Chapitre 11 Gestion de la sécurité du site et des mots de passe

Aucune application ou outil unique ne peut sécuriser totalement une organisation, ni même la moindre communication. Puisque les communications et les ressources numériques des journalistes sont menacées sur bien des fronts, que ce soit par des agences gouvernementales hostiles ou quand ils souhaitent protéger une source qui a porté plainte contre un voisin, nous vous recommandons vivement de vous familiariser avec les rudiments de la sécurité numérique. De nombreux groupes produisent actuellement des ressources à jour sur les outils et les techniques nécessaires pour verrouiller les communications et renforcer la sécurité, notamment le guide Security Self Defense d’Electronic Frontier Foundation, Access Now!, Freedom of the Press Foundation, Tactical Tech et le Centre de ressources de GIJN. Certains outils présentés dans d’autres sections de ce guide, tels que Signal, Jitsi, et OnionShare, peuvent également contribuer à sécuriser l’environnement numérique.

Sécurité du site

Cloudflare

Si vous craignez que votre site web soit menacé par des attaques perpétrées par des robots ou des pirates, le réseau de distribution de contenu (CDN, Content Delivery Network) de Cloudflare propose des fonctions de protection des sites web et des applications. Il détecte et neutralise les tentatives d’attaques par déni de service (DDoS, Distributed Denial-of-Service) et les robots. Cloudflare améliore également les performances des sites en optimisant la durée de chargement des pages, en accélérant le chargement des images et des vidéos, en automatisant le redimensionnement des images sur les appareils mobiles, mais aussi en assurant l’équilibrage de la charge pour garantir la disponibilité continue d’un site web, même lorsque les services locaux sont en panne. Cloudflare offre également une fonction d’analyse des sites.

Prix : La version gratuite inclut la certification SSL (Secure Sockets Layer, couche de sockets sécurisés) et une fonction de réduction des attaques DDoS. Le prix de départ des plans payants est de 20$ par mois. Via son Projet Galileo, les organismes de presse approuvés par un des partenaires de Cloudflare peuvent utiliser gratuitement la version complète du produit.

Langues : Anglais, allemand, espagnol, français, italien, coréen, chinois, japonais et portugais

Let’s Encrypt

Obtenez auprès de Let’s Encrypt un certificat de sécurité pour activer gratuitement le protocole HTTPS sur votre site web. Il est disponible automatiquement via de nombreux fournisseurs d’hébergement (dont WordPress) et vous pouvez l’installer manuellement sur les sites d’autres fournisseurs.

Prix : Gratuit.

Langues : Anglais, allemand, espagnol, français, hébreu, indonésien, chinois, coréen, portugais, russe, serbe, suédois, vietnamien et japonais

Gestionnaires de mots de passe

1Password

Parmi les solutions de gestion en ligne des mots de passe qui synchronisent les données des utilisateurs sur plusieurs appareils, 1Password est très bien noté pour la transparence de sa fonction de chiffrement, mais aussi parce que la société est disposée à se soumettre à des évaluations régulières menées par des tiers. 1Password propose un service appelé 1Password pour le journalisme qui permet à des équipes de journalistes d’accéder gratuitement à l’application. 1Password permet de créer des coffres partagés pour des équipes devant stocker en toute sécurité des mots de passe communs d’accès à des outils tout en permettant aux utilisateurs de stocker séparément leurs mots de passe. Les utilisateurs peuvent chiffrer des notes, des documents et des contacts. L’outil inclut une interface web et est également disponible en tant qu’application mobile, extension dans un navigateur et application bureautique. La fonctionnalité Travel Mode est intéressante pour les journalistes. Elle efface vos données 1Password d’un appareil spécifique si vous ne souhaitez pas qu’elles soient découvertes, lorsque vous passez une frontière, par exemple. Vous pouvez ensuite télécharger ces données en toute sécurité une fois arrivé à votre destination.

Prix : Actuellement gratuit pour les journalistes. Le prix de départ des plans payants pour les particuliers est de 2,99$ par mois et le prix de départ des plans pour les équipes est de 7,99$ par mois.

Langues : Anglais, espagnol, allemand, français, italien, japonais, coréen, portugais, russe et chinois

Dashlane

Les fonctionnalités de Dashlane ressemblent à celles de 1Password, sans la fonction Travel Mode, mais de nombreux utilisateurs trouvent son interface intuitive et plus facile à utiliser. Cet outil propose un plan gratuit qui autorise un maximum de 50 mots de passe enregistrés et leur partage avec 5 autres personnes maximum, mais qui en limite l’utilisation sur un seul appareil (par exemple, vous pouvez utiliser l’application sur un téléphone ou un ordinateur de bureau, mais pas sur les deux). Même si le plan payant de Dashlane est plus coûteux que celui de 1Password, ses formules plus chères incluent également un service VPN (Virtual Private Network, réseau privé virtuel) sécurisé.

Prix : Plan gratuit limité. Le prix de départ des plans payants est de 2$ par mois.

Langues : Anglais, français, espagnol, portugais, allemand, italien, néerlandais, suédois, chinois, japonais et coréen

KeePassXC

KeePassXC est un gestionnaire de mots de passe gratuit en sources ouvertes. Contrairement aux logiciels populaires comme 1Password ou Dashlane, KeePassXC est stocké en local sur l’ordinateur d’un utilisateur. L’utilisation hors connexion de ce logiciel simple en limite considérablement l’aspect pratique, mais les risques inhérents au transfert de données via le web sont réduits. Le transfert de données KeePassXC entre plusieurs appareils est un processus complexe à plusieurs étapes. KeePassXC est compatible avec de nombreux systèmes d’exploitation et il propose des fonctionnalités intéressantes, comme une extension de navigateur et un générateur de phrases secrètes sécurisé.

Prix : Gratuit.

Langues : Plusieurs

Réseaux privés virtuels

La règle fondamentale qui s’applique aux services VPN déconseille fortement l’utilisation d’un VPN qui n’offre pas de formule payante. Outre des vitesses souvent inférieures et des interfaces truffées de publicités, des chercheurs ont découvert que les services de VPN entièrement gratuits consignent secrètement les données des utilisateurs et contiennent de nombreux logiciels malveillants. Puisque la fonction d’un VPN est bien souvent de masquer votre adresse IP, le choix d’un service de VPN n’est pas une mince affaire. Les experts recommandent également d’éviter les services de VPN dispensés à partir des États-Unis, en raison des restrictions imposées par la loi USA PATRIOT Act. Les sites comme CNet, SafetyDetectives et Wirecutter respectent les recommandations en vigueur concernant les VPN, lesquelles peuvent varier selon divers paramètres et notamment la situation politique du pays où est basé le prestataire, votre emplacement géographique et la raison pour laquelle vous utilisez un VPN (vous privilégiez par exemple la vitesse ou la sécurité ou alors vous souhaitez contourner les restrictions imposées dans votre pays, ou vous connecter à un réseau local). De nombreux services, comme ExpressVPN et NordVPN, proposent des versions d’essai gratuites de 30 jours et d’autres, comme ProtonVPN, proposent une formule gratuite, mais bien plus lente. Si vous le pouvez, consultez un expert local en sécurité numérique avant de sélectionner un VPN.