Les voix indépendantes payent de plus en plus un prix, parfois dans leur vie professionnelle mais aussi dans leur vie privée.
Apprendre à maîtriser la sécurité sur internet est le nouveau défi pour les journalistes d’investigation, reporters, photographes, communicants et toute personne pouvant être liée à des dossiers sensibles ou informations d’intérêt.
Le plus commun moyen de défense que trouvent les journalistes, parfois étant jusqu’à menacés de mort ou de viol dans des cyberattaques synchronisées, est l’autocensure. Or, il existe maints moyens numériques pour se défendre, avant de s’autocensurer.
On vous expliquera dans ce guide quels sont quelques risques encourus, afin d’anticiper les menaces, connaître un peu plus sur les techniques d’attaque utilisées aujourd’hui et pouvoir agir en conséquence en vous proposant quelques solutions pratiques.
Les journalistes nous mettent en garde
Valentin Blanchot, rédacteur en chef de Siècle Digital
Ce guide a été conçu suite à avoir vu et reçu les témoignages de personnes comme Valentin, des personnes ayant déjà été confrontées à:
1. La difficulté de réussir à séparer la vie personnelle de la vie professionnelle en ligne “des utilisateurs de Twitter ont pu accéder à mon profil Facebook, et aller puiser dans mes photos, et diffuser des photos de familles. D’autre part, lors de mises à jour de sécurité, nous avons constaté de nombreuses tentatives de connexion, soit automatiques, soit manuelles, sur des comptes de notre média, dont le mien. S’en sont suivies des menaces, non concrétisées“, nous raconte Valentin Blanchot, journaliste chez Siècle Digital.
2. Avoir à protéger le contenu de son travail, que ce soit dans les réseaux sociaux ou par le partage de fichiers entre boîtes, collaborateurs et collègues.
3. Devoir coordonner de façon interne une meilleure gestion de la sécurité car ces témoignages nous mettent surtout en garde du fait qu’il faut qu’on soit tous au courant des risques encourus et qu’il faut qu’il y ait une coordination interne dans les équipes pour faire face aux dangers: “si votre plateforme (WordPress ou autre) ne le propose pas, poussez l’idée à la personne en charge de la sécurité, car si une personne mal intentionnée se connecte avec votre profil ou celui d’un admin, elle peut altérer l’ensemble des contenus. Désormais, l’ensemble de nos comptes Google Workplace (ex G Suite) sont reliés à une authentification à deux facteurs (2FA). Il en est de même pour l’ensemble des auteurs qui se connectent à notre WordPress. C’est une mesure simple, parfois difficile à intégrer pour nos collaborateurs, mais elle est nécessaire“, a partagé avec nous Valentin.
Quelles mesures prendre en ligne lorsqu’on est journaliste?
Les journalistes, plus que d’autres, sont la cible d’attaques en ligne visant à les espionner, intimider, et à enfreindre leur droit d’exercer leur métier librement. Quels risques encourent les journalistes, que ce soit par des États et des acteurs non-étatiques? Si vous ne voulez pas retourner aux appareils non-intelligents, utiliser un Blackberry, Blackphone ou autre, on vous propose ci-contre quelques solutions face aux risques de surveillance sur Windows, Mac, Android et appareils intelligents :
1. Restez connecté avec l’extérieur lorsqu’en déplacement et renseignez-vous sur les lois du pays auquel vous allez
Avant tout il est fortement conseillé de s’informer sur les lois de censure pour la presse avant de se rendre sur place, puisque celles-ci varient selon les territoires. Le risque encouru, si des mesures ne sont pas prises, est de ne pas pouvoir faire son travail, faire des recherches, se déplacer librement ou publier, et ça peut aller jusqu’à être persécuté par le gouvernement dudit pays, ayant enfreint leur lois.
Une fois sur place, faire passer ses communications à travers un serveur privé (VPN) au lieu de la connexion locale vous permettra de faire passer toutes vos communications numériques à travers un serveur du pays de votre choix, en ayant donc accès à toutes vos applications, sites internet, réseaux sociaux habituels, sans contraintes, ce qui n’est pas forcément le cas lorsque vous êtes en déplacement: toutes les applications ne sont pas disponibles partout. Or ce qui est intéressant, mis à part avoir accès à toutes les ressources et outils disponibles en ligne dans quelque localité que vous soyez, est que vos échanges et mouvements sur internet ne pourront pas être suivis ou surveillés, vous serez anonyme en ligne.
Les organismes nationaux, chargés d’avoir les yeux sur les échanges, surtout de la presse étrangère dans leur localité, ne pourront pas voir ce que vous faites. Avec un VPN vous faites d’une pierre deux coups: sécurité personnelle vis-à-vis de la loi et connexion avec l’extérieur sans restrictions locales.
2. Utilisez des messageries instantanées sûres
Il est important de savoir que dans un pays où le niveau de censure sera très haut, vous ne pourrez pas communiquer librement avec l’extérieur. Utiliser certaines applications, on pense à Whatsapp, Google Hangouts, Slack, Campfire, Skype notamment et messageries en général, envoyer des photos ou messages à travers les réseaux sociaux, ne sera pas possible à certains endroits du monde.
Dans les endroits où vous aurez accès aux divers services de messagerie, il faut tenir en compte que les sociétés qui offrent ces services peuvent donner vos informations au gouvernement (c’est le cas de Skype, dont la société mère est Microsoft). D’autres messageries instantanées, même si chiffrées de bout en bout, affichent qui communique avec qui et quand (Whatsapp) ce qui est une information capitale même si incomplète. Certaines autres messageries offrent un chiffrement qui ne fonctionne que sur les téléphones portables (les conversations secrètes de Facebook par exemple) mais pas sur les ordinateurs ou autres dispositifs, en plus de celui-ci (le chiffrement) être une fonctionnalité qui doit être activée manuellement.
Dans d’autres mots, la fonctionnalité est activée manuellement, donc il faut déjà le faire, mais en plus, il faut pouvoir être sûr que l’autre personne, celle à qui on parle, l’a aussi fait. On note aussi que beaucoup de services de messagerie stockent les métadonnées. On vous déconseille donc fortement d’échanger des messages confidentiels dans ce genre de plateforme.
Mais il existe des messageries alternatives qui sont beaucoup plus sûres. Il existe par exemple OTR (Off the Record, ou non enregistré), CryptoCat, Pidgin ou Adium. Ces deux derniers prennent en charge le protocole de chiffrement OTR et sont conseillés par l’UNESCO. Vous pouvez aussi directement utiliser la messagerie de Tor, qui est probablement la plus sûre de toutes. Tor est d’ailleurs aussi un navigateur (Tor Browser), un navigateur considéré de nos jours comme étant le mieux chiffré du monde. Quant à vos appels téléphoniques ou vidéos en ligne, vous avez Hello de Firefox ou Qtox.
3. Faites attention au wi-fi public et aux connexions ouvertes car elles sont un danger
Les intrusions dans vos appareils, caméras et micros compris, sont un jeu d’enfant lorsque connecté à un réseau public. Si pour un quiconque c’est déjà dangereux vis-à-vis de leur comptes en banque ou informations personnelles, pour un journaliste, se connecter sans précautions à des réseaux ouverts ou wifi public peut compromettre les informations liées à son travail, sa boîte et les personnes qui y travaillent, ses collaborateurs et sources, et jusqu’à son intégrité physique. Il est impératif de prendre des mesures pour se protéger soi, son métier et son entourage quand notre travail tourne autour d’informations sensibles et prisées.
Dans ces cas, se munir d’un VPN sûr, avec la fonctionnalité Kill Switch (déconnexion d’urgence) et une politique de non-journalisation devrait être un geste automatique et des premiers puisque toute information échangée à travers internet peut être par défaut interceptée, suivie et gardée. On le répète, ne vous connectez jamais à un réseau wifi public sans VPN. La fonctionnalité Kill Switch permet de détecter une déconnexion ou une baisse de vitesse dangereuse de la connexion internet qui pourrait vous déconnecter de ce fait au serveur VPN lors de son utilisation. Pendant les moments où vous ne serez pas connecté au VPN mais toujours en ligne à travers le wifi ou FAI (fournisseur internet), vos informations seront à découvert.
Les organismes nationaux de surveillance ou espions, soit hackers ou autres y auront accès puisque vos informations passeront une fois de plus à travers les serveurs locaux si vous vous déconnectez du VPN. La fonctionnalité Kill Switch détecte, même avant que ça arrive, une possible déconnexion au VPN et vous déconnecte carrément d’internet, cachant toutes vos informations des regards indiscrets. Et enfin le VPN ne doit pas garder de registres, sur aucune de vos communications entrantes ni sortantes telles que les sites que vous consultez etc. Il est à ce sujet important que l’entreprise qui fournit le service VPN ne se situe pas dans des pays dits “les 14 yeux”.
Dans ces pays, comme les États-Unis ou la France par exemple, les services de renseignement sont autorisés à rassembler et partager les informations les uns avec les autres afin d’établir des profils sur vous et peuvent à n’importe quel moment exiger aux entreprises situées dans leur territoire -soit les fournisseurs de VPN locaux-, de leur fournir de telles informations.
4. Soyez prudent avec vos mots de passe
Ils sont ce que les hackers cherchent plus que tout car ils sont la clé de vos plus importantes informations en ligne. Ces mots de passe sont cherchés à distance mais il se peut aussi que nos appareils soient volés ou qu’ils tombent dans des mains autres que les nôtres dans un moment d’égarement. Il faut ainsi mettre vos informations à l’abri des espions, ce qui peut vous rendre victime d’extorsion et autres délits comme le vol d’identité, ou le vol tout court.
Dans une interview donnée à Alastair Reid pour journalism.co.uk, Arjen Kamphuis, un expert en sécurité des informations, recommande d’utiliser une phrase de passe. « Ça peut être n’importe quoi, comme un passage de votre poésie préférée, ou un truc que vous avez écrit à neuf ans et dont personne n’a connaissance » affirme Kamphuis. Attention, il est conseillé d’utiliser différentes phrases de passe d’un service à l’autre. Si besoin, utilisez un gestionnaire de mots de passe (LastPass, 1Password, KeePass) car il peut être difficile de tous les retenir par cœur.
5. Utilisez la cryptographie et l’authentification à deux facteurs avec vos boîtes mail
Souvent les journalistes freelance utilisent des boîtes mail classiques, or, sachez que des organisations comme Google et Microsoft peuvent dévoiler vos e-mails et les donner au gouvernement si on le leur demande. De plus, le niveau de sécurité de ces boîtes mail n’est pas au top. Il est donc bon de savoir quelles autres options sont à votre disposition et s’en servir tout simplement. Tel est le cas de l’authentification à deux facteurs grâce à laquelle, afin de se connecter au compte, il faudra une étape de vérification en plus du seul mot de passe; ça peut être un SMS, un appel téléphonique, ou autre. Pensez donc à Pretty Good Privacy (PGP), Thunderbird et à Enigmail.
L’installation de ces logiciels et applications de cryptographie que vous utiliserez en mission pour chiffrer emails, chats et SMS et les rendre illisibles à toute personne autre que l’expéditeur et le destinataire, marchent à condition que les correspondants utilisent le même outil, donc renseignez-les aussi. Les messages doivent être cryptés des deux côtés. Une autre manière de crypter ce qu’on envoie en ligne est une fois de plus l’utilisation du VPN.
En plus d’être des serveurs privés, les serveurs VPN sont chiffrés, les données sont cryptées. Les meilleurs sont les VPN qui proposent plusieurs protocoles de chiffrement, ensuite c’est à vous de vous renseigner sur lequel vous convient le mieux puisqu’il y en a de plus ou moins robustes et de pas là de plus ou moins rapides aussi, selon vos besoins du moment. Et n’oubliez pas de réparer les fuites DNS: utiliser un VPN ne vous protège pas totalement, parce que le trafic DNS peut donner des indices sur votre identité. DNSLeakTest.com vous permettra d’identifier les fuites éventuelles. Si le test montre que votre DNS passe par votre VPN, vous pouvez vous détendre, mais si le DNS passe par votre fournisseur d’accès, vous n’êtes pas anonyme. Obtenez donc un VPN qui marche contre les fuites DNS.
6. Utilisez la cryptographie pour votre disque dur
On vous conseille aussi de chiffrer l’intégralité de votre disque dur: via FileVault sur Mac ou TrueCrypt et BitLocker sur Windows. Si quelqu’un tombait sur des informations qui pourraient vous compromettre, ou qui leur permettaient de créer un profil de vous, sachant quelles sont vos intentions, vos goûts, les endroits auxquels vous vous rendrez certainement, ou le genre de sujets ou événements que vous allez couvrir, cela peut jouer contre vous.
Il en est de même de ce que vous pouvez partager sur les réseaux sociaux et qui pourrait relever de vos penchants personnels. N’ayez pas sur votre ordinateur et vos réseaux sociaux des allusions d’ordre politique ou religieuse, cela pourrait se retourner contre vous en cas de prise d’otage par exemple, et avoir des conséquences graves, utilisez donc des paramètres de confidentialité stricts, et jamais ce donnés par défaut, et faites le ménage dans vos appareils, et cela même si vous utilisez la cryptographie.
7. Partagez vos fichiers de manière sécurisée
Car si vos fichiers sont interceptés le résultat peut être tragique tantôt dans votre vie privée comme professionnelle. Vos fichiers peuvent virtuellement être lus par quiconque, et si vous en recevez, il se peut qu’ils contiennent des virus qui permettraient d’avoir accès à votre dispositif et tout ce qu’il contient. Utilisez un système dédié sécurisé pour la réception de documents: remplacez Dropbox ou Google Drive par un système plus sécurisé. Par exemple, SecureDrop est un système dédié qui vous permet de recevoir des fichiers de sources anonymes, de les analyser, et de les vérifier, sans risques. On vous recommande aussi Spideroak. OnionShare est aussi un service gratuit, qui permet de transférer des fichiers facilement et de manière anonyme.
8. Faites attention aux modes de paiement que vous employez
Les cartes de crédit, ainsi que les paiements en ligne, laissent des traces sur vos activités et plans futurs. On a tous entendu parler de la personne qui s’est faite arrêter car elle avait utilisé sa carte de crédit. Effectuez donc tous vos règlements en liquide, envisagez d’utiliser des Bitcoins – achetez-les de manière anonyme et, si la personne en face les accepte, utilisez des Darkcoin. Une carte de crédit prépayée issue d’un magasin en ligne est également une bonne option.
Conclusion
On espère vous avoir donné des solutions pratiques et que vous pourrez continuer à exercer votre travail de façon sûre. Vraiment il vaut mieux prévenir. Alors prenez des précautions et soyez tranquille. Et surtout, merci de faire ce que vous faites, nous avons besoin de journalistes dignes de confiance comme vous.