Skip to content
FileShrinking
ConfidentialitéSécurité

Compresser des fichiers en ligne, est-ce sûr ? Guide

La plupart des compresseurs en ligne envoient vos fichiers sur un serveur. Voici ce qui leur arrive vraiment, les risques et comment repérer un outil sûr.

The FileShrinking Team28 juin 20268 min de lecture

Cherchez un moyen de réduire la taille d’une photo ou d’un PDF et vous trouverez des centaines de sites de “compresseur en ligne gratuit”. Ils sont pratiques, ils fonctionnent et, la plupart du temps, rien de fâcheux ne se produit. Mais “en ligne” signifie généralement une chose très précise en coulisses : votre fichier est envoyé sur le serveur de quelqu’un d’autre, traité là-bas, puis renvoyé. Que cela soit sûr ou non dépend entièrement de l’identité du propriétaire de ce serveur et de ce qu’il fait de vos données. Ce guide explique ce qui se passe réellement lorsque vous envoyez un fichier, où se trouvent les véritables risques et comment distinguer un outil réellement privé de celui qui prétend simplement l’être.

Ce qui se passe quand vous envoyez un fichier à compresser

Un compresseur en ligne traditionnel suit un aller-retour simple : votre navigateur envoie le fichier original à travers internet vers un serveur web, un programme l’y compresse et le résultat vous est renvoyé pour téléchargement. La compression en elle-même est inoffensive. L’exposition vient de tout ce qui touche votre fichier en chemin :

  • Des copies sont écrites sur disque.Pour traiter un fichier, un serveur l’enregistre presque toujours temporairement. “Temporairement” peut signifier quelques secondes ou, selon les tâches de nettoyage et les sauvegardes, beaucoup plus longtemps.
  • Journaux et caches.Les serveurs web, les réseaux de diffusion de contenu et les proxys enregistrent les requêtes de manière routinière et peuvent mettre les réponses en cache. Votre fichier ou ses métadonnées peuvent persister dans des endroits que l’opérateur du site ne contrôle même pas directement.
  • Processeurs tiers.Beaucoup de sites ne gèrent pas leur propre infrastructure ; ils transmettent votre fichier à un stockage cloud, à une fonction serverless ou à l’API de compression d’une autre entreprise. Chaque saut est une partie supplémentaire qui détient, aussi brièvement soit-il, une copie de vos données.
  • Une conservation que vous n’avez pas acceptée. Une promesse de “supprimer les fichiers au bout d’une heure” ne vaut que par l’honnêteté et l’ingénierie de l’opérateur. Vous n’avez aucun moyen de le vérifier.

Rien de tout cela n’est intrinsèquement malveillant. Un service réputé doté d’une bonne sécurité peut gérer tout cela de manière responsable. Le problème, c’est que vous faites confiance à des personnes que vous ne pouvez pas voir, et une fois qu’un fichier quitte votre appareil, vous perdez le contrôle de l’endroit où vivent ses copies.

Les risques réels (sans alarmisme)

Soyons honnêtes sur les probabilités. La grande majorité des compressions en ligne se déroulent sans incident. Mais lorsque les choses tournent mal, les conséquences peuvent être graves, et elles augmentent avec la sensibilité du fichier.

Fuites de données

Tout serveur qui stocke des fichiers, même brièvement, est une cible. Des buckets cloud mal configurés, des identifiants divulgués et des logiciels non corrigés ont déjà exposé par le passé les fichiers envoyés par les utilisateurs. Si votre fichier se trouvait sur ce serveur au moment de la violation, il vous échappe désormais.

Des conditions qui accordent discrètement des droits

Lisez les petites lignes de certains outils gratuits et vous y trouverez de larges licences : l’autorisation de “stocker, reproduire et traiter” votre contenu, ou d’utiliser les fichiers envoyés afin d’“améliorer nos services” — ce qui peut inclure de les injecter dans des flux d’analyse ou d’apprentissage automatique. Vous cédez peut-être plus que vous ne le pensez en échange du “gratuit”.

Pistage par des tiers

Les compresseurs financés par la publicité chargent souvent des traqueurs et des scripts publicitaires. Ces scripts ne peuvent pas lire le contenu de votre fichier, mais ils peuvent enregistrer que vous avez utilisé un outil pour, par exemple, comprimer des images médicales, et relier cela à un profil vous concernant.

Pourquoi les fichiers sensibles méritent une prudence accrue

Le calcul change complètement selon ce que vous compressez. Réduire un mème est peu risqué. Envoyer l’un des éléments suivants vers un serveur inconnu est une tout autre affaire :

  • Documents d’identité— passeports, permis de conduire, cartes d’identité. Une mine d’or pour la fraude.
  • Fichiers financiers et juridiques— contrats signés, formulaires fiscaux, relevés bancaires, factures comportant des coordonnées de compte.
  • Dossiers et examens médicaux— ils peuvent en outre être soumis à des protections légales (comme la HIPAA aux États-Unis ou les règles sur les catégories particulières du RGPD dans l’UE) dont vous, ou votre employeur, êtes responsables.
  • Photos privées et correspondance personnelle — des éléments dont vous ne voudriez jamais qu’ils apparaissent dans une fuite ou un jeu d’entraînement.

Pour des fichiers de ce type, la bonne question n’est pas “ce site est-il probablement fiable ?”, mais “ce fichier a-t-il seulement besoin de quitter mon appareil ?”. Souvent, la réponse est non.

Comment savoir si un compresseur est vraiment privé

Le marketing ne coûte pas cher ; “sécurisé” et “privé” apparaissent sur quantité de sites qui envoient malgré tout tout sur leurs serveurs. Voici comment le vérifier vous-même, grosso modo par ordre de fiabilité de chaque test.

1. Y a-t-il un envoi ? Surveillez l’onglet réseau.

C’est le test le plus puissant qui soit, et tout le monde peut le réaliser. Ouvrez les outils de développement de votre navigateur (F12 ou clic droit puis Inspecter), passez à l’onglet Réseauet compressez un fichier. Si vous voyez une grosse requête sortante transportant votre fichier, c’est qu’il a été envoyé. Si le traitement est local, vous verrez le fichier se charger dans la page mais aucun envoi de son contenu en sortie. La documentation de MDN sur la manière dont les navigateurs gèrent les requêtes entre origines est une bonne introduction à la signification de ces entrées réseau.

2. Le traitement est-il côté client ?

Les navigateurs modernes peuvent compresser des images, de la vidéo, de l’audio et des PDF entièrement sur votre propre machine grâce à des technologies comme l’API Canvas, WebAssembly et les Web Workers. Un outil conçu de cette façon n’a jamais besoin de serveur pour le travail réel. Nous approfondissons la manière dont cela est possible dans notre article sur la compression d’images sans perte de qualité.

3. Le code est-il open source et auditable ?

Une affirmation de confidentialité dont vous pouvez lire le code source vaut bien plus qu’une affirmation que vous ne pouvez pas vérifier. Si le projet est open source, n’importe qui — y compris les chercheurs en sécurité — peut confirmer que les fichiers sont traités localement et que rien n’est exfiltré. Un outil fermé vous demande de le croire sur parole.

4. La politique de confidentialité est-elle précise et claire ?

Une politique digne de confiance indique clairement si les fichiers sont envoyés, ce qui est conservé et pour combien de temps, et quels tiers interviennent. Un langage vague, ou une politique qui contredit la bannière “nous ne voyons jamais vos fichiers”, est un signal d’alerte.

L’alternative plus sûre : garder les fichiers sur votre appareil

La façon la plus propre d’éliminer le risque lié à l’envoi est de ne rien envoyer du tout. Un compresseur côté client(dans le navigateur) effectue chaque étape localement : votre fichier est lu dans la page, traité par du code qui s’exécute sur votre propre processeur et réenregistré dans votre dossier de téléchargements — sans qu’un seul octet de son contenu ne traverse le réseau. Il n’y a aucune copie sur un serveur susceptible d’être compromise, aucune politique de conservation à laquelle se fier et aucun processeur tiers dans la boucle, parce qu’il n’y a aucun serveur qui effectue le travail.

C’est exactement ainsi que FileShrinking est conçu. Chaque outil — le compresseur d’images, le compresseur de PDFet les autres — fonctionne à 100 % dans votre navigateur. Vos fichiers ne sont jamais envoyés. Et parce que le projet est entièrement open source sous licence MIT, cette affirmation d’absence d’envoi est vérifiable plutôt que simplement promise : vous pouvez lire le code sur github.com/affsquadDevs/fileshrinking, ouvrir l’onglet réseau pendant que vous l’utilisez et constater que les deux racontent la même histoire. Notre politique de confidentialité dit la même chose en langage clair.

En résumé

Compresser des fichiers en ligne n’est pas automatiquement dangereux — mais le modèle par défaut, dans lequel votre fichier est envoyé sur le serveur d’un inconnu, comporte des risques réels qui croissent avec la sensibilité du fichier. Avant d’envoyer quoi que ce soit d’important, faites les vérifications rapides : ouvrez l’onglet réseau, cherchez un traitement côté client et privilégiez les outils dont vous pouvez réellement inspecter le code. Mieux encore : lorsque le travail peut s’effectuer entièrement dans votre navigateur, laissez-le se faire. Le fichier qui ne quitte jamais votre appareil est celui qui ne peut jamais fuiter.

Revenir à tous les articles