La confidentialité en ligne pour les journalistes

La confidentialité en ligne pour les journalistes

1. Introduction

De nombreux journalistes, toutes générations confondues, ont probablement remarqué que les allusions au Watergate pleuvent dans tous les sens ces derniers temps. Des livres comme 1984 de George Orwell sont de retour dans les vitrines des librairies, et une ambiance menaçante envers la liberté de parole et la liberté de la presse se répand doucement, comme un nuage noir sur l’hémisphère ouest, réveillant des peurs anciennes.

Quand un président américain en faction accuse l’ancien président de surveillance ; quand il empêche l’accès à certains journalistes et médias américains – un accès qui a toujours été autorisé, et considéré comme acquis – aux conférences de presse qu’il tient ; quand il attaque constamment les médias, les accusant d’être l’ennemi numéro 1 du pays, il n’est pas surprenant de voir remonter à la surface des souvenirs du président Nixon, à chaque nouveau tweet larmoyant qui attaque le SNL. Même John McCain, sénateur républicain, exprime des inquiétudes au sujet de l’avenir de la démocratie.

Et McCain n’est pas le seul. De nombreux journalistes à qui j’ai parlé récemment m’ont fait part de leur inquiétude quant à l’avenir de la liberté de la presse. Dans une époque où il est possible de dire que Donald Trump contrôle la NSA sans passer pour un menteur, tout est possible. Quand on ajoute à ça les évènements récents relatifs à la CIA, qui nous ont appris que presque tous les systèmes de cryptages peuvent être compromis avec de la persévérance, on commence à envisager un monde complètement dystopique, où l’on ne serait jamais à l’aise, même allongé sur son canapé devant sa télé.

La bonne nouvelle, c’est qu’il est possible de rendre la tâche difficile à ceux qui souhaiteraient intercepter vos emails, vos SMS ou vos appels. Vous pouvez prendre des mesures pour compliquer la vie de ceux qui souhaitent découvrir vos sources et les informations qu’elles vous révèlent. Évidemment, les mesures que vous êtes prêt à prendre pour protéger votre confidentialité, l’anonymat de vos sources et la sécurité de vos données doivent être proportionnelles à la possibilité qu’une telle menace survienne, que ce soit du piratage ou de l’espionnage.

« Les promesses à l’ancienne – je ne révèlerai pas l’identité de ma source et ne donnerai pas mes notes – sont inutiles si vous ne prenez pas les mesures nécessaires pour protéger vos informations numériques », nous dit Barton Gellman du Washington Post, dont la source, Edward Snowden, ancien sous-traitant de la NSA, l’a aidé à découvrir la portée des opérations de la NSA et du GCHQ anglais avec la journaliste Tony Loci. Loci elle-même, qui couvrait le système judiciaire américain pour AP, Le Washington Post et USA Today, et qui a été convoquée par la cour pour avoir refusé de dévoiler ses sources, serait d’accord avec cette déclaration.

Alors, qu’est-il nécessaire de faire pour s’assurer que les sources et les données des journalistes soient à l’abri et bien protégées ? Grosso modo, les astuces peuvent être classées dans les catégories suivantes :

  1. Isoler vos appareils et/ou leur environnement- par exemple, l’isolation physique d’un ordinateur dans le but de vérifier des fichiers, ou l’utilisation de téléphones prépayés.
  1. Sécuriser les applications et fonctions des appareils- C’est ce qu’on appelle réduire la « surface d’attaque », c’est-à-dire limiter les applications installées au strict minimum, n’installer que depuis des sources fiables, choisir des applis qui nécessitent peu d’autorisations, maintenir le système à jour, et effectuer de nombreux contrôles de sécurité (basés sur le dernier livre blanc des meilleures pratiques) sur l’appareil.
  1. Agir avec précaution, dans le monde réel comme dans le monde numérique- il s’agit plus de bon sens que de bons logiciels ; par exemple, n’écrivez jamais le nom de votre source, surtout pas sur une appli, ni un document stocké dans votre ordinateur, et certainement pas non plus sur le cloud.

2. Communiquer avec votre source et protéger les données sensibles

Commençons par faire la liste de ce que vous pouvez faire en matière de communication avec une source, et de stockage des informations sensibles obtenues :

1) Toujours tout crypter: Les experts en sécurité utilisent des opérations mathématiques simples pour illustrer leurs dires : en augmentant le coût de décryptage de vos fichiers (par exemple, pour des services de renseignements comme la NSA), vous augmentez le degré d’efforts à faire pour vous surveiller. Si vous n’êtes ni Chelsea Manning, ni Julian Assange, ni Edward Snowden et si vous n’étiez pas impliqué dans la surveillance active des appartements de Trump, ils lâcheront peut-être l’affaire même si vos communications cryptées étaient stockées. Et si quelqu’un devait décider de vous pister malgré vos efforts, vous lui compliqueriez la tâche si vous utilisez un cryptage solide comme AES (Advanced Encryption Standard) et des outils comme PGP ou openVPN, qui sont les méthodes de cryptages les plus solides et les plus communes (Les VPN sont utilisés par le gouvernement américain lui-même).

Mais si vous voulez une sécurité sans faille, vous aurez besoin de plus que la méthode de cryptage AES. P.S. si vous voulez découvrir en quelle année vos informations ont atterri dans les mains de la NSA, jetez un œil ici.

2) Effectuer un cryptage complet du disque: au cas où quelqu’un vienne à mettre la main sur votre téléphone ou sur votre ordinateur. Un cryptage complet du disque peut être effectué à l’aide de FileVault, VeraCrypt ou BitLocker. Mettre un ordinateur en « veille » (plutôt que l’éteindre complètement ou le mettre en « hibernation ») peut permettre à un hacker de contourner ses défenses. Ici, Mika Lee propose un guide complet sur le cryptage de votre ordinateur.

3) Se méfier des grands noms: il faut partir du principe que les systèmes de cryptage des grosses entreprises, et peut-être même certains systèmes d’exploitation renommés (logiciels propriétaires) possèdent des « back doors », ou portes dérobées, qui permettent l’accès aux services secrets du pays d’origine (au moins aux USA et au Royaume-Uni). Bruce Shneyer, expert en sécurité, nous l’explique ici.

4) Ne pas parler à vos sources au téléphone: toutes les compagnies de téléphonie conservent les données relatives aux numéros de l’appelant et du destinataire, ainsi que l’emplacement de leurs appareils au moment où l’appel a été effectué.  Aux USA et dans de nombreux autres pays, la loi exige que les informations sur les appels enregistrés en leur possession soient divulguées.

Que peut-on y faire ? On peut utiliser un service d’appel sécurisé, comme celui de l’appli Signal, dont la sécurité a été testée à maintes reprises. Même si cela signifie que la source et le journaliste devront tous deux télécharger l’application, le processus ne prend que quelques minutes. Voici un guide d’aide pour son utilisation. Juste par curiosité, regardez combien de vos amis non journalistes sont sur l’appli.

Peu importe la façon dont vous choisissez de communiquer avec votre source, n’amenez pas votre téléphone portable à des entretiens sensibles. Achetez un appareil jetable et trouvez une façon de communiquer le numéro à votre source à l’avance. Votre source doit également avoir un appareil jetable sécurisé. Les autorités peuvent suivre vos mouvements grâce aux signaux des réseaux cellulaires, et il est préférable de les empêcher de vous localiser de façon rétroactive dans le même café que votre source. Si vous ne suivez pas cette règle, les autorités locales auront simplement à demander (poliment et en toute légalité) les images de vidéo surveillance du café au moment de votre entretien.

5) Choisir des messageries sécurisées: vos appels (par téléphone mobile ou ligne fixe) peuvent être surveillés par les autorités et chaque SMS est comme une carte postale – la totalité du texte est pleinement visible pour qui les intercepte. Il faut donc utiliser des messageries qui permettent des appels sécurisés des deux côtés : signal, dont nous vous avons parlé plus haut, et Telegram, sont considérées comme les plus sûres (même si Telegram, tout comme WhatsApp, a déjà été compromise, puis réparée). Selon certains experts, vous pouvez également envisager d’utiliser SMSSecure, Threema et même Whatsapp.

Le protocole Signal a été mis en place dans WhatsApp, Facebook Messenger, et Google Allo, rendant les conversations qui y passent cryptées. Toutefois, contrairement à Signal et à WhatsApp, Google Allo et Facebook Messenger n’effectue pas de cryptage par défaut, et ne notifient pas les utilisateurs quand les conversations ne sont pas cryptées – mais ils proposent un cryptage à double sens en option. Il faut aussi garder en tête que Facebook messenger et WhatsApp appartiennent tous deux à Facebook.

Adium et Pidgin sont les messageries instantanées qui prennent en charge le protocole de cryptage OTR (Off the Record, ou non enregistré)  les plus populaires sous Mac, Windows et Tor – le navigateur le mieux crypté du monde, dont nous vous parlerons un peu plus loin (consultez comment autoriser Tor dans Adium ici et dans Pidgin ici). Vous pouvez aussi directement utiliser la messagerie de Tor, qui est probablement la plus sûre de toutes.

Deux derniers points au sujet des SMS: un expert en cyber sécurité avec qui j’ai pu parler m’a dit que parfois, bien que le texte soit crypté, savoir que deux personnes communiquent à un moment précis peut être une information en soi.

Dernier point, vous devriez également penser à effacer les messages de votre téléphone (même si cela ne suffit pas forcément en cas d’analyse poussée), juste au cas où votre appareil vienne à tomber dans de mauvaises mains, pour éviter de les exposer.
xNSA Infographic 1 300x216.jpg.pagespeed.ic.Aw82KFsWWB La confidentialité en ligne pour les journalistes

6) Éviter certains outils de messagerie: Slack, Campfire, Skype et Google Hangouts ne devraient pas être utilisés pour des conversations privées. Ils sont faciles à pirater, et peuvent être soumis à des demandes de divulgations par les tribunaux, et être utilisés pour résoudre des conflits juridiques sur les lieux de travail. Il est donc préférable de les éviter, pas seulement pour les conversations avec vos sources, mais également pour les conversations entre collègues, rédacteurs, etc., quand vous communiquez des informations transmises par vos sources et dont vous devez protéger l’identité. De nombreux services de VoIP très populaires comme Jitsi possèdent une fonctionnalité chat intégrée, et bon nombre d’entre eux sont conçus pour répliquer les fonctions présentes sur Skype, ce qui en fait une excellente alternative.

7) Dans des cas extrêmes, envisagez d’utiliser un Blackphone: Ce téléphone, qui a pour but de vous offrir une protection parfaite quand vous surfez sur le web, quand vous téléphonez, et quand vous envoyez des SMS et des emails, est probablement le meilleur substitut à un téléphone normal si vous êtes sur le point de renverser votre gouvernement ou si vous vous apprêtez à divulguer des dossiers militaires secrets. Dans ce cas, un gilet pare-balles pourrait également s’avérer utile. L’alternative serait de faire sans téléphone, ou d’opter pour un étui qui bloque les signaux RFID des téléphones cellulaires. Mais il y a toujours la possibilité que le Blackphone soit surveillé avec son IMEI (l’identité du téléphone mobile).

8) Protéger les données sur votre ordinateur: il est très simple de trouver les mots de passe classiques, mais pour les phrases de passe, comme par exemple une suite de mots aléatoire, cela peut prendre des années. Nous recommandons l’utilisation d’un gestionnaire de mots de passe sécurisés comme LastPass, 1Password et KeePassX. Vous n’aurez qu’un seul mot de passe à retenir, plutôt qu’une douzaine. Mais quand vous vous occupez de choses importantes comme des communications par email, ne vous appuyez pas sur les gestionnaires de mots de passe, assurez-vous plutôt de le retenir.

Dans une interview donnée à Alastair Reid pour journalism.co.uk, Arjen Kamphuis, un expert en sécurité des informations, recommande de  choisir un mot de passe de plus de 20 caractères pour les cryptages de disques, les emails sécurisés et le déverrouillage d’ordinateur. Bien évidemment, plus le mot de passe est long, plus il est efficace, mais il est aussi plus dur à retenir. C’est pour cela qu’il recommande d’utiliser une phrase de passe. « Ça peut être n’importe quoi, comme un passage de votre poésie préférée, ou un truc que vous avez écrit à neuf ans et dont personne n’a connaissance » affirme Kamphuis.

Reid nous montre un calcul qui donne à réfléchir, grâce au Calculateur de force de mot de passe de Gibson Research Corporation: un mot de passe comme « F53r2GZlYT97uWB0DDQGZn3j2e », issu d’un générateur aléatoire, paraît très solide, et il l’est : il faut près de 1,29 centaines de milliards de billions de siècles pour essayer toutes les combinaisons, même si le logiciel effectue cent billions d’essais par seconde.
xBrute Force Calculator 300x221.jpg.pagespeed.ic.GnDDZBOMre La confidentialité en ligne pour les journalistesxBrute Force Calculator 2 300x221.jpg.pagespeed.ic.5KuXlFkSPi La confidentialité en ligne pour les journalistes

Captures d’écran de GRC.com, qui montrent la différence de solidité entre un mot de passe et une phrase de passe

La phrase: « I wandered lonely as a cloud », note-t-il, est bien plus simple à retenir et aussi plus sûre, le même logiciel ayant besoin de 1,24 centaines de billions de siècles pour essayer toutes les combinaisons. Bon, en gros, la phrase de passe gagne.

9) L’authentification à deux facteurs: est également une très bonne idée. Lors d’une authentification à deux facteurs classique, vous vous connectez avec votre mot de passe, et vous recevez un deuxième code, souvent par SMS sur votre smartphone. Vous pouvez utiliser Yubikey, ainsi que des jetons matériels pour sécuriser un peu plus les fichiers sensibles sur votre ordinateur. Pour plus d’informations, lisez les 7 règles d’or de sécurité des mots de passe.

10) Assigner un ordinateur pour l’inspection des fichiers ou pièces jointes suspicieux: la façon la plus simple de répandre des malwares et des spywares, c’est avec une installation par USB ou avec des pièces jointes et des liens contenus dans les emails. Il est donc recommandé d’utiliser un ordinateur à air-gap pour examiner ces menaces sous quarantaine. Grâce à cet ordinateur, vous pouvez utiliser une clé USB en toute liberté et télécharger des fichiers sur internet, mais vous ne pouvez pas transférer ces fichiers sur votre ordinateur ni réutiliser cette clé USB.

11) Comment acheter votre propre ordinateur sécurisé: l’expert en sécurité Arjen Kamphuis recommande l’achat d’un ThinkPad X60 ou X61 de IBM, pré-2009. Ce sont les seuls ordinateurs assez modernes, avec des systèmes qui permettent de remplacer les logiciels de bas niveau. Il faut également prendre en compte le fait qu’il est préférable de ne pas acheter son ordinateur en ligne, pour ne pas risquer qu’il soit intercepté

xThinkPad X60.jpg.pagespeed.ic.daqTCvjjrS La confidentialité en ligne pour les journalistes

ThinkPad X60. Ne l’achetez pas en ligne

pendant la livraison. Kamphuis recommande de l’acheter d’occasion, en liquide. Il souligne aussi qu’il faut supprimer toute connectivité : Ethernet, modem, Wi-Fi et Bluetooth. Personnellement, je connais des experts en sécurité qui ne feraient même pas confiance à un ordinateur de ce genre.

12) Informer vos sources: il est possible que le temps que les informations originales et précieuses vous parviennent, il soit déjà trop tard. Votre source peut avoir fait toutes les erreurs à éviter, laissant de nombreuses preuves derrière elle. Mais en plus de sécuriser l’information une fois qu’elle est en votre possession, il est nécessaire d’apprendre à vos sources comment cacher une information : la stocker de façon sécurisée et communiquer sans prendre de risques, sur des appareils fiables. La plupart des gens n’ont aucune idée de la bonne manière de gérer des informations sensibles, et ce qu’ils risquent à partir du moment où ils vous contactent.

13) Utiliser un système dédié sécurisé pour la réception de documents: Remplacez Dropbox ou Google Drive par un système moins populaire mais plus sécurisé. Par exemple, SecureDrop est un système dédié qui vous permet de recevoir des fichiers de sources anonymes, de les analyser, et de les vérifier, sans risques. Edward Snowden a décrit Dropbox comme « hostile à la confidentialité » et recommande Spideroak à la place. OnionShare est aussi un service gratuit, qui permet de transférer des fichiers facilement et de manière anonyme.

Lire la suite sur vpnmentor.com

Leave a Reply

Your email address will not be published. Required fields are marked *

*

CLOSE
CLOSE