Échecs en caviardage
Écrit par l’équipe HackGyver – 29 décembre 2025
Table des matières
Introduction
Le caviardage consiste à masquer certaines informations sensibles dans un document avant sa publication: noms, montants, passages compromettants, etc...
Cette pratique ne date pas d'hier. En 1791, la correspondance secrète entre Marie-Antoinette et le comte de Fersen a été soigneusement caviardée pour dissimuler la nature de leur relation. Deux siècles plus tard, la spectroscopie aux rayons X a révélé ce qu'on avait voulu cacher.
Aujourd'hui, le caviardage se fait sur PDF. Et comme au XVIIIe siècle, parfois la méthodologie n'est pas bonne.
Voici 5 exemples où un simple copier-coller a suffi à révéler des informations supposées secrètes.
Six4Three LLC contre Facebook (2017)
En 2017, la startup Six4Three poursuit Facebook pour pratiques anticoncurrentielles. Le document judiciaire déposé au tribunal contenait des informations sur les pratiques internes de Facebook, informations que quelqu'un a tenté de caviarder en novembre 2018, près de deux ans après le dépôt initial.
Dans ce document, les pages 13 à 18 sont massivement caviardées, certaines presque entièrement.
Ici des rectangles noirs ont été superposés au texte, il suffit simplement de les changer de place pour afficher le texte. C'est l'erreur la plus courante que l'on retrouve dans les pdfs.
La technique de copier-coller en dehors du PDF marche aussi très bien pour révéler le texte en dessous.
L'affaire Paul Manafort (2019)
Ce document a été déposé le 8 janvier 2019 par les avocats de Paul Manafort (ancien directeur de campagne de Donald Trump). Le caviardage raté a été découvert par des journalistes qui ont simplement fait un copier-coller du texte noir. C'est devenu un scandale car le PDF révélait le lien entre la campagne Trump et la Russie..
Le contrat AstraZeneca pour les vaccins COVID-19
Le 29 janvier 2021, la Commission européenne a publié une version caviardée du contrat avec AstraZeneca. Ici les carrés noirs ont été correctement aplatis sur le document, le texte n'est pas récupérable par un copier-coller ou en déplaçant les rectangles.
Mais les signets ont été oubliés, dévoilant plusieurs informations financières, et des clauses contractuelles qui étaient censées rester confidentielles.
L'affaire Epstein contre le gouvernement des Îles Vierges (2022)
En mars 2022, le gouvernement des Îles Vierges américaines dépose une plainte civile contre la succession de Jeffrey Epstein. Ce document judiciaire détaille les accusations de trafic sexuel et d'abus commis dans les îles privées d'Epstein. Le PDF original contenait de nombreuses sections caviardées pour protéger l'identité des victimes et certaines informations sensibles de l'enquête. Cependant, la version du document publié avait lui aussi un caviardage défaillant.
Les documents officiels de Rennes (2024)
Histoire de finir sur un exemple français, depuis juillet 2021 la ville et la Métropole de Rennes mettent à disposition du public les documents officiels et arrêtés règlementaires via leurs sites internet. Pour anonymiser certaines données confidentielles, les documents disponibles au format PDF sont caviardés... Un simple copier-coller permet là aussi de récupérer le texte.
En utilisant la fonction de suivi des modifications à l’intérieur du document, on constate que le service chargé des actes administratifs se contente simplement d'ajouter un simple surlignage noir.
En CTF
On n'a pas d'exemple concret de faux caviardage dans un CTF, mais un cas récent nous vient de CD Projekt RED pour un ARG dans l'univers de Cyberpunk 2077.
En septembre 2025, le studio a lancé l'ARG "Le message secret de la NUSA", qui consistait pour les joueurs à résoudre une série d'épreuves. Parmi elles, des images de documents caviardés étaient proposées.
Toutes les parties noires censurées sont lisibles en ajustant les niveaux de couleur dans un logiciel de retouche photo.
Ici le caviardage volontairement défaillant fait partie du jeu. Dans les cas précédents, les conséquences étaient bien moins amusantes.
Conclusion
Les caviardages ratés sont un parfait exemple de sécurité par l'obscurité: on masque visuellement l'information sans la supprimer réellement. Si la donnée existe encore quelque part dans le fichier, elle finira par être trouvée.
Le plus ironique ? La majorité de ces échecs proviennent d'institutions censées protéger l'information: tribunaux fédéraux américains (Facebook, Manafort, Epstein), Commission européenne (AstraZeneca), administrations municipales (Rennes). Le caviardage est une affaire sérieuse qui peut avoir des conséquences juridiques, politiques ou humaines... Une simple erreur technique peut compromettre des années d'enquête ou mettre en danger des victimes. Il existe pourtant une multitude d'applications pour caviarder correctement un document, mais le manque de formation du personnel chargé de cette tâche, combiné à une méconnaissance du fonctionnement réel des fichiers PDF, perpétue ces erreurs.