Guide de confidentialité en ligne pour les journalistes

En tant que journaliste, savez-vous que vous pouvez prendre des mesures pour compliquer la vie de ceux qui souhaitent découvrir vos sources et les informations qu’elles vous révèlent ?

C’est justement le thème du livre (en anglais) de Michael Dagan, intitulé “Online privacy for journalists: A must-have guide for journalism in 2017” (voir ici sur Amazon). Les profits de ce livre sont d’ailleurs directement reversés à l’EFF !

De nos jours, les journalistes se retrouvent en plein “Watergate” et doivent redoubler de prudence dans le monde entier, alors que parfois, la démocratie est mise à rude épreuve… Voici un guide dédié à cet usage, qui fait parfaitement le rôle de complément après avoir pris connaissance de notre “CyberWarZone“.

Aussi, de nombreux journalistes ont fait part de leur inquiétude quant à l’avenir de la liberté de la presse dans certains pays de l’ouest. Et ce n’est pas les révélations sur la NSA, la CIA et certaines autres agences d’espionnages gouvernementales secrètes qui vont aider à dire le contraire ! Nombreux sont ceux qui se posent une question cruciale à l’heure où la sécurité des communications peut s’avérer crucial : le systèmes de chiffrements actuels connus ont-ils tous été cassés par ces agences ? Il y a de sérieux doutes…

Mise en place de protections

Même si le climat actuel est particulièrement mauvais, il faut savoir qu’il existe tout de même de nombreuses mesures à mettre en place afin de rendre la tâche très compliquée et longue à tous ceux qui souhaiteraient intercepter vos e-mails, SMS, appels ou toutes autres communications dans le but de remonter à vos précieuses sources ou juste de prendre connaissance d’informations capitales.

Aujourd’hui, un journaliste digne de ce nom DOIT SAVOIR protéger sa confidentialité, l’anonymat de ses sources et la sécurité de ses données, que ce soit face au risques potentiels de piratage ou d’espionnage. Vous avez tous entendu parlé du scandale ayant suivi les révélations critiques d’Edward Snowden (recueillies par la journaliste Tony Loci) accusant la NSA et le GCHQ anglais ? Alors vous comprendrez aisément cela.

En résumé, voici comment mettre en oeuvre une protection efficace pour un travail journalistique sensible :

1. Isoler vos appareils ainsi que leur environnement – Envisagez l’isolation physique d’un ordinateur et l’utilisation de téléphones équipés de cartes prépayées anonymes.

2. Sécuriser les applications des appareils utilisés – Afin de réduire la “surface d’attaque” critique, il est impératif de limiter les applications installées au strict minimum, de n’en installer que depuis des sources fiables, de choisir des applications nécessitant peu d’autorisations, d’opter pour des logiciels open-source, de maintenir le système à jour ainsi que les logiciels et applications installés, et d’effectuer de nombreux contrôles de sécurité sur l’appareil. Ainsi, il faudra absolument être certain qu’aucun malware ou logiciel espion n’est présent.

3. Etre autant prudent dans le monde numérique que dans le monde réel – Ici, il s’agit plus de bon sens ! Partez du principe que chaque mot écrit à tel ou tel endroit (en ligne ou hors ligne) laisse des traces. Aussi, ne notez jamais le nom de votre source sur un logiciel / application ou document sur le Cloud !

Sécuriser ses communications

Le point essentiel qui représente la base pour une communication sécurisée est bien entendu le chiffrement.

Chiffrement

Sur ce point, de nombreuses solutions fiables s’offrent à vous et sont adaptées à telle ou telle situation (document, e-mail, messagerie instantanée, clé USB, disque dur, etc). Il faut bien retenir la logique : plus le niveau de chiffrement sera haut et complexe, moins vos potentiels espions auront de chance d’accéder au contenu protégé et plus cela leur prendra du temps. Simple logique mathématique !

Concernant les solutions fiables, on retiendra particulièrement celles-ci :

• AES (Advanced Encryption Standard)
• PGP / GPG (le must pour les e-mails)
• OpenVPN (tunnel sécurisé privé chiffrant l’ensemble des données échangées de bout-en-bout par le biais d’AES 256-bits)

Outre les communications “directes”, il ne faut surtout pas oublier de protéger l’ensemble des appareils utilisés par la même méthode. Aussi, il faudra chiffrer fortement vos disques durs d’ordinateurs (internes comme externes) ainsi que les mémoires (dans le cas d’un smartphone par exemple). Il existe des outils précieux pour gérer un tel chiffrement complet sur ordinateur, comme par exemple FileVault (dédié aux Macs), VeraCrypt (qui remplace TrueCrypt) et BitLocker (dédié à Windows). Pour Android, sachez que le chiffrement natif est désormais disponible sur les versions récentes de l’OS mobile de Google. Aussi, pensez à toujours éteindre totalement vos appareils et éviter de les laisser simplement en veille, ce qui affaiblirait ses défenses.

Dans un esprit quelque peu paranoïaque, il faut aussi considérer la possibilité que les systèmes de chiffrement mis à disposition par les grandes entreprises (américaines par exemple) soient piégés à l’aide de backdoors (portes dérobées) cachés… aussi, il faut privilégier les solutions libres et open source comme VeraCrypt.

Idem concernant le système d’exploitation : utiliser un OS libre comme Linux sera largement plus bénéfique que de se reposer sur un Windows / Android ou MacOS ! Car ces derniers peuvent communiquer des informations avec Microsoft, Google et Apple, qui sont sous la juridiction américaines… et oui !

=> attention, notez bien que tout cela doit être aussi appliqué par vos sources afin que la sécurité soit efficace.

Les téléphones

Passons au cas spécifique du téléphone maintenant. Peut être le savez-vous déjà, mais les communications téléphoniques sont très simplement écoutables par les opérateurs, ce n’est un secret pour personne. Appel comme SMS d’ailleurs. Des informations sur l’appelant et le destinataire (numéros, horaire exacte, emplacement, etc) sont conservées en historique. De plus, on peut connaître votre position de manière plus ou moins exacte grâce aux relais. Comment se protéger du coup ? Le mieux est de passer par une messagerie sécurisée (lourdement chiffrée) et anonyme comme Signal ou Telegram. De même, un téléphone peut facilement être perdu ou voler, aussi, il faut être particulièrement vigilant à ne pas laisser traîner d’information sensible dessus.

Posséder un téléphone portable sur soit c’est être localisable à tout moment à travers les réseaux cellulaires (et c’est encore pire sur les smartphones équipés de réseau 3G/4G et de puce GPS). Aussi, seul un téléphone jetable anonyme pourra vous être un précieux secours pour vos entretiens “sensibles” à des points de rendez-vous.

N’envoyez jamais d’information sensible par SMS car ceux-ci sont tous lisibles en clair et archivés. Là encore, il faut absolument passer par des messagerie alternatives sécurisée et chiffrées (Signal reste la plus sûre aujourd’hui, mais il existe aussi Telegram, SMSSecure, Threema, la messagerie Tor ou encore Adium et Pidgin qui prennent en charge le protocole OTR). Plus récemment, Facebook Messenger et Google Allo proposent un mode chiffré qui doit être activé sur demande dans les options et Whatsapp est, quant à lui, chiffré par défaut. Mais toutes ces messagerie appartiennent à des sociétés américaines… Quant à Skype, Google Hangouts, Slack et Campfire, laissez-les de côté car elles ne sont pas considérées comme fiables par les experts.

Savez-vous comment la NSA écoutait les gens avant la révélation du scandale ? L’espionnage s’effectuait via Hotmail (Microsoft), Yahoo, Google, Facebook, PalTalk, YouTube, Skype, AOL et Apple. Voilà qui devrait vous donner une idée de l’ampleur des interceptions…

Il faut savoir qu’il est possible d’opter pour un BlackPhone à la place d’un simple téléphone jetable. Il s’agit d’un smartphone Android sécurisé de A à Z, produit en Suisse. Il est capable d’offrir une protection constante pour différents usages (Web, WiFi, SMS, e-mail). L’OS Android est lui aussi totalement épuré. Ne pas hésiter à s’équiper d’un étui bloquant tous les signaux du téléphone lors des déplacements. Reste le soucis d’identification via l’IMEI (l’identifiant unique de tout téléphone mobile)…

L’authentification

Il s’agit là du véritable pilier de la sécurité des données en informatique. Avec les performances atteintes aujourd’hui pour les attaques par dictionnaire (largement renforcées par les multiples fuites de données de ces dernières années) ou force brute, les mots de passe doivent être particulièrement forts. On parlera même de passphrase (ou phrase secrète). Ils doivent être composé de suites aléatoires assez longues (plus de 20 caractères dans l’idéal), avec des caractères minuscule et majuscules, des chiffres, et des caractères spéciaux. Vous pouvez utiliser cet outil pour tester la force de vos mots de passe et cet outil pour générer un mot de passe fort.

Une fois votre mot de passe fort en main, il est plus que conseillé d’utiliser un gestionnaire de mots de passe sécurisé. De cette façon, vous n’aurez plus qu’un seul mot de passe racine à retenir (faites un effort maximal pour sa qualité) et ils seront rassemblés au même endroit de manière très fortement chiffré. Si votre mot de passe principal est puissant, même en cas d’attaque sur le gestionnaire, vos mots de passe seront protégés durablement. Pour vous ne passer, il faudra opter pour une phrase longue que vous serez ne mesure de retenir.

Bien entendu, les mots de passe ne sont plus le meilleur moyen d’authentification aujourd’hui. En effet, il faut privilégier, lorsque cela est possible, l’utilisation d’une méthode d’authentification forte à double facteur. Par exemple, en passant par un code SMS ou encore l’usage d’une clé USB d’authentification de type YubiKey.

Une machine dédiée pour les opérations à risque

Au cours de votre travail journalistique ou d’investigation, vous aurez surement à manipuler des éléments particulièrement à risque provenant de sources externes. Il s’agit là du moment le plus critique car une infection via un malware est très vite arrivée, sans forcément s’en rendre compte ! Les clés USB et disques externes sot particulièrement à risque; ainsi que les cartes SD et les pièces jointes contenues dans les e-mails.

La solution ? Vous allez devoir dédier à 100% une machine expressément à cet usage. Cet ordinateur devra être totalement isolé et jamais connecté à Internet (il faudra d’ailleurs supprimer toutes les connectivités : Ethernet, Wi-Fi et Bluetooth). De même, ne récupérez jamais les fichiers à risques présents sur la machine sur vos autres appareils.

Ensuite, concernant la machine dédiée à ces opérations hautement risquées, l’achat d’un ordinateur sécurisé est conseillé. De nombreux experts recommandent par exemple l’achat d’un ThinkPad X60 ou X61 de IBM datant d’avant 2009. Pourquoi ? Car le système permet encore de remplacer l’ensemble des logiciels de bas niveau tout en étant relativement moderne. Pour l’achat en lui-même, préférez un achat physique en occasion avec paiement en liquide plutôt qu’une commande en ligne : cela élimine tout risque d’interception et d’injection de logiciel espion avant réception.

Fuir les solutions Cloud public

A la mode ces dernières années, tout passe peu à peu dans le cloud… sachez que vous perdez alors tout contrôle sur les données ! Oubliez surtout les clouds américains tels que Dropbox ou Google Drive déjà mêlés à plusieurs scandales. Il vous reste deux solutions si vous souhaitez vraiment utiliser un cloud : soit passer par le service sécurisé SecureDrop ou Spideroak, soit créer votre propre cloud privé. Cette dernière solution est bien entendu la meilleure car vous gérez du début à la fin le processus. L’excellent OwnCloud fera par exemple des miracles (solution sécurisée et open source), surtout qu’il est capable de chiffrer fortement l’ensemble des données stockées. Un must have !

Concernant les données sensibles que vous pourrez avoir en votre possession, le conseil est simple : limiter leur nombre et éviter leur conservation, que ce soit sur votre smartphone, ordinateur ou sur le Cloud… cela vaut aussi pour les notes (notez qu’il existe des services hautement sécurisés permettant de chiffrer et de détruire les notes après lecture tel que PrivNote).

Prendre garde à la surveillance physique

Lorsque vous êtes en déplacement, vous pouvez être victime de regards indiscrets à n’importe quel moment sur vos écrans. Pour vous protéger face à cela, le plus simple et efficace est d’installer sur les écrans de vos différents appareils un film confidentiel anti-vision latérale de protection écran.

Autre risque potentiel : les caméras de surveillance IP désormais présentes un peu partout (établissements privés tels que restaurants, hôtels, etc ou encore dans les lieux publics comme les gares, les aéroports, les centres commerciaux, les rues des centres villes, etc). Lors de vos rencontres sensibles, il ne sera pas évident de les éviter et il faudra pour cela vous baser sur votre connaissance des lieux.

Le paiement sécurisé et anonyme

Dans la mesure du possible, réglez tout simplement vos achats en liquide ! Il s’agit encore à ce jour d’une méthode de paiement anonyme infaillible… Si vous devez payer en ligne ça se corse mais ça reste jouable. Plusieurs solutions s’offrent alors à vous : les crytpo-monnaies (le DarkCoin par exemple) et les cartes bancaires prépayées.

Oubliez les réseaux sociaux

Il s’agit là d’une véritable bête noire à éviter à tout prix. En effet, toutes les données agrégées seront conservées de manière durable par ces réseaux. Le mieux est donc de ne jamais ouvrir de compte dessus… Pour des besoins spécifiques de présence, déléguez la gestion du compte. Sur Internet, de nombreux sites embarquent des trackers liés à Facebook et Google qui permettent de vous tracer lors de vos sessions de navigation. Ainsi, changez régulièrement vos habitudes en ligne et équipez-vous de logiciels de protection anti-tracking : un adblocker agressif + un bloqueur de scripts JavaScript. Une navigation en mode privé sur votre navigateur est aussi souhaitable afin de ne pas stocker les cookies voir ci-dessous).

Guide de l’anonymat sur Internet

Il y a plusieurs choses à appliquer pour se protéger de manière sérieuse en ligne.

• Protéger sa machine – C’est LE pont crucial, qui peut faire échouer l’ensemble de vos efforts : si votre machine est infectée par un malware quelconque, s’en est terminé de votre sécurité. Équipez-vous du meilleur antivirus à jour et gardez vos logiciels et OS à jour pour patcher les failles de sécurité connues. L’usage d’une machine virtuelle comme sandbox peut être largement profitable afin d’endiguer les risques.
• Utiliser un VPN – Un VPN (Virtual Private Network ou réseau privé virtuel) vous permettra un haut niveau de protection en offrant une large gamme d’avantages : isolement des données entrantes et sortantes dans un tunnel dédié privé, chiffrement de bout-en-bout des données (AES 265-bits), impossibilité pour votre FAI de connaître votre activité en ligne, changement de votre adresse IP publique et contournement de l’ensemble des blocages et censures en ligne (valable y compris pour la Chine !). Vous gagnez donc en anonymat (attention, cela nécessite d’opter pour un VPN no-logs, qui ne conserve aucun enregistrement), en sécurité et cerise sur le gâteau, vous pouvez dorénavant vous géolocaliser en 1 clic dans n’importe quel pays sur la planète grâce au réseau de votre fournisseur VPN de confiance. A retenir tout de même, il convient de choisir avec soin son service VPN, étant donné qu’il servira d’intermédiaire  pour l’ensemble de vos données. A ce titre, UnderNews conseille l’usage d’ExpressVPN ou de NordVPN (fournisseurs offshore) qui sont les meilleurs VPN actuels et si situant en dehors des « 14 yeux ». Un VPN vous protégera aussi lors de connexions à risque sur des réseaux WiFi publics (type hotspots). Par contre, oubliez les proxy qui ne vous protègent pas du tout efficacement…
• Utiliser le réseau décentralisé d’anonymisation Tor – Très bonne alternative au VPN, Tor peut aussi s’utiliser en plus d’un VPN dans certains cas extrême (seul NordVPN le permet actuellement, via sa fonction exclusive “Tor over VPN”). Tor existe maintenant sous la forme d’un navigateur Web, ce qui simplifie beaucoup son usage autrefois plus compliqué. Il vous connecte directement au réseau décentralisé d’anonymisation Tor et vous permet d’accéder aux services cachés et aux sites anonymes du réseau. Largement renommé pour sa fiabilité, même s’il y a eu quelques “frayeurs” liées à des vulnérabilités maintenant corrigées, Tor reste un incontournable de l’anonymat en ligne, qui va permettre de compliquer énormément la vie à ceux qui tentent de vous espionner en ligne. Tor vous rend anonyme et chiffre fortement vos données échangées de bout-en-bout. De part son architecture et son fonctionnement, il aura tout de même un inconvénient majeur : sa lenteur.
• Utiliser le mode de navigation privée – Grâce à ce mode présent sur la plupart des navigateurs Web, votre historique de navigation ne sera pas enregistré, et les cookies non plus. La navigation privée est donc idéale pour limiter les traces sur la machine ainsi que le tracking publicitaire. Retenez que cela ne suffit pas puisque votre adresse IP restera visible : il faudra donc coupler cela à un VPN.
• Utiliser des moteurs de recherche alternatifs – Il ne sert à rien de se donner du mal pour augmenter sa confidentialité en ligne si vous utilisez le moteur de recherche Google pour faire vos recherches… pourquoi ? Car ce dernier enregistre chacune de vos recherches et tente de les  lier avec votre profil (via les cookies ou bien l’adresse IP par exemple). A ce jour, il existe des moteurs de recherche alternatifs qui respectent votre vie privée sur Internet : c’est le cas de Qwant et DuckDuckGo. N’hésitez pas à les utiliser à la place du populaire Google.
• Bien paramétrer votre navigateur Web – Outre le fait de pouvoir utiliser des navigateurs Web alternatifs comme Opera, Dooble, Comodo Dragon ou encore SRWare Iron, il faut penser qu’il est possible de renforcer votre navigateur Web actuel si vous êtes sur Firefox ou Chrome. Tout d’abord, n’utilisez que la navigation privée afin de ne rien enregistrer sur la machine. Ensuite, vérifier les traces potentielles via le logiciel gratuit CCleaner (il servira notamment à supprime l’espace de stockage HTML au sein de vos navigateurs Web, fonction étroitement liée à HTML5). Grâce à l’installation de l’extension HTTPS Everywhere, créée par l’Electronic Frontier Foundation (EFF), l’une des organisations qui financent le projet Tor, vous pourrez vous assurez de manière automatique que les sites que vous consultez proposent bien une version sécurisée et chiffrée via SSL accessible en HTTPS. De même, vos ennemis en ligne lors d’une session de surf sont les traceurs. Ainsi, installez un bloqueur de publicité agressif sans concession comme uBlock Origin. Pour en finir avec les codes potentiellement à risque, déployez l’extension NoScript (ou ScriptSafe, au choix). De façon similaire, des extensions anti-tracking dédiées existent : Ghostery ou Privacy Badger (EFF).
• Attentions à vos DNS ! – Bien souvent oubliés, les serveurs DNS sont pourtant un point hautement critique concernant la confidentialité en ligne, surtout qu’ils jouent un rôle clé permettant de faire le lien entre un nom de domaine et une adresse IP d’un serveur Web. Certains serveurs DNS sont non sécurisés ou bien peuvent êtres “menteurs” (mise en place de blocage / censure sur certains domaine). Chaque requête peut potentiellement être enregistré et dévoiler les sites que vous avez visités. Ainsi, la solution la plus recommandée est de passer par des serveurs DNS libres et sécurisés. Autre problématique, des fuites peuvent avoir lieu au niveau des DNS lorsque vous utilisez un VPN. Pour empêcher cela, vérifiez via DNSLeakTest que tout est en ordre (ça le sera si vous avez opté pour un fournisseur VPN de qualité comme ceux conseillés plus haut). Si ce n’est pas le cas, il faudra agir en conséquence (outils disponibles ici). Notez que votre système d’exploitation et votre routeur enregistrent un cache DNS en local : pensez donc à effacer le cache DNS (via ligne de commande ou via utilitaire dédié).
• Corriger les autres fuites de confidentialité – Outre le fameux DNS Leak, il existe aussi d’autres risques de perte de confidentialité liés à l’usage d’un VPN : IPv6 Leak, WebRTC Leak et fuite liée à une micro-coupure de connexion (pour vous en protéger, le fournisseur VPN choisi devra proposer un système de type “Kill Switch”, ce qui est le cas avec ExpressVPN et NordVPN par exemple). Dans tous les cas, vous pouvez vous baser sur la suite open source “Leak Testing Tools“.
• Déployez une machine virtuelle – Cela se rapproche fortement d’une sandbox, un espace virtuel isolé du reste de la machine, ce qui va drastiquement limiter les risques. Utilisez cela pour faire tourner des logiciels ou applications dans lesquelles vous n’avez pas confiance. De plus, toute menace potentielle (malware ou autre) sera alors isolé et ne pourra en sortir. Pour mettre ne place cela, vous devez utiliser un logiciel de virtualisation comme VirtualBox. En 1 clic, vous pourrez effacer toute votre machine virtuelle et les données qu’elle contient !
• Pourquoi pas adopter un OS sécurisé ? – Ne pas négliger cette possibilité car elle permet de se détacher des OS “espions” tels que ceux de Microsoft, Google ou encore Apple… Et depuis l’affaire Snowden, il en existe pas mal : Tails (The Amnesiac Incognito Live System), Whonix et Qubes. UnderNews vous recommande Tails qui est l’incontournable.
• N’oubliez pas vos e-mails ! – Point critique et plus compliqué à gérer. Le plus simple est d’utiliser un Webmail sécurisé, chiffré et anonyme comme : ProtonMail, Hushmail ou KolabNow. Si vous avez besoin d’une messagerie électronique provisoire, vous pouvez passer par Guerrilla Mail et Mailinator. Aussi, vous pouvez gérer la sécurité et la confidentialité de vos communications par mails vous-même : pour cela, des extensions existent mais sont plus limitées (Mailvelope, SecureGmail, Encrypted Communication) ou faire des combos de type GuerrillaMail + Tor + GNU Privacy Guard. PGP (Pretty Good Privacy) reste un incontournable concernant le chiffrement et la signature des e-mails, mais il faudra être très vigilent sur la sécurité de votre clé privée. Certains experts conseillent aussi le combo suivant : Riseup / Thunderbird + Enigmail / TorBirdy… Concernant les éventuelles pièces jointes, utiliser 7ZIP pour en faire des archives ZIP compressées et protégées par un mot de passe fort. Note finale : prenez garde au phishing…

Et voilà la fin de notre longue guide complet sur la confidentialité en ligne pour les journalistes. Si vous avez des remarques ou des questions, n’hésitez pas à nous en faire part via l’espace de discussion ci-dessous. De même, faites remonter vos conseils et astuces non mentionnés ici.