{"id":153350,"date":"2019-07-16T04:43:23","date_gmt":"2019-07-16T08:43:23","guid":{"rendered":"https:\/\/gijn.org\/?p=153350"},"modified":"2023-09-05T23:55:19","modified_gmt":"2023-09-06T03:55:19","slug":"pourquoi-la-securite-numerique-ne-peut-pas-etre-la-meme-pour-tous-les-journalistes","status":"publish","type":"post","link":"https:\/\/gijn.org\/fr\/histoires\/pourquoi-la-securite-numerique-ne-peut-pas-etre-la-meme-pour-tous-les-journalistes\/","title":{"rendered":"Pourquoi la s\u00e9curit\u00e9 num\u00e9rique ne peut pas \u00eatre la m\u00eame pour tous les journalistes"},"content":{"rendered":"

English<\/strong><\/a><\/p>\n

Photo : Shutterstock.<\/p>\n

Question aux experts en s\u00e9curit\u00e9 num\u00e9rique: quel est le point commun entre un journaliste d\u2019Afrique de l\u2019ouest, un journaliste syrien bas\u00e9 en Turquie et un journaliste fran\u00e7ais en reportage dans le Cachemire ? Aucun. Ils exercent leur m\u00e9tier dans des environnements compl\u00e8tement diff\u00e9rents. Tous se doivent de prot\u00e9ger leurs donn\u00e9es, leurs communications et leurs sources, mais ils doivent le faire diff\u00e9remment<\/b>. L\u2019aide et le soutien qu\u2019il est possible de leur apporter doivent \u00eatre adapt\u00e9s aux contextes dans lesquels ils travaillent.<\/p>\n

Si vous avez d\u00e9j\u00e0 particip\u00e9 \u00e0 un atelier sur la s\u00e9curit\u00e9 num\u00e9rique, vous avez probablement appris \u00e0 cr\u00e9er des mots de passe robustes, \u00e0 chiffrer vos dossiers ou vos disques durs externes et \u00e0 activer la double authentification sur vos services en ligne. Tout \u00e7a est utile, mais souvent loin d\u2019\u00eatre suffisant. Plus que ces pratiques de base, il faut conna\u00eetre les outils et les pratiques \u00e0 employer dans chaque cas particulier. Par exemple, un journaliste travaillant en France doit apprendre \u00e0 prot\u00e9ger ses sources. La situation – et donc les outils et les m\u00e9thodes utilis\u00e9s – est tr\u00e8s diff\u00e9rente de celle d\u2019une personne travaillant dans un \u00c9tat o\u00f9 aucune loi sur la libert\u00e9 de la presse n\u2019est en vigueur.<\/p>\n

Nous avons certes l\u2019expertise technique, mais les journalistes et les d\u00e9fenseurs des droits connaissent leur environnement bien mieux que nous. Il est donc primordial de d\u00e9marrer par un dialogue.<\/p>\n

Jean-Marc Bourguignon et moi travaillons dans le domaine de la s\u00e9curit\u00e9 num\u00e9rique depuis maintenant 10 ans, Jean-Marc en tant que hacker et moi-m\u00eame en tant que journaliste et militant au sein de plusieurs ONG. Nous avons cr\u00e9\u00e9 Nothing2Hide<\/a> en 2017 car nous ne trouvions aucune organisation collaborant avec des journalistes et d\u00e9fenseurs des droits humains pla\u00e7ant la technologie au c\u0153ur de ses activit\u00e9s. Le mandat de notre association est d’aider journalistes, blogueurs, avocats, lanceurs d\u2019alerte et d\u00e9fenseurs des droits humains \u00e0 prot\u00e9ger leurs donn\u00e9es et leurs communications. Que nous organisions un atelier autour de la s\u00e9curit\u00e9 num\u00e9rique, un audit de s\u00e9curit\u00e9 pour un m\u00e9dia ou que nous d\u00e9ployions des outils de contournement de la censure, nous commen\u00e7ons toujours par un inventaire des besoins. Nous avons certes l\u2019expertise technique, mais les journalistes et les d\u00e9fenseurs des droits connaissent leur environnement bien mieux que nous. Il est donc primordial de d\u00e9marrer par un dialogue.<\/p>\n

Voici trois cas d\u2019usage qui illustrent cette fa\u00e7on de travailler.<\/p>\n

Ne pas changer les m\u00e9thodes de travail pour favoriser l\u2019adoption<\/b><\/h4>\n

Nous avons \u00e9t\u00e9 sollicit\u00e9s par un m\u00e9dia ind\u00e9pendant syrien bas\u00e9 \u00e0 Istanbul, afin de s\u00e9curiser leur syst\u00e8me d\u2019information. Ils se trouvent dans une situation d\u00e9licate puisqu’ils travaillent au quotidien avec des journalistes bas\u00e9s en Syrie.<\/p>\n

Nous avons commenc\u00e9 par observer leurs m\u00e9thodes de travail, puis nous avons mis en place des solutions adapt\u00e9es \u00e0 leurs besoins, avec toujours le m\u00eame objectif en t\u00eate : \u00ab Rester simples \u00bb (selon la m\u00e9thode KISS connue des informaticiens : Keep It simple Stupid) . Cela nous permet de cr\u00e9er des solutions faciles \u00e0 mettre en place et surtout faciles \u00e0 reproduire.<\/p>\n

Un outil de sauvegarde de fichiers<\/b> : pour notre partenaire, il \u00e9tait hors de question d\u2019utiliser Google ou Dropbox. Aussi s\u00fbrs soient ces service, la s\u00e9curit\u00e9 num\u00e9rique reste avant tout une question de confiance, et ces journalistes n\u2019\u00e9taient pas tr\u00e8s enthousiastes (c\u2019est une litote) \u00e0 l’id\u00e9e de voir leurs fichiers les plus sensibles stock\u00e9s sur les serveurs d\u2019entreprises bas\u00e9es aux Etats-Unis. Nous avons donc mis en place un syst\u00e8me de sauvegarde reposant sur les serveurs de Nothing2Hide. Nous avons install\u00e9 un logiciel permettant aux membres de l\u2019\u00e9quipe de chiffrer et de sauvegarder leurs fichiers en un seul clic. Les fichiers sont stock\u00e9s sur nos serveurs mais nous n\u2019avons pas la cl\u00e9 de d\u00e9chiffrement : seuls les journalistes du m\u00e9dia en question peuvent y acc\u00e9der. Une connexion s\u00e9curis\u00e9e <\/b>: il existe un vide juridique en Turquie sur les outils de contournement de la censure tels que les VPN. Ils ne sont ni autoris\u00e9s, ni interdits. Sachant cela, il est pr\u00e9f\u00e9rable, lorsqu\u2019on en utilise un, de le faire le plus discr\u00e8tement possible. Nous avons donc choisi d\u2019installer une connexion s\u00e9curis\u00e9e en utilisant la technologie WireGuard plut\u00f4t qu’un VPN classique. WireGuard est bien plus difficile \u00e0 d\u00e9tecter et \u00e0 bloquer que des technologies plus populaires tels que OpenVPN ou PPPT. Plut\u00f4t que d\u2019installer un logiciel sur chaque poste pour b\u00e9n\u00e9ficier de cette connexion s\u00e9curis\u00e9e, nous avons install\u00e9 un mat\u00e9riel reli\u00e9 \u00e0 Internet auquel les journalistes de la r\u00e9daction se connectent en wifi. Une fois cette connexion wifi activ\u00e9e, tout leur trafic est chiffr\u00e9 gr\u00e2ce \u00e0 WireGuard. La seule chose \u00e0 faire pour l\u2019\u00e9quipe est de s\u00e9lectionner le bon r\u00e9seau wifi.<\/p>\n

Nous n\u2019avons pas chang\u00e9 les m\u00e9thodes de travail de l\u2019\u00e9quipe, ou sinon \u00e0 la marge (clic droit pour sauvegarder un fichier, on peut dire que c\u2019est \u00e0 la marge). Nous sommes en effet convaincus que les cl\u00e9s pour s\u00e9curiser des m\u00e9thodes de travail de mani\u00e8re efficace et p\u00e9renne sont l\u2019adoption et le soutien technique sur le long terme.<\/p>\n

Transformer son smartphone en coffre-fort peut \u00eatre contre productif<\/b><\/h4>\n

En d\u00e9but d\u2019ann\u00e9e, nous avons anim\u00e9 au Ghana une formation \u00e0 la protection de l\u2019information avec une vingtaine de journalistes et de militants venus de plusieurs pays africains. Certains des participants \u00e9voluent dans des contextes o\u00f9 il est inutile voire dangereux de transformer son smartphone ou son ordinateur en coffre fort num\u00e9rique. Les arrestations arbitraires, les coups et la torture viennent toujours \u00e0 bout des mots de passe, aussi robustes soient-ils.<\/p>\n

Avec les participants, nous avons mis en place une strat\u00e9gie adapt\u00e9e et leur avons appris comment conserver le moins de traces possibles sur leurs smartphones. Pour ce faire, nous leurs avons cr\u00e9\u00e9 des comptes sur Protonmail, un service de messagerie chiffr\u00e9.<\/p>\n

Comme de nombreux fournisseurs de messagerie, Protonmail propose une application pour smartphone que nous leur avons d\u00e9conseill\u00e9 d\u2019utiliser et m\u00eame d\u2019installer. L\u2019objectif est de conserver le moins de traces possibles sur leur t\u00e9l\u00e9phone. Nous leur avons donc recommand\u00e9 d\u2019utiliser Protonmail sur leur navigateur, dans une fen\u00eatre de navigation priv\u00e9e et en utilisant un VPN<\/a>. Ainsi, m\u00eame en cas d\u2019arrestation et de confiscation de leur smartphone, il ne ne subsiste aucune trace des messages \u00e9chang\u00e9s via protonmail. L\u2019op\u00e9rateur t\u00e9l\u00e9phonique local n\u2019est pas non plus en capacit\u00e9 de savoir que tel ou tel journaliste utilise un service de messagerie chiffr\u00e9. Sans conna\u00eetre le contexte des participants et sans \u00e9changer sur leurs m\u00e9thodes de travail, nous n\u2019aurions pas pu \u00e9laborer cette strat\u00e9gie.<\/p>\n

Effacer des traces sur un ordinateur<\/b><\/h4>\n

En France, des photojournalistes nous ont demand\u00e9 comment s\u00e9curiser les photos qu\u2019ils allaient prendre lors d\u2019un reportage au Cachemire, une r\u00e9gion o\u00f9 les reporters \u00e9trangers courent le risque de se faire arr\u00eater et expulser.<\/p>\n

Nous avons mis en place pour eux une solution sur mesure : durant leur reportage les photojournalistes envoyaient leurs photos une fois par jour sur un serveur de Nothing2Hide. Une fois le t\u00e9l\u00e9chargement termin\u00e9, les fichiers \u00e9taient copi\u00e9s sur un deuxi\u00e8me serveur puis effac\u00e9s du premier.. Il \u00e9tait alors impossible m\u00eame en ayant physiquement acc\u00e8s \u00e0 l\u2019ordinateur d\u2019acc\u00e9der aux photos prises ni m\u00eame de savoir que des photos avaient \u00e9t\u00e9 stock\u00e9es sur l\u2019ordinateur.<\/p>\n

Nous leur avons \u00e9galement fourni un plan B dans le cas o\u00f9 ils n\u2019auraient pas acc\u00e8s \u00e0 internet : un dossier chiffr\u00e9 avec Veracrypt de la taille d’un fichier vid\u00e9o et dans lequel ils pourraient stocker leurs photos. Celui-ci \u00e9tait alors camoufl\u00e9 de telle sorte qu\u2019il ressemble \u00e0 un fichier vid\u00e9o et stock\u00e9 dans un disque au milieu d\u2019une centaine d\u2019autres fichiers vid\u00e9os. \u00c0 moins d\u2019\u00eatre un expert en cryptographie, il \u00e9tait alors impossible de distinguer le dossier chiffr\u00e9 d\u2019une v\u00e9ritable vid\u00e9o.<\/p>\n

N\u2019importe qui peut mettre en \u0153uvre cette technique : pour des donn\u00e9es chiffr\u00e9es stock\u00e9es localement, il suffit de changer le nom du conteneur Veracrypt et d\u2019y ajouter une extension .mpg pour qu\u2019il prenne l\u2019apparence d\u2019une vid\u00e9o. Quant au plan A, c\u2019est-\u00e0-dire le stockage \u00e0 distance, il est un un peu plus difficile \u00e0 mettre en place car il n\u00e9cessite des comp\u00e9tences techniques. Cette m\u00e9thode est n\u00e9anmoins accessible au plus grand nombre : un simple serveur FTP, un script shell et un logiciel utlra-standard (FileZilla) nous ont suffit \u00e0 mettre en place cette solution.<\/p>\n

Aucune de ces solutions n\u2019aurait \u00e9t\u00e9 efficace si nous n\u2019avions pas \u00e9chang\u00e9 avec les journalistes et les activistes avec qui nous avons travaill\u00e9. Amener du soutien et des comp\u00e9tences techniques sans prendre en compte les besoins de ceux avec qui nous travaillons n\u2019a pas de sens. L\u2019humain et le dialogue doivent \u00eatre mis au centre des formations quelles qu\u2019elles soient. C\u2019est encore plus vrai pour toutes les formations \u00e0 la s\u00e9curit\u00e9 num\u00e9rique.<\/p>\n

Apr\u00e8s nos derniers ateliers de formation num\u00e9rique, deux des participants ont d\u00e9cid\u00e9 de transmettre ce qu’ils avaient appris en organisant leurs propres ateliers au profit de leurs r\u00e9seaux. Nous encourageons cette diffusion de connaissances en utilisant et en cr\u00e9ant exclusivement des outils et des ressources sous licence libre. Alors n’h\u00e9sitez pas \u00e0 vous en servir<\/a> !<\/p>\n

Gr\u00e9goire Pouget\u00a0<\/a><\/b><\/em>est pr\u00e9sident cofondateur de Nothing2Hide<\/a>. Dipl\u00f4m\u00e9 en histoire, sociologie et informatique, Gr\u00e9goire Pouget a \u00e9volu\u00e9 pendant plus de 10 ans dans l\u2019univers des\u00a0 m\u00e9dias en ligne aux poste d\u2019\u00e9diteur, webdesigner et d\u00e9veloppeur. Pendant cinq ans, chez Reporters sans fronti\u00e8res, il anime le bureau \u00ab Nouveaux m\u00e9dias \u00bb et m\u00e8ne des projets li\u00e9s \u00e0 surveillance et\u00a0 \u00e0 la censure en ligne. Sp\u00e9cialis\u00e9 sur le num\u00e9rique et l\u2019acc\u00e8s \u00e0 l\u2019information, il a donn\u00e9 de nombreuses formations sur ces sujets, en France et \u00e0 l\u2019\u00e9tranger (Afghanistan, Pakistan, S\u00e9n\u00e9gal, Tunisie, Ukraine, Turquie, S\u00e9n\u00e9gal etc.).<\/p>\n","protected":false},"excerpt":{"rendered":"

Quel est le point commun entre un journaliste d\u2019Afrique de l\u2019ouest, un journaliste syrien bas\u00e9 en Turquie et un journaliste fran\u00e7ais en reportage dans le Cachemire ? Aucun. Ils exercent leur m\u00e9tier dans des environnements compl\u00e8tement diff\u00e9rents. Gr\u00e9goire Pouget, de l’organisation Nothing2Hide explique comment d\u00e9velopper des solutions adapt\u00e9es pour aider les journalistes \u00e0 prot\u00e9ger leurs informations.<\/p>\n","protected":false},"author":3031133,"featured_media":152276,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_price":"","_stock":"","_tribe_ticket_header":"","_tribe_default_ticket_provider":"","_tribe_ticket_capacity":"0","_ticket_start_date":"","_ticket_end_date":"","_tribe_ticket_show_description":"","_tribe_ticket_show_not_going":false,"_tribe_ticket_use_global_stock":"","_tribe_ticket_global_stock_level":"","_global_stock_mode":"","_global_stock_cap":"","_tribe_rsvp_for_event":"","_tribe_ticket_going_count":"","_tribe_ticket_not_going_count":"","_tribe_tickets_list":"[]","_tribe_ticket_has_attendee_info_fields":false,"republication-tracker-tool-hide-widget":false,"footnotes":"","_tec_slr_enabled":"","_tec_slr_layout":""},"categories":[23098],"tags":[21290],"gijn_topic":[],"series":[17774],"gijn_language":[17784],"gijn_region":[],"class_list":["post-153350","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-histoires","tag-securite-numerique-fr","series-francais-fr","gijn_language-fr-fr"],"acf":[],"ticketed":false,"_links":{"self":[{"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/posts\/153350","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/users\/3031133"}],"replies":[{"embeddable":true,"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/comments?post=153350"}],"version-history":[{"count":1,"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/posts\/153350\/revisions"}],"predecessor-version":[{"id":1224298,"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/posts\/153350\/revisions\/1224298"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/media\/152276"}],"wp:attachment":[{"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/media?parent=153350"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/categories?post=153350"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/tags?post=153350"},{"taxonomy":"gijn_topic","embeddable":true,"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/gijn_topic?post=153350"},{"taxonomy":"series","embeddable":true,"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/series?post=153350"},{"taxonomy":"gijn_language","embeddable":true,"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/gijn_language?post=153350"},{"taxonomy":"gijn_region","embeddable":true,"href":"https:\/\/gijn.org\/fr\/wp-json\/wp\/v2\/gijn_region?post=153350"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}