Journalistes : Sept réflexes de sécurité numérique à adopter

La cybersurveillance constitue plus que jamais une menace. Et de nouvelles formes de censures, mises en oeuvre par des armées de trolls rémunérés par des régimes autoritaires se développent. C’est le cas du double switch par exemple, qui consiste à prendre possession du compte d’un journaliste pour y diffuser de fausses informations, et ce dans le cadre de campagnes de décrédibilisation des journalistes visant à censurer l’information indépendante.

Face à ces nouvelles menaces, RSF préconise une vigilance accrue, qui passe par l’adoption d’outils simples, mais aussi l’acquisition de bons réflexes. Les quelques recommandations détaillées ici n’ont pas vocation à être exhaustives, ni de proposer des outils qui réduiraient à néant le risque de surveillance ou de prise de contrôle de vos comptes par un tiers. Les technologies évoluent rapidement et les conseils prodigués aujourd’hui ne seront plus forcément pertinents demain.

1 - La méfiance est le maître-mot !

• Eviter les regards indiscrets.
• Ne pas travailler dos à une fenêtre.
• En voyage, appliquer un filtre de confidentialité sur son écran, pour restreindre la vision latérale.
• Ne pas se séparer de son matériel.
• Se munir d’un cache webcam.
• Ne pas télécharger de fichiers ou ne pas cliquer sur des liens envoyés par des expéditeurs inconnus. Les attaques par phishing personnalisé sont nombreuses.
• Vérifier soigneusement l’adresse mail ou la présence en ligne de ceux qui partagent un lien avec vous. En cas de doute, vérifier l’identité de l’expéditeur auprès d’autres contacts ou par l’intermédiaire d’un moteur de recherche.
• Toujours faire des recherches sur les outils ainsi que sur le contexte dans lequel ils sont utilisés.

2 - Mot de passe : sécurisez vos connexions

• Protéger sa session par un mot de passe.
• Choisir une phrase de passe plutôt qu’un mot de passe.
• Créer une phrase qui comprend des chiffres, des minuscules et des majuscules afin d’obtenir une chaîne de caractères relativement complexe mais en même temps plus facile à mémoriser qu’un mot de passe court mais abstrait (chiffres + caractères spéciaux).
• Utiliser une phrase de passe différente par service en ligne.
• Utiliser un gestionnaire de phrases de passe. Par exemple, LastPass est un gestionnaire de mots de passe disponible sous forme d’extension pour Firefox, Chrome et Safari. Il permet d’enregistrer l’ensemble de ses phrases de passe.
• En cas de doute, vérifier la robustesse de son mot de passe ici.
• Privilégier la « validation en deux étapes ». Ce service permet de protéger un compte mail grâce à l’envoi d’un code sur le téléphone portable de l’utilisateur dès qu’il se connecte à la boîte de réception de sa messagerie. Sans téléphone portable, il est donc impossible d’accéder à ses mails. Au moment de se connecter sur Gmail, penser à cliquer sur le lien « détails », en bas de la page. Celui-ci ouvre une fenêtre affichant l’ensemble des connexions récentes à sa boîte mail, ce qui permet de déceler une activité suspecte. NB: des groupes criminels ou pirates informatiques à la solde d’un Etat peuvent se donner les moyens d’intercepter ce sms et donc, le cas échéant, de prendre possession des comptes des journalistes ciblés.
• Il est particulièrement conseillé, en tant que journaliste, de segmenter ses activités numériques et d’utiliser plusieurs adresses mails ; une perso, une pro, une pour les achats en ligne.
• Penser à se déconnecter dès que la tâche en cours est terminée.

3 - Protégez-vous des cyberattaques

• Les attaques en ligne, qu’elles visent à prendre possession d’un compte ou à s’en prendre à la réputation d’un journaliste, ont le même objectif : décrédibiliser le messager, pour tuer le message !
• Consulter les règles de confidentialité des réseaux sociaux, et nettoyer ses profils en gardant en tête que le détournement de contenu personnel trouvé en ligne et notamment sur les réseaux sociaux (doxxing) est de plus en plus utilisé dans des campagnes de harcèlement menées contre les journalistes.
• Utiliser un antivirus ET un anti-malware (tel que Malwarebytes).
• Activer le firewall (pare-feu).
• Maintenir le système d’exploitation (Windows, Mac OSX, etc) à jour.
• Il est préférable qu’un média nomme plusieurs administrateurs et que leur profil ne soient pas directement identifiés à celui-ci, de façon à pouvoir conserver un accès à la page du média même si le profil d’un des journalistes qui l’administre se retrouve bloqué.

4 - Effacez vos traces numériques

• Vérifier sa présence sur Internet avec Namecheckr.
• Se déconnecter après avoir consulté sa boîte mail, son compte Facebook ou son compte Twitter.
• Effacer l’historique de navigation.
• Ne jamais stocker un mot de passe dans le navigateur. Penser à les effacer de la mémoire du navigateur une fois votre travail terminé.
• Supprimer les cookies. Le nettoyage de ces données se fait différemment selon les navigateurs. Un bon moyen d’éviter les impairs est d’utiliser le mode « navigation privée » de Firefox ou de Chrome.
• Pour un niveau avancé, vous pouvez utiliser le système d'exploitation Tails.

5 - Chiffrez vos accès aux services en ligne

• Utiliser des applications de messagerie comme Signal (sans oublier de suivre l’actualité des vulnérabilités de ces applications).
• Flowcript est un module complémentaire Chrome et Mozilla qui peut permettre de chiffrer les conversations instantanées de bout en bout.
• Privnote et ZeroBin sont des sites permettant de créer des url vers des messages chiffrés pouvant s’autodétruire après lecture.
• Pour téléphoner, via Internet, à ses sources: utiliser Jitsi Meet, le «Skype du libre» par exemple.

6 - Sécurisez votre navigation

• Installer un VPN afin de chiffrer ses connexions sur Internet.
• Installer le navigateur Tor Browser qui permet de naviguer de manière anonyme.

7 - En milieu hostile, votre téléphone peut devenir votre pire ennemi :

• Ne pas utiliser les vrais noms de ses contacts dans ses répertoires téléphoniques mais leur attribuer des numéros ou des pseudonymes, pour éviter que des tiers (police, groupes armés…) puisse accéder à l’ensemble de votre réseau à partir de votre téléphone ou votre carte SIM.
• Prendre des cartes SIM de rechange lorsqu’elles risquent d’être confisquées (manifestations, passage de frontière, de check points....) S’il s’avère nécessaire de se débarrasser d’une carte SIM, essayer de la détruire physiquement.
• Si l’appareil le permet, verrouiller son téléphone avec un mot de passe. Ne pas conserver le code SIM par défaut, le changer et verrouillez la carte SIM avec ce code.
• Penser à activer le mode avion de son téléphone dans des situations où les forces de sécurité peuvent cibler les personnes disposant d’un téléphone portable (manifestations, situation d’insurrection ou possibilité de répression…) Les autorités peuvent demander les enregistrements d’appels, de SMS ou de données téléphoniques de tout individu qui se trouvait à un endroit donné, à un moment donné, afin de procéder à des arrestations en masse.
• Désactiver les fonctions de géolocalisation des applications à moins d’utiliser volontairement cette fonction. Dans le cas d’utilisation d’un téléphone portable pour diffuser de la vidéo en streaming live, penser à désactiver les fonctions de GPS et de géolocalisation.
• Sur un téléphone doté du système d’exploitation Android, possibilité d’utiliser de nombreux outils pour chiffrer sa navigation internet, ses chats, SMS et messages vocaux via les outils créés par le Guardian Project et Signal. Pour accéder au Web à partir d’un portable, utiliser HTTPS Everywhere.