23/05/2017

La confidentialité en ligne pour les journalistes


 De nombreux journalistes, toutes générations confondues, ont probablement remarqué que les allusions au Watergate pleuvent dans tous les sens ces derniers temps. Des livres comme 1984 de George Orwell sont de retour dans les vitrines des librairies, et une ambiance menaçante envers la liberté de parole et la liberté de la presse se répand doucement, comme un nuage noir sur l’hémisphère ouest, réveillant des peurs anciennes.
Quand un président américain en faction accuse l’ancien président de surveillance ; quand il empêche l’accès à certains journalistes et médias américains – un accès qui a toujours été autorisé, et considéré comme acquis – aux conférences de presse qu’il tient ; quand il attaque constamment les médias, les accusant d’être l’ennemi numéro 1 du pays, il n’est pas surprenant de voir remonter à la surface des souvenirs du président Nixon, à chaque nouveau tweet larmoyant qui attaque le SNL. Même John McCain, sénateur républicain, exprime des inquiétudes au sujet de l’avenir de la démocratie.
Et McCain n’est pas le seul. De nombreux journalistes à qui j’ai parlé récemment m’ont fait part de leur inquiétude quant à l’avenir de la liberté de la presse. Dans une époque où il est possible de dire que Donald Trump contrôle la NSA sans passer pour un menteur, tout est possible. Quand on ajoute à ça les évènements récents relatifs à la CIA, qui nous ont appris que presque tous les systèmes de cryptages peuvent être compromis avec de la persévérance, on commence à envisager un monde complètement dystopique, où l’on ne serait jamais à l’aise, même allongé sur son canapé devant sa télé.

La bonne nouvelle, c’est qu’il est possible de rendre la tâche difficile à ceux qui souhaiteraient intercepter vos emails, vos SMS ou vos appels. Vous pouvez prendre des mesures pour compliquer la vie de ceux qui souhaitent découvrir vos sources et les informations qu’elles vous révèlent. Évidemment, les mesures que vous êtes prêt à prendre pour protéger votre confidentialité, l’anonymat de vos sources et la sécurité de vos données doivent être proportionnelles à la possibilité qu’une telle menace survienne, que ce soit du piratage ou de l’espionnage.

« Les promesses à l’ancienne – je ne révèlerai pas l’identité de ma source et ne donnerai pas mes notes – sont inutiles si vous ne prenez pas les mesures nécessaires pour protéger vos informations numériques », nous dit Barton Gellman du Washington Post, dont la source, Edward Snowden, ancien sous-traitant de la NSA, l’a aidé à découvrir la portée des opérations de la NSA et du GCHQ anglais avec la journaliste Tony Loci. Loci elle-même, qui couvrait le système judiciaire américain pour AP, Le Washington Post et USA Today, et qui a été convoquée par la cour pour avoir refusé de dévoiler ses sources, serait d’accord avec cette déclaration.

Alors, qu’est-il nécessaire de faire pour s’assurer que les sources et les données des journalistes soient à l’abri et bien protégées ? Grosso modo, les astuces peuvent être classées dans les catégories suivantes :
  1. Isoler vos appareils et/ou leur environnement- par exemple, l’isolation physique d’un ordinateur dans le but de vérifier des fichiers, ou l’utilisation de téléphones prépayés.
  1. Sécuriser les applications et fonctions des appareils- C’est ce qu’on appelle réduire la « surface d’attaque », c’est-à-dire limiter les applications installées au strict minimum, n’installer que depuis des sources fiables, choisir des applis qui nécessitent peu d’autorisations, maintenir le système à jour, et effectuer de nombreux contrôles de sécurité (basés sur le dernier livre blanc des meilleures pratiques) sur l’appareil.
  1. Agir avec précaution, dans le monde réel comme dans le monde numérique- il s’agit plus de bon sens que de bons logiciels ; par exemple, n’écrivez jamais le nom de votre source, surtout pas sur une appli, ni un document stocké dans votre ordinateur, et certainement pas non plus sur le cloud.
Commençons par faire la liste de ce que vous pouvez faire en matière de communication avec une source, et de stockage des informations sensibles obtenues :

1) Toujours tout crypter: Les experts en sécurité utilisent des opérations mathématiques simples pour illustrer leurs dires : en augmentant le coût de décryptage de vos fichiers (par exemple, pour des services de renseignements comme la NSA), vous augmentez le degré d’efforts à faire pour vous surveiller. Si vous n’êtes ni Chelsea Manning, ni Julian Assange, ni Edward Snowden et si vous n’étiez pas impliqué dans la surveillance active des appartements de Trump, ils lâcheront peut-être l’affaire même si vos communications cryptées étaient stockées. Et si quelqu’un devait décider de vous pister malgré vos efforts, vous lui compliqueriez la tâche si vous utilisez un cryptage solide comme AES (Advanced Encryption Standard) et des outils comme PGP ou openVPN, qui sont les méthodes de cryptages les plus solides et les plus communes (Les VPN sont utilisés par le gouvernement américain lui-même).
Mais si vous voulez une sécurité sans faille, vous aurez besoin de plus que la méthode de cryptage AES. P.S. si vous voulez découvrir en quelle année vos informations ont atterri dans les mains de la NSA, jetez un œil ici.

2) Effectuer un cryptage complet du disque: au cas où quelqu’un vienne à mettre la main sur votre téléphone ou sur votre ordinateur. Un cryptage complet du disque peut être effectué à l’aide de FileVault, VeraCrypt ou BitLocker. Mettre un ordinateur en « veille » (plutôt que l’éteindre complètement ou le mettre en « hibernation ») peut permettre à un hacker de contourner ses défenses. Ici, Mika Lee propose un guide complet sur le cryptage de votre ordinateur.

3) Se méfier des grands noms: il faut partir du principe que les systèmes de cryptage des grosses entreprises, et peut-être même certains systèmes d’exploitation renommés (logiciels propriétaires) possèdent des « back doors », ou portes dérobées, qui permettent l’accès aux services secrets du pays d’origine (au moins aux USA et au Royaume-Uni). Bruce Schneier, expert en sécurité, nous l’explique ici.

4) Ne pas parler à vos sources au téléphone: toutes les compagnies de téléphonie conservent les données relatives aux numéros de l’appelant et du destinataire, ainsi que l’emplacement de leurs appareils au moment où l’appel a été effectué.  Aux USA et dans de nombreux autres pays, la loi exige que les informations sur les appels enregistrés en leur possession soient divulguées.
Que peut-on y faire ? On peut utiliser un service d’appel sécurisé, comme celui de l’appli Signal, dont la sécurité a été testée à maintes reprises. Même si cela signifie que la source et le journaliste devront tous deux télécharger l’application, le processus ne prend que quelques minutes. Voici un guide d’aide pour son utilisation. Juste par curiosité, regardez combien de vos amis non journalistes sont sur l’appli.

Peu importe la façon dont vous choisissez de communiquer avec votre source, n’amenez pas votre téléphone portable à des entretiens sensibles. Achetez un appareil jetable et trouvez une façon de communiquer le numéro à votre source à l’avance. Votre source doit également avoir un appareil jetable sécurisé. Les autorités peuvent suivre vos mouvements grâce aux signaux des réseaux cellulaires, et il est préférable de les empêcher de vous localiser de façon rétroactive dans le même café que votre source. Si vous ne suivez pas cette règle, les autorités locales auront simplement à demander (poliment et en toute légalité) les images de vidéo surveillance du café au moment de votre entretien.

5) Choisir des messageries sécurisées: vos appels (par téléphone mobile ou ligne fixe) peuvent être surveillés par les autorités et chaque SMS est comme une carte postale – la totalité du texte est pleinement visible pour qui les intercepte. Il faut donc utiliser des messageries qui permettent des appels sécurisés des deux côtés : signal, dont nous vous avons parlé plus haut, et Telegram, sont considérées comme les plus sûres (même si Telegram, tout comme WhatsApp, a déjà été compromise, puis réparée). Selon certains experts, vous pouvez également envisager d’utiliser SMSSecure, Threema et même Whatsapp.

Le protocole Signal a été mis en place dans WhatsApp, Facebook Messenger, et Google Allo, rendant les conversations qui y passent cryptées. Toutefois, contrairement à Signal et à WhatsApp, Google Allo et Facebook Messenger n’effectue pas de cryptage par défaut, et ne notifient pas les utilisateurs quand les conversations ne sont pas cryptées – mais ils proposent un cryptage à double sens en option. Il faut aussi garder en tête que Facebook messenger et WhatsApp appartiennent tous deux à Facebook.

Adium et Pidgin sont les messageries instantanées qui prennent en charge le protocole de cryptage OTR (Off the Record, ou non enregistré)  les plus populaires sous Mac, Windows et Tor – le navigateur le mieux crypté du monde, dont nous vous parlerons un peu plus loin (consultez comment autoriser Tor dans Adium ici et dans Pidgin ici). Vous pouvez aussi directement utiliser la messagerie de Tor, qui est probablement la plus sûre de toutes.

Deux derniers points au sujet des SMS: un expert en cyber sécurité avec qui j’ai pu parler m’a dit que parfois, bien que le texte soit crypté, savoir que deux personnes communiquent à un moment précis peut être une information en soi.

Dernier point, vous devriez également penser à effacer les messages de votre téléphone (même si cela ne suffit pas forcément en cas d’analyse poussée), juste au cas où votre appareil vienne à tomber dans de mauvaises mains, pour éviter de les exposer.


6) Éviter certains outils de messagerie: Slack, Campfire, Skype et Google Hangouts ne devraient pas être utilisés pour des conversations privées. Ils sont faciles à pirater, et peuvent être soumis à des demandes de divulgations par les tribunaux, et être utilisés pour résoudre des conflits juridiques sur les lieux de travail. Il est donc préférable de les éviter, pas seulement pour les conversations avec vos sources, mais également pour les conversations entre collègues, rédacteurs, etc., quand vous communiquez des informations transmises par vos sources et dont vous devez protéger l’identité. De nombreux services de VoIP très populaires comme Jitsi possèdent une fonctionnalité chat intégrée, et bon nombre d’entre eux sont conçus pour répliquer les fonctions présentes sur Skype, ce qui en fait une excellente alternative.

7) Dans des cas extrêmes, envisagez d’utiliser un Blackphone: Ce téléphone, qui a pour but de vous offrir une protection parfaite quand vous surfez sur le web, quand vous téléphonez, et quand vous envoyez des SMS et des emails, est probablement le meilleur substitut à un téléphone normal si vous êtes sur le point de renverser votre gouvernement ou si vous vous apprêtez à divulguer des dossiers militaires secrets. Dans ce cas, un gilet pare-balles pourrait également s’avérer utile. L’alternative serait de faire sans téléphone, ou d’opter pour un étui qui bloque les signaux RFID des téléphones cellulaires. Mais il y a toujours la possibilité que le Blackphone soit surveillé avec son IMEI (l’identité du téléphone mobile).

8) Protéger les données sur votre ordinateur: il est très simple de trouver les mots de passe classiques, mais pour les phrases de passe, comme par exemple une suite de mots aléatoire, cela peut prendre des années. Nous recommandons l’utilisation d’un gestionnaire de mots de passe sécurisés comme LastPass, 1Password et KeePassX. Vous n’aurez qu’un seul mot de passe à retenir, plutôt qu’une douzaine. Mais quand vous vous occupez de choses importantes comme des communications par email, ne vous appuyez pas sur les gestionnaires de mots de passe, assurez-vous plutôt de le retenir.

Dans une interview donnée à Alastair Reid pour journalism.co.uk, Arjen Kamphuis, un expert en sécurité des informations, recommande de  choisir un mot de passe de plus de 20 caractères pour les cryptages de disques, les emails sécurisés et le déverrouillage d’ordinateur. Bien évidemment, plus le mot de passe est long, plus il est efficace, mais il est aussi plus dur à retenir. C’est pour cela qu’il recommande d’utiliser une phrase de passe. « Ça peut être n’importe quoi, comme un passage de votre poésie préférée, ou un truc que vous avez écrit à neuf ans et dont personne n’a connaissance » affirme Kamphuis.

Reid nous montre un calcul qui donne à réfléchir, grâce au Calculateur de force de mot de passe de Gibson Research Corporation: un mot de passe comme « F53r2GZlYT97uWB0DDQGZn3j2e », issu d’un générateur aléatoire, paraît très solide, et il l’est : il faut près de 1,29 centaines de milliards de billions de siècles pour essayer toutes les combinaisons, même si le logiciel effectue cent billions d’essais par seconde.



Captures d’écran de GRC.com, qui montrent la différence de solidité entre un mot de passe et une phrase de passe

La phrase: « I wandered lonely as a cloud », note-t-il, est bien plus simple à retenir et aussi plus sûre, le même logiciel ayant besoin de 1,24 centaines de billions de siècles pour essayer toutes les combinaisons. Bon, en gros, la phrase de passe gagne.

9) L’authentification à deux facteurs: est également une très bonne idée. Lors d’une authentification à deux facteurs classique, vous vous connectez avec votre mot de passe, et vous recevez un deuxième code, souvent par SMS sur votre smartphone. Vous pouvez utiliser Yubikey, ainsi que des jetons matériels pour sécuriser un peu plus les fichiers sensibles sur votre ordinateur. Pour plus d’informations, lisez les 7 règles d’or de sécurité des mots de passe.

10) Assigner un ordinateur pour l’inspection des fichiers ou pièces jointes suspicieux: la façon la plus simple de répandre des malwares et des spywares, c’est avec une installation par USB ou avec des pièces jointes et des liens contenus dans les emails. Il est donc recommandé d’utiliser un ordinateur à air-gap pour examiner ces menaces sous quarantaine. Grâce à cet ordinateur, vous pouvez utiliser une clé USB en toute liberté et télécharger des fichiers sur internet, mais vous ne pouvez pas transférer ces fichiers sur votre ordinateur ni réutiliser cette clé USB.

11) Comment acheter votre propre ordinateur sécurisé: l’expert en sécurité Arjen Kamphuis recommande l’achat d’un ThinkPad X60 ou X61 de IBM, pré-2009. Ce sont les seuls ordinateurs assez modernes, avec des systèmes qui permettent de remplacer les logiciels de bas niveau. Il faut également prendre en compte le fait qu’il est préférable de ne pas acheter son ordinateur en ligne, pour ne pas risquer qu’il soit intercepté


ThinkPad X60. Ne l’achetez pas en ligne

pendant la livraison. Kamphuis recommande de l’acheter d’occasion, en liquide. Il souligne aussi qu’il faut supprimer toute connectivité : Ethernet, modem, Wi-Fi et Bluetooth. Personnellement, je connais des experts en sécurité qui ne feraient même pas confiance à un ordinateur de ce genre.
12) Informer vos sources: il est possible que le temps que les informations originales et précieuses vous parviennent, il soit déjà trop tard. Votre source peut avoir fait toutes les erreurs à éviter, laissant de nombreuses preuves derrière elle. Mais en plus de sécuriser l’information une fois qu’elle est en votre possession, il est nécessaire d’apprendre à vos sources comment cacher une information : la stocker de façon sécurisée et communiquer sans prendre de risques, sur des appareils fiables. La plupart des gens n’ont aucune idée de la bonne manière de gérer des informations sensibles, et ce qu’ils risquent à partir du moment où ils vous contactent.
13) Utiliser un système dédié sécurisé pour la réception de documents: Remplacez Dropbox ou Google Drive par un système moins populaire mais plus sécurisé. Par exemple, SecureDrop est un système dédié qui vous permet de recevoir des fichiers de sources anonymes, de les analyser, et de les vérifier, sans risques. Edward Snowden a décrit Dropbox comme « hostile à la confidentialité » et recommande Spideroak à la place. OnionShare est aussi un service gratuit, qui permet de transférer des fichiers facilement et de manière anonyme.



14) Ne pas garder de notes: ni sur votre ordinateur, ni de calendriers ou de listes de contacts sur votre téléphone, ordinateur ou sur le cloud – ne gardez aucune trace des noms de vos sources, de leurs initiales, de leurs numéros de téléphone, adresses emails ou noms d’utilisateur de messagerie. Pas de notes.

15) Surveillance visuelle: en vous rendant à des entretiens sensibles, évitez les transports en commun et demandez à votre source de faire de même. Il est préférable d’éviter les lieux de rencontres trop modernes, comme les centres commerciaux par exemple, où les caméras de surveillance sont partout.

16) Éviter les réseaux sociaux: certaines personnes préfèrent opter pour un anonymat radical. Si pour une raison ou une autre, vous devez disparaître de la surface de la terre, sans laisser de profil détaillé sur chaque réseau social, supprimez totalement vos comptes. C’est différent des désactivations, où toutes vos informations sont stockées et peuvent être réactivées.

17) Se faire des amis hackers: cela pourra vous aider à éviter de grosses erreurs, vous faire gagner du temps et éviter les migraines, et vous permettre de rester à jour dans la course folle de la technologie.

18) Méthodes de paiement: effectuez tous vos règlements en liquide, envisagez d’utiliser des Bitcoins – achetez-les de manière anonyme (utilisez ce guide de Business Insider pour vous aider) – et, si la personne en face les accepte, utilisez des Darkcoin. Une carte de crédit prépayée issue d’un magasin en ligne est également une bonne option.

19) Gribouiller avec sagesse: si vous avez noté des informations sur un bout de papier, ce qu’on appelait une « note » dans le monde Précambrien, détruisez-la. Et n’en oubliez aucune, même celles qui sont froissées en boule au fond de votre poche. Même s’il y a du chewing-gum dessus.
En plus de sécuriser les communications avec votre source, et de surveiller les failles de sécurité des données sensibles que vous obtenez, vous devriez également éviter d’être surveillé pendant votre navigation sur le net. Les habitudes en ligne peuvent donner des informations ou des indices sur votre travail du moment, ou pire, divulguer l’identité de votre source. Voici les règles d’or pour surfer sur internet en toute sécurité et, plus loin, pour sécuriser votre boîte mail :

1) Mode de navigation privée: il y a deux manières simples de préserver son anonymat quand on surfe sur le web. La première, la plus simple et la plus populaire, mais qui reste insuffisante, c’est la navigation privée, une option présente sur la plupart des navigateurs. Votre historique de navigation ne sera pas enregistré, et les technologies de suivi classiques, que les publicitaires utilisent, comme les cookies HTTP, ne pourront pas créer votre profil détaillé. Mais cela représente seulement un peu plus de confidentialité, en cachant votre historique à tous ceux qui pourraient accéder à votre ordinateur. Mais votre adresse IP peut quand même être enregistrée et votre fournisseur de service internet peut avoir accès à des informations sur les sites que vous visitez.

2) Utiliser des navigateurs alternatifs: des navigateurs comme Dooble, Comodo Dragon ou SRWare Iron, qui se concentrent sur la confidentialité de l’utilisateur, mais sont malheureusement limités en capacités. Vous pouvez obtenir un degré de confidentialité similaire à ceux de ces navigateurs en effaçant tout simplement les cookies – des morceaux de code installés sur votre système par les sites que vous visitez, qui surveillent vos activités et même parfois, le type de contenu que vous consultez. Une autre manière de rester anonyme, neutraliser les réglages de localisation de votre navigateur, et installer plusieurs fonctionnalités pour atteindre l’anonymat. Pour vérifier si vous avez bien désactivé tous les cookies, vous pouvez utiliser l’appli CCleaner, qui traite aussi les cookies Flash, mais aucun de ces navigateurs n’est pleinement crypté. Le seul navigateur classique qui permet une confidentialité totale, c’est Tor. Tor est laid et lent, mais il vous protégera, vous et vos sources. Le prochain paragraphe vous en donne un aperçu détaillé.

3) TOR: Ce navigateur « renommé », développé par la marine américaine, vous permet d’agir sur un réseau caché, de communiquer de façon privée et de mettre en place des sites de manière anonyme. Tor, que vous pouvez télécharger sur Torproject.org, complique énormément la surveillance de vos activités sur le net, et il sera plus difficile pour votre gouvernement ou votre fournisseur d’accès de vous localiser précisément. Le seul inconvénient, c’est qu’il peut parfois être lent, et plutôt encombrant, mais c’est parce qu’il vous fait passer par trois relais cryptés aléatoires situés n’importe où dans le monde, avant de vous envoyer sur votre site de destination. Il faut également garder à l’esprit que vos voisins peuvent ne pas être des gens bien. Une autre option, relative elle-aussi à Tor, est de télécharger Whonix, un système d’exploitation sécurisé qui se concentre sur la confidentialité. Il fonctionne comme portail d’accès à Tor, et autorise uniquement les connexions à des sites et utilisateurs Tor. Mais le système d’exploitation Tor le plus connu est Tails (The Amnesiac Incognito Live System). Tails peut être démarré à partir d’une clé USB ou un DVD, et rend toutes les informations anonymes. On dit qu’Edward Snowden est un fan de ce logiciel. Autre système d’exploitation pour utiliser Whonix, Qubes, recommandé lui-aussi par Snowden.

4) Moteurs de recherche alternatifs: Google, le moteur de recherche le plus populaire, enregistre votre historique de recherche pour optimiser les résultats. Pour arrêter cette personnalisation, il faut cliquer sur Outils de recherche > tous les résultats > mot à mot. Ou alors se connecter à votre compte Google sur www.google.com/history, trouver la liste de vos recherches et sélectionner celles que vous désirez effacer en cliquant sur le bouton supprimer.



DuckDuckGo. Un moteur de recherche qui n’enregistre pas vos infos
Mais pour éviter complètement toute surveillance, il est préférable d’utiliser un moteur de recherche comme DuckDuckGo. Si vous avez du mal à lâcher  Google, téléchargez Searchlinkfix pour au moins éviter les pisteurs d’URL.

5) Le traitement direct de la mémoire à court terme de l’ordinateur: une des autres façons de neutraliser la surveillance éventuelle de vos activités internet est d’effacer le cache DNS (domain name system, ou système de noms de domaines). La suppression se fait avec de simples commandes dans le système d’exploitation. Redémarrer le routeur – qui a parfois son propre cache DNS – ou redémarrer l’ordinateur peut aussi redémarrer leurs caches DNS respectifs. 

6) Essayer d’éviter le stockage HTML: le stockage est intégré au HTML5, et contrairement aux cookies, les informations stockées sont impossibles à vérifier ou supprimer, même en partie. Le stockage web est activé par défaut, donc si vous utilisez Internet Explorer ou Firefox, il vous suffit de le désactiver. Vous pouvez également utiliser le module Better Privacy pour que Firefox supprime automatiquement les informations stockées. L’extension Click and Clean aura la même fonction, chez Google Chrome.

7) Utiliser un VPN:  comme je vous en ai parlé plus haut, votre FAI (fournisseur d’accès à internet) peut surveiller les sites que vous consultez, et ceux qui le veulent peuvent intercepter vos conversations. Pour protéger toutes les communications entrantes et sortantes, il est préférable d’utiliser un VPN (pour une explication détaillée, cliquez ici). Un VPN crypte vos communications, pour que même votre FAI et les services secrets, ou les hackers qui traînent dans votre café préféré parce qu’il y a la Wifi, n’arrivent pas à savoir à qui vous envoyez des emails, quel service vous avez utilisé, etc.

L’utilisation d’un VPN est très populaire, comme par exemple chez les gens qui souhaitent accéder au catalogue complet des films Netflix en dehors des États-Unis, mais tous les VPN ne conviennent pas forcément aux journalistes. Un VPN pour journaliste n’a pas forcément besoin d’être le plus rapide ni d’avoir la meilleure assistance technique, mais il doit ne garder absolument aucun registre VPN – et donc ne pas pouvoir déterminer qui vous êtes, les sites que vous consultez, etc…

Un VPN sécurisé doit être issu d’une entreprise qui ne se situe pas dans l’un des pays aux « 14 yeux » , où les réseaux de renseignements sont autorisés à rassembler et partager des information les uns avec les autres ; comme par exemple (et principalement) aux USA. Les entreprises de VPN situées dans l’ancienne union soviétique ont un avantage. Leurs tribunaux ne donnent pas facilement l’ordre de divulguer les informations rassemblées par les entreprises locales, qu’elles concernent leurs citoyens ou des étrangers. Vous trouverez ici une liste de 5 VPN qui se démarquent en ce qui concerne la confidentialité, tous situés hors des pays aux « 14 Yeux ».

D’ailleurs, même si les gouvernements font la chasse au trafic abrité par  VPN, vous pouvez quand même utiliser des VPN discrets comme TorGuard, pour empêcher la censure active gouvernementale ou contourner l’espionnage dont vous pourriez faire l’objet. Tor associé à un VPN vous donne la protection parfaite si quelqu’un essaie de récupérer votre historique de navigation dans le but d’établir votre profil.



8) Réparez les fuites DNS: utiliser un VPN ne vous protège pas totalement, parce que le trafic DNS peut donner des indices sur votre identité. DNSLeakTest.com vous permettra d’identifier les fuites éventuelles. Si le test montre que votre DNS passe par votre VPN, vous pouvez vous détendre, mais si le DNS passe par votre fournisseur d’accès, vous n’êtes pas anonyme. Si c’est le cas, vous trouverez un plan d’action ici.

9) Machines virtuelles: Cette petite astuce bien pensée consiste en un deuxième ordinateur, virtuel, qui opère comme une appli dans votre système d’exploitation. Vous pouvez y télécharger des fichiers ou y ouvrir des liens, un peu comme avec l’ordinateur isolé (à air-gap) dont je vous ai parlé plus haut, pour que votre vrai ordinateur soit moins exposé aux malwares et spywares de toutes sortes. Les logiciels de virtualisation, comme VirtualBox, doivent être ouverts par le biais d’un système d’exploitation sécurisé. Le téléchargement de fichiers s’effectue avec la machine virtuelle, en coupant la connexion internet, et après avoir utilisé le fichier, vous devrez l’effacer. Et selon votre adversaire, effacez la machine virtuelle par la même occasion.



Serveur proxy HideMyAss. Je cache le tien si tu caches le mien.

10) Serveur proxy: comme dans le cas des machines virtuelles, l’activité est déplacée dans une autre « zone » et vous permet d’éviter l’espionnage ou d’autres attaques. C’est-à-dire que le serveur proxy remplace votre adresse IP par la sienne, ce qui peut porter les gens à croire que vous vous trouvez dans un pays différent, par exemple. HideMyAss.com/proxy, Psiphon (à source ouverte) et JonDonym offrent tous ce type de service. Certains experts recommandent d’utiliser ces serveurs avec un VPN et/ou Tor pour un niveau de sécurité encore plus poussé. Mais d’autres experts, avec qui j’ai pu discuter, estiment que si vous utilisez Tor, vous êtes déjà autant en sécurité que possible.

11) Trois autres types d’extensions qui peuvent améliorer votre sécurité: pour vérifier que le protocole Internet sur lequel vous travaillez est sécurisé en https, vous pouvez installer l’extension HTTPS Everywhere, créée par Electronic Frontier Foundation (EFF), l’une des organisations qui financent le projet Tor. Cette extension est recommandée par de nombreux experts ; elle s’assure que les sites que vous consultez utilisent le protocole sécurisé, ce qui ne représente pas une garantie en soi, mais qui est mieux qu’un protocole non crypté.

Le deuxième type d’extension contrôle les données que javaScript envoie aux sites (pour améliorer votre expérience de navigation). Les deux options les plus populaires sont ScriptSafe et NoScript.
Une autre extension intéressante, le navigateur Ghostery. Cette extension révèle qui vous traque parmi plus de 2000 entreprises, et vous permet de bloquer celles que vous voulez. C’est pas mal, mais ça ne suffit probablement pas à bloquer la NSA. Privacy badger, autre projet d’EFF, fonctionne de manière similaire.



Comment protéger ses emails ? Le problème du maintien de la confidentialité est encore plus épineux : Google et Microsoft risquent tout simplement de transmettre vos emails aux agences gouvernementales si elles l’exigent. Que pouvez-vous faire ?

1) Extensions sécurisées: l’option la plus simple, en partant du principe que vous utilisez des boîtes mail populaires comme Yahoo et Google, est d’installer le module de navigateur Mailvelope, et de vous assurer que votre destinataire fasse de même. Cette extension crypte tout simplement vos emails, et les décrypte. Autre extension pour Gmail, similaire mais limitée, SecureGmail effectuera le même travail. Les emails qui passent par cette extension sont cryptés, et ne peuvent pas être décryptés par Google. Une des autres possibilités s’appelle « Encrypted Communication », une extension Firefox facile à utiliser. Vous aurez besoin d’un mot de passe auquel le destinataire a accès – mais faites attention à ne pas le transmettre par email.

2) Fournisseurs d’emails sécurisés: Hushmail est un bon exemple de boîte mail plus sécurisée que la plupart des réseaux utilisés, mais elle aussi peut être forcée à transmettre vos emails au gouvernement américain avec une injonction du tribunal, et elle enregistre les adresses IP. Autre service de messagerie avec des fonctionnalités et des niveaux de sécurité similaires, Kolab Now, qui se targue, entres autres, de ne stocker ses données qu’en Suisse.

3) Messagerie électronique provisoire (DEA, Disposable Email Address): C’est une boîte mail, créée dans un but précis, complètement anonyme et effacée immédiatement après emploi. Cette solution, souvent utilisée pour s’inscrire à certains services tout en évitant le spam, est également une excellente solution pour préserver son anonymat. Toutefois, je ne recommande pas aux journalistes de les utiliser pour communiquer avec leurs sources, parce que la sécurité n’est pas leur meilleur atout. Il y a des douzaines de boites mails de ce style sur le marché, mais le British Guardian, par exemple, recommande Guerrilla Mail et Mailinator.
Utiliser Guerrilla Mail dans le navigateur Tor vous permet d’être sûr qu’il est impossible de relier votre IP à votre adresse email. De la même façon, si vous utilisez un logiciel de cryptage d’emails, comme GnuPG, sur Tor, vous êtes tranquille. Maintenant, parlons un peu de cryptage d’emails.

4) Cryptage des mails:  Wired a obtenu cette recommandation de Micah Lee, un technologue centré sur la confidentialité qui a travaillé avec EFF et First Look Media (voici une interview de Lee et Edward Snowden) : le cryptage des mails classiques peut être difficile. Il est souvent nécessaire de copier-coller les messages dans la fenêtre texte, puis d’utiliser PGP pour les brouiller et les déchiffrer (PGP – Pretty Good Privacyest un programme de cryptage qui offre une confidentialité cryptographique, et une authentification pour la communication de données). C’est pourquoi Lee suggère une installation différente, avec un hôte de messagerie plus axé sur la confidentialité comme Riseup.net, ou Thunderbird de Mozilla, le module de cryptage Enigmail, et un autre module du nom de TorBirdy qui route ses messages avec Tor.

Comme l’a indiqué Reid dans son interview avec Kamphuis pour journalism.co.uk, Greenwald a failli perdre l’histoire sur la NSA, parce qu’il a ignoré les instructions de Snowden sur le cryptage des emails. Dans d’autres mots, si vous voulez un article qui marquera l’histoire, il est logique de se protéger des dangers. Kamphuis estime que PGP est digne de confiance. Comme lui et Reid l’expliquent, avec un cryptage PGP, vous avez une clé publique, comme votre numéro de téléphone, et une clé privée. La clé publique peut apparaître sur votre bio Twitter, vos cartes de visite, vos sites et partout où votre travail est vanté, mais la clé privée doit être stockée de façon sécurisée, comme toute autre information sensible. Puis, quand une source voudra envoyer des informations, elle utilisera votre clé publique pour crypter leurs emails, que vous pourrez décrypter seulement avec votre clé privée.

Kamphuis recommande GNU Privacy Guard, une version open-source de PGP, simple à mettre en place, et qui a une communauté active de soutien. Pour crypter des fichiers, des données et des disques durs, il suggère de jeter un œil à son eBook gratuit, « Information security for journalists », (La sécurité de l’information pour les journalistes) publié avec Silkie Carlo et la CIJ, qui en explique le processus complet.

Si vous choisissez de crypter le message en lui-même sans tenir compte de l’hôte, l’utilisation d’un zip avec mot de passe est préférable, et 7ZIP est un outil parfait pour y parvenir.

5) Retour aux bases: oui, je sais qu’il s’agit du B-A-BA de la sécurité – mais essayez d’éviter le phishing. Surveillez le champ « de » de votre boîte de réception, à la recherche de petites fautes, quelqu’un pourrait essayer de se faire passer pour l’une de vos connaissances.
Dernière précision sur le cryptage des emails : un des vrais problèmes, et inévitable avec ça, c’est que même après les avoir cryptés, certaines choses continuent à apparaitre en clair. L’adresse email du destinataire et celle de l’expéditeur, l’objet, la date et l’heure d’envoi du mail ne peuvent pas être cryptés. Le message et ses pièces jointes sont les seules données cryptées.



Voici peut-être les conseils les plus extrêmes que j’ai eu l’occasion de lire en préparant cet e-book.
Comme Micah Lee l’a formulé lors de son interview sur la confidentialité pour WIRED : « Si votre ordinateur est hacké, c’est terminé. Créer un « virtual sandbox », ou bac à sable virtuel, qui entoure vos communications en ligne est une bonne façon de protéger le reste de votre système. Tor est génial et peut vous rendre parfaitement anonyme. Mais si votre interlocuteur est compromis, votre anonymat l’est lui aussi. Si vous devez impérativement rester anonyme, vous devez être en sécurité totale ».
Et la journaliste Tony Loci utilise encore des termes plus durs dans son article, issu d’un e-book traitant du futur du journalisme d’investigation transfrontalier, pour la fondation Nieman à Harvard : « Certains journalistes, scientifiques de l’informatique et autres avocats de la confidentialité sont tellement alarmés qu’ils recommandent aux reporters de travailler à l’ancienne… et de voir leurs sources en face à face, et utiliser le courrier traditionnel. »

J’espère avoir pu aider les gens, ceux du métier et les autres, à rassembler des informations qui clarifient les besoins en matière de sécurité, et les mesures à prendre pour garantir la sécurité de votre source et vous, dans cette époque troublée.
  •  La sécurité pour les journalistes : comment protéger vos sources et vos informations
http://www.ire.org/blog/car-conference-blog/2017/03/05/securing-data-sources-and-yourself/
  •  Protéger ses données, ses sources et se protéger soi
http://www.ire.org/blog/car-conference-blog/2017/03/05/securing-data-sources-and-yourself/
  • Surveillance et sécurité : les journalistes et agences de presse prennent-ils des mesures suffisantes pour protéger leurs sources ?
http://niemanreports.org/articles/surveillance-and-security/
  • L’investigation devient internationale : le futur du journalisme d’investigation transfrontalier
http://niemanreports.org/books/muckraking-goes-global-the-future-of-cross-border-investigative-journalism/
  • Le guide ultime de la confidentialité en ligne
https://www.vpnmentor.com/blog/ultimate-guide-online-privacy/
  • Qu’est-ce qu’un cache DNS ?
https://www.lifewire.com/what-is-a-dns-cache-817514
  • Comment rendre anonymes toutes vos activités en ligne
https://www.wired.com/2014/06/be-anonymous-online/
  • 19 façons de rester anonyme et de protéger votre confidentialité en ligne
https://www.extremetech.com/internet/180485-the-ultimate-guide-to-staying-anonymous-and-protecting-your-privacy-online
  • Edward Snowden explique comment retrouver sa confidentialité
https://theintercept.com/2015/11/12/edward-snowden-explains-how-to-reclaim-your-privacy/
  • Informations de sécurité pour les journalistes : se protéger en ligne
https://www.journalism.co.uk/news/information-security-for-journalists-/s2/a562525/
  • La NSA prend les défenseurs de la confidentialité pour cible
http://files.gendo.nl/presentaties/CIJ_Infosec&countersurv_4-07-2014.pdf
  • Le Département d’Obama accuse un journaliste de crime dans une affaire de fuite
https://www.theguardian.com/commentisfree/2013/may/20/obama-doj-james-rosen-criminality
  • Vos secrets WhatsApp sont en sécurité pour l’instant. Mais Big Brother continue à vous surveiller…
https://www.theguardian.com/commentisfree/2016/apr/10/whatsapp-encryption-billion-users-data-security
  • Obama poursuit les lanceurs d’alerte et leur envoie un message h
ttp://www.bloomberg.com/news/2012-10-18/obama-pursuing-leakers-sends-warning-to-whistle-blowers.html
  • 6 erreurs de cryptage qui conduisent à des fuites de données
https://www.crypteron.com/blog/the-real-problem-with-encryption/?gclid=Cj0KEQiA9P7FBRCtoO33_LGUtPQBEiQAU_tBgDgBzD9wIXv94vwhj3qwhc6ewEYY
eyjIeiXtMQiwF3caAsFn8P8HAQ


You can help others! Click to share on Facebook or Tweet!

2 commentaires:

Ce blog est ouvert à la contradiction par la voie de commentaires. Je tiens ce blog depuis fin 2005; je n'ai aucune ambition ni politique ni de notoriété. C'est mon travail de retraité pour la collectivité. Tout lecteur peut commenter sous email google valide. Tout peut être écrit mais dans le respect de la liberté de penser de chacun et la courtoisie.
- Je modère tous les commentaires pour éviter le spam et d'autres entrées malheureuses possibles.
- Cela peut prendre un certain temps avant que votre commentaire n'apparaisse, surtout si je suis en déplacement.
- Je n'autorise pas les attaques personnelles. Je considère cependant que ces attaques sont différentes des attaques contre des idées soutenues par des personnes. Si vous souhaitez attaquer des idées, c'est bien, mais vous devez alors fournir des arguments et vous engager dans la discussion.
- Je n'autorise pas les commentaires susceptibles d'être diffamatoires (au mieux que je puisse juger car je ne suis pas juriste) ou qui utilisent un langage excessif qui n'est pas nécessaire pour l'argumentation présentée.
- Veuillez ne pas publier de liens vers des publicités - le commentaire sera simplement supprimé.
- Je suis pour la liberté d'expression, mais il faut être pertinent. La pertinence est mesurée par la façon dont le commentaire s'apparente au sujet du billet auquel le commentaire s'adresse. Si vous voulez juste parler de quelque chose, créez votre propre blog. Mais puisqu'il s'agit de mon blog, je vous invite à partager mon point de vue ou à rebondir sur les points de vue enregistrés par d'autres commentaires. Pour ou contre c'est bien.
- Je considère aussi que la liberté d'expression porte la responsabilité d'être le propriétaire de cette parole.

J'ai noté que ceux qui tombent dans les attaques personnelles (que je supprime) le font de manière anonyme... Ensuite, ils ont l'audace de suggérer que j'exerce la censure.