European Federation of Journalists

Fédération européenne des journalistes

Cybersécurité pour les journalistes: astuces et outils pour sécuriser vos communications

Cybersecurité pour journalistes

Les journalistes font face à un défi croissant pour sécuriser leurs communications dans le cadre de l’exercice de la profession. Ainsi, la protection des sources peut être facilement compromise dans un monde où la surveillance de masse est de plus en plus omniprésente et de moins en moins perceptible. Mais en sacrifiant un peu de leur temps, les journalistes peuvent également profiter de mêmes avancées technologiques pour sécuriser fortement leurs communications pour mieux se protéger et renforcer la relation de confiance avec leurs sources.

Pour renforcer la cybersécurité des journalistes, la Fédération européenne des journalistes (FEJ) et l’Institut syndical européen (ETUI) ont organisé du 19 au 22 janvier 2015, avec le soutien financier de la Commission européenne, une formation de quatre jours à Bruxelles réunissant 23 journalistes issus de 19 pays européens.

Animé par l’expert en sécurité numérique, Dmitri Vitaliev, cette formation a permis aux 23 participants – représentant des organisations syndicales ou associations professionnelles de journalistes en Europe – de se former de manière rapide, pratique et conviviale à l’usage des nouveaux outils de sécurité informatique. Les journalistes ont également pu débattre des moyens techniques pour contourner la censure sur Internet, examiner des cas pratiques de piratage et de violations des droits humains tout en découvrant des nouveaux outils pour crypter leurs communications ou renforcer leurs mots de passe.

Conseils et outils
Voici une liste non exhaustive des conseils et des ressources utiles partagé par l’expert durant les quatre jours de formation. (cet article a été rédigé en cours de route par des participants non experts sur le plan informatique).

Les principes de base

  1. Installez un logiciel anti-virus sur votre ordinateur. Si vous avez un nouvel ordinateur, installez l’anti-virus avant toute connexion à internet afin de minimiser vos risques d’attraper un virus.
  2. Pare-feu : l’installation d’un logiciel anti-virus n’est pas suffisant pour protéger votre ordinateur. Le pare-feu est une couche plus robuste qu’il est nécessaire d’installer sur votre ordinateur en plus d’un anti-virus.
  3. Ne pas utiliser des logiciels piratés. Un logiciel piraté vendu illégalement à 5 dollars génère non seulement un revenu minime pour le petit trafiquant mais il procure aussi souvent d’autres valeurs en infectant votre ordinateur d’un virus au moment de son installation. Si vous ne pouvez pas payer un logiciel sous licence, il existe souvent des logiciels alternatifs open-source que vous pouvez télécharger et utiliser en toute sécurité.
  4. Si vous utilisez un ordinateur public ou que vous ne pouvez pas garantir que l’ordinateur utilisé est exempt de virus, vous pouvez travailler avec une simple clé USB. Ainsi, vous ne laissez aucune trace de votre travail sur l’ordinateur d’un cybercafé.
  5. Utilisez un mot de passe sécurisé. Plus, il est long et compliqué, plus il sera difficile pour les pirates de casser de votre code. En relisant les révélations d’Edward Snowden, on constate qu’il vaut mieux utiliser une combinaison (au minimum) de plus de 12 caractères pour un mot de passe avec une combinaison de lettres, chiffres et symboles différents. Non seulement, il faut générer un mot de passe long et complexe mais en plus il est fortement déconseillé d’utiliser le même mot de passe partout. Vous n’avez pas une mémoire d’éléphant pour retenir ces secrets ? Pas de problème, vous pouvez soit utiliser la mnémotechnique (première lettre d’une longue phrase), soit utiliser un logiciel comme KeePass pour stocker vos multiples mots de passe incassables en toute sécurité.
  6. Amnesty International propose DETEKT, un logiciel qui permet de savoir si des agences de renseignement vous espionnent à votre insu chez vous ou ailleurs. L’outil scanne votre ordinateur Windows pour y chercher des traces de logiciels malveillants comme FinFisher et Hacking Team RCS, à savoir des logiciels espions de surveillance commerciale qui sont régulièrement utilisés pour cibler et suivre des défenseurs de droits humains ou des journalistes à travers le monde.

Gestion des données : comment supprimer, récupérer et crypter vos données?

  1. Suppression de vos données : Vous pensez qu’en mettant votre fichier secret dans la corbeille, il sera supprimé pour toujours? Vous êtes forcés d’effacer vos photos lors d’une manifestation et vous pensez qu’elles sont perdues à jamais ? La réponse est non (c’est mauvais ou bon, selon le cas). Le fichier que vous avez supprimé peut toujours être récupéré même s’il n’est plus visible pour l’utilisateur. En réalité, ils arrivent aux ordinateurs de nous mentir et c’est particulièrement vrai en matière de gestion des fichiers effacés. Lorsque vous supprimez un fichier, l’ordinateur oublie l’endroit où le fichier est stocké bien que le fichier soit toujours sur le disque dur. Pour supprimer définitivement votre fichier, vous pouvez télécharger gratuitement un logiciel de suppression permanente (comme CC-Cleaner) qui vous permettra alors de supprimer votre fichier de façon permanente. Attention, il ne suffit pas de supprimer votre fichier compromettant, il faut également supprimer les multiples copies de votre fichier qui se trouvent généralement dans un dossier rassemblant les fichiers temporaires.
  2. Récupération de vos données : Les journalistes peuvent utiliser à leur avantage les failles de suppressions. Si vous êtes obligés de supprimer vos photos par une quelconque autorité, vous pouvez techniquement les récupérer quand vous rentrez au bureau ou à la maison. Tout ce dont vous avez besoin est un logiciel (comme Recuva) pour le faire.
  3. Gérer, modifier ou supprimer vos métadonnées: les métadonnées sont des informations techniques sur les propriétés d’un fichier (document ou photo) et fournissent des indications précises sur le type d’appareil utilisé, la date et le lieu des prises de vue, l’auteur du cliché,…
  4. Créez une sauvegarde sécurisée de vos données. Vous devriez toujours avoir une sauvegarde de vos données importantes mais il vaut mieux les stocker sur un serveur sécurisé et crypté (comme Mega.co.nz). Si vous ne voulez pas transporter des données sensibles lors de vos déplacements, vous pouvez les stocker sur ce type de serveur qui crypte automatiquement vos données.
  5. Cryptez vos données et vos communications. Vous pouvez télécharger gratuitement le logiciel (comme TrueCrypt ou BoxCryptor) pour chiffrer les données avant de les envoyer ou les stocker sur un serveur. Ces logiciels vous permettent de créer un “coffre-fort secret” sur votre ordinateur qui n’est visible que pour la personne qui connaît le mot de passe et l’emplacement d’un fichier sur votre ordinateur. Ainsi, vous n’avez pas besoin d’avoir des connaissances techniques sur le cryptage des données pour protéger vos fichiers les plus sensibles.
  6. Que faire si vous êtes contraint par la force ou par une quelconque autorité de révéler votre mot de passe permettant d’ouvrir votre dossier crypté? Le logiciel TrueCrypt vous permet de créer “une voûte cachée” dans votre coffre-fort secret, une sorte de double fond. Dans ce cas, votre “coffre-fort secret” devient un outil de ruse pour tromper votre agresseur dans le cas où vous êtes forcés de révéler votre mot de passe.

Certaines vérités difficiles à accepter à propos des communications sur l’Internet

La vérité sur l’anonymat en ligne est que vous ne pouvez pas vraiment garder vos activités totalement privées. Aujourd’hui, il n’existe plus d’anonymat sur Internet sauf si vous prenez des mesures spécifiques extrêmement lourdes et difficiles à appliquer pour masquer votre identité, votre usage et vos communications.Quelqu’un, quelque part sera toujours en mesure de surveiller vos activités en ligne pour différentes raisons.

Selon le droit communautaire européen sur la conservation des données, les fournisseurs d’accès à internet (ISP) et les opérateurs téléphoniques doivent stocker la totalité de vos données pour les fournir, en cas de demande, aux services de sécurité ou aux autorités judiciaires. Le lundi 19 Janvier 2015, un article révélait qu’une agence de renseignement britannique avait récolté des milliers de courriels de journalistes travaillant pour des médias internationaux.

Même s’il est pratiquement très difficile de protéger ses communications dans un environnement numérique, il existe cependant quelques mesures que vous pouvez prendre pour protéger la confidentialité de vos courriels, vos conversations sur une messagerie instantanée ou vos discussions  audio ou vidéo.

  1. Chiffrez / Cryptez la totalité de vos courriels. Vous pouvez télécharger des modules complémentaires sur votre navigateur Firefox ou Chrome (comme Mailvelope) pour crypter vos e-mails afin que personne (en dehors évidemment de vous-même et de votre destinataire) ne puisse lire vos messages. Pour l’instant, Mailvelope ne crypte que le contenu des messages et pas les fichiers attachés.
  2. Sécurisation des conversations instantanés audio ou vidéo. Les plates-formes les plus populaires de messagerie instantanée (comme Skype, Facebook Chat, Google Hangout, etc.) sont détenus par de grandes entreprises dont la réputation est plus que douteuse en matière de respect de la vie privée des utilisateurs. Pour préserver la confidentialité de vos conversations, vous devez utiliser des outils alternatifs efficaces qui se basent sur la technologie “peer-to-peer” (comme Cryptocat, Jitsi, talky.io, Whispersystems, etc.). Pour lire un résumé des atouts de chaque plateforme, vous pouvez visiter le site de l’Electronic Frontier Foundation qui a audité tous les dernières plates-formes de messagerie sécurisé audio et vidéo.
  3. Avez-vous déjà entendu un collègue dire qu’il préfère mettre son téléphone portable dans le réfrigérateur afin d’éviter les oreilles indiscrètes ? Non, ce n’est pas une blague. Nos appareils mobiles peuvent être activés à distance et utilisés comme des outils d’espionnage à notre insu. Nous ne pouvons plus rester anonyme en utilisant nos téléphones mobiles car même éteint nos appareils envoient un signal pour indiquer son lieu. Dans de nombreux pays, vous devez fournir un document d’identité afin d’acheter une carte SIM. La société WhisperSystems a développé une application pour les utilisateurs de smartphones afin de garantir la confidentialité des messages et des emplacements des usagers.
  4. Comment faire pour contourner la censure sur Internet ? Dans les pays où la censure est une pratique habituelle pour opprimer les journalistes ou les voix critiques, l’accès à l’information ou aux moyens de communication peut être un problème pour les journalistes. Aujourd’hui, il existe des moyens techniques faciles à utiliser pour contourner la censure. Vous pouvez louer un réseau privé virtuel (VPN) pour crypter et rediriger la totalité de votre usage sur internet.
  5. Certains journalistes utilisent des adresses e-mails temporaires pour rester anonyme.
  6. La navigation privée grâce à TOR est également utilisée pour faire des enquêtes sur des réseaux dangereux.

Plus d’informations sur la cybersécurité?

https://securityinabox.org
https://www.level-up.cc
http://saferjourno.internews.org/pdf/SaferJourno_Guide.pdf
https://learn.equalit.ie

Logiciels de stockage des mots de passe http://keepass.info
Serveur sécurisé pour vos sauvegardes http://mega.co.nz
Chiffrement des courriels avec Firefox ou Chrome https://www.mailvelope.com/
Electronic Frontier Foundation https://www.eff.org
Sécuriser vos communications sur vos mobiles https://whispersystems.org/