out.pdf
      Cela permet d’ajouter les modifications tout en conservant l’original
    • Le paquet pdfresurrect mentionné en bas de la page explique justement que les PDF conservent l’historique des modifications
      Cet outil permet d’extraire les versions précédentes et fournit un résumé des changements
    • Référence utile : A Typical PDF
    • En fin de compte, un PDF est composé d’une table d’objets et d’un arbre de références
      Même si les objets d’une ancienne version ne sont plus référencés, ils peuvent rester présents dans le fichier

  • Au lieu d’imprimer puis scanner, je me demande si imprimer en XPS puis reconvertir en PDF serait aussi efficace

  • C’est surprenant que ce genre de chose ne soit découvert que maintenant

    • Quelqu’un le savait probablement déjà
      C’est juste que cette information ne s’était pas largement diffusée
    • L’affaire des fichiers PDF Epstein a sans doute remis le sujet sur le devant de la scène

  • Quelqu’un a essayé la commande % pdfresurrect -w epsteinfiles.pdf ?

    • Je me demande si quelqu’un l’a réellement testée

  • C’est presque certainement le résultat d’un caviardage (redaction) effectué par les journalistes
    C’est dommage qu’il n’y ait ni mention « modifié » ni explication de la raison
    Techniquement, ils auraient aussi pu publier des captures d’écran pour éviter les fuites de métadonnées

    • Oui, ce sont bien les journalistes qui ont fait l’édition
      Les horodatages des métadonnées montrent que la version des documents a été créée trois semaines avant la publication
      La plupart des documents ont été correctement traités, mais dans ces deux cas précis, une erreur de métadonnées a exposé des informations importantes
      Le prochain billet devrait entrer dans le détail technique de la forensique PDF et de l’analyse des métadonnées