Streamer un PDF

emualliug · 21 Janvier 2025

Bonjour à tous,

Je voudrais permettre la consultation d'un PDF, sans en permettre le téléchargement (même indirectement).

Pour le moment, le mieux que j'ai pu trouver consiste à stocker le document sur un Google Drive, en restreindre les droits, et fournir un lien de consultation. Outre le fait que j'aurai aimé avoir une solution souveraine, elle a aussi l'inconvénient de permettre à tout utilisateur qui a eu accès à un document d'en partager l'URL.

Avez-vous d'autres solutions ?

Blanx · 21 Janvier 2025

Une solution du style issuu ? https://issuu.com/flipbook

emualliug · 21 Janvier 2025

Dans l'idée, oui, à défaut de pouvoir avoir quelque chose 100% chez moi.

Mais issuu (et d'autres que j'ai pu voir) ne me conviennent pas. D'abord le style "flip book" est visuellement moche, même bien fait, c'est moche, et en plus c'est lent. C'est surtout inadapté, on ne consulte pas un PDF sur un écran comme on feuillette un magazine, l'analogie avec le monde papier ne fonctionne pas. Ensuite je n'ai pas l'impression de pouvoir intégrer un PDF avec un système de jeton qui évite la réutilisation du document en dehors d'un système qui existe déjà. Issuu en particulier m'a l'air très cher, puisque pour avoir plus de 5 pdf privés, il faut passer à la version unlimited qui commence à 259 euros par mois !

LuciferX · 24 Janvier 2025

Bonjour,

Mon approche serait d’intégrer PDF.js sur le site pour afficher les PDF directement dans le navigateur, sans permettre leur téléchargement. En personnalisant le lecteur avec JavaScript, il serait possible de désactiver des fonctionnalités comme le clic droit ou l’accès aux outils de développement, ce qui compliquerait l’extraction du contenu.

Pour sécuriser les documents, l’utilisation de PDFelement permettrait de les protéger par mot de passe et de restreindre l’impression ou la copie. Pour un contrôle plus poussé, une solution DRM comme Adobe Document Cloud serait idéale.

Il serait également pertinent de générer des liens uniques contenant un token temporaire, envoyés par email. Ces liens expireraient après un certain délai ou une seule consultation, et seraient associés à une base de données vérifiant l’identité de l’utilisateur.

Enfin, la mise en place de logs d’accès sur le serveur, couplée à un outil comme Fail2ban, permettrait de détecter toute tentative d’accès non autorisé.

Vous pourriez aussi ensuite configurer un tableau de bord sur Google Data Studio pour suivre des indicateurs clés tels que le nombre de consultations, les tentatives échouées, la durée de consultation, l’utilisation des liens uniques, l’analyse géographique des accès, et définir des alertes de sécurité pour détecter des comportements anormaux.

Cette solution me semble idéale pour garantir la consultation sécurisée de vos PDF en maintenant un contrôle total sur les données tout en évitant de dépendre de services externes

spout · 24 Janvier 2025

C'est pas mal du tout l'idée PDF.js, mais dans les outils développeurs on voit l'URL du PDF en clair :

emualliug · 24 Janvier 2025

@LuciferX , j'avais pensé à une solution un peu comme celle que tu décris qui a justement l'avantage que je recherchais d'être entièrement chez moi. En plus j'utilise déjà pdf.js sur ce projet pour d'autres docs, réflexion faite ça m'a semblé plus universel (surtout pour le mobile) qu'inclure le PDF dans un cadre, même si c'est un peu plus lent.

Mais comme le relève @spout, en fait ça "masque" le pdf, mais il reste toujours accessible. J'avais réfléchi à tenter de bloquer le téléchargement du PDF lorsqu'il n'est pas appelé par pdf.js, mais tout se contourne assez aisément.

Dans le fond, la solution de Google Drive est pas mal, je trouve leur liseuse performante (bien au-dessus des flipbook-like que j'ai pu tester), mais hormis le fait d'impliquer une dépendance à un tiers, je ne vois pas comment on pourrait mettre un système de token, comme tu dis, pour éviter que l'URL soit rejouée.

Au passage, je signale tout de même une version "read only" de pdf.js : https://github.com/latuminggi/pdf.js_readonly, mais je n'ai pas l'impression que les limitations côté serveur soient suffisamment "bullet proof".