Journalistes, protégez vos données et vos communications
Afin de lutter efficacement contre la surveillance et la censure, les journalistes, qu’ils soient professionnels ou non, peuvent recourir aux logiciels développés par des organisations de la société civile et mettre en œuvre des mesures concrètes grâce aux guides de cybersécurité disponibles en ligne. RSF a de son côté mis à jour en 2015 son Guide pratique de sécurité en y intégrant de nombreux conseils pratiques en matière de cybersécurité.
Les consignes résumées ci-dessous, valables tant pour votre ordinateur que pour votre smartphone, ne prétendent pas à l’exhaustivité. Reporters sans frontières organise régulièrement des sessions de formation à la cybersécurité et propose des tutoriels gratuits.
Attention : faites toujours des recherches sur les outils que vous vous apprêtez à utiliser et les techniques que vous allez mettre enœuvre. Les technologies évoluent rapidement et les conseils prodigués aujourd’hui sont susceptibles de ne plus l’être demain !
Comportement général en ligne
Avant même de penser à sécuriser son ordinateur ou à installer des logiciels permettant de chiffrer ses communications ou ses données, il convient d’adopter une bonne hygiène numérique en respectant quelques conseils de bon sens qui vous éviteront de voir votre compte mail ou votre ordinateur piratés. Avant même de penser à sécuriser son ordinateur ou à installer des logiciels permettant de chiffrer ses communications ou ses données, il convient d’adopter une bonne hygiène numérique en respectant quelques conseils de bon sens qui vous éviteront de voir votre compte mail ou votre ordinateur piratés.
Évitez les regards indiscrets.
- Évitez de travailler dos à une fenêtre.
- En voyage, dans le train ou en avion, appliquez un filtre de confidentialité sur votre écran. Le filtre de confidentialité est une feuille transparente qui, une fois appliquée sur votre écran, restreint la vision latérale. Ainsi seule la personne située en face (vous) est capable de voir l’écran.
- Lors de vos déplacements, dans la mesure du possible, évitez de vous séparer de votre matériel. Cela permet d’éviter qu’un individu malveillant ne puisse récupérer des fichiers de votre ordinateur ou ne puisse y introduire un cheval de Troie.
- Tous les systèmes d’exploitation (Windows, MacOs et Linux) permettent de protéger votre session avec un mot de passe. Vous devez utiliser cette fonctionnalité.
- Ne téléchargez pas de fichiers ou ne cliquez pas sur des liens qui vous sont envoyés par des expéditeurs inconnus.
- Vérifiez soigneusement l’adresse mail ou le compte Twitter de ceux qui partagent un lien avec vous. En cas de doute, vérifiez l’identité de l’expéditeur auprès d’autres contacts ou par l’intermédiaire d’un moteur de recherche.
- Si un fichier et l’expéditeur vous semblent suspects, contactez des experts qui pourront vous aider. Citizen Lab est un organisme qui analyse les virus envoyés par des dissidents ou activistes et les aide à mieux se protéger.
Outre ces mesures, installez les logiciels suivants et activez les fonctions de protection intégrées à votre appareil :
- Utilisez un antivirus ET un anti-malware (tel que Malwarebytes)
- Activez votre firewall (pare-feu)
- Maintenez votre système d’exploitation (Windows, Mac OSX..etc) à jour
Traces numériques :
Si vous travaillez dans un cybercafé ou sur un ordinateur qui n’est pas le vôtre, veillez à ne pas laisser de traces une fois votre travail terminé :
- Si vous avez consulté votre boîte mail, votre compte Facebook ou votre compte Twitter, pensez à vous déconnecter.
- Effacez votre historique de navigation. Celui-ci comporte de nombreuses informations qui peuvent également permettre à un individu expert d’accéder à certains de vos comptes en ligne.
- Sur un ordinateur public, ne stockez jamais votre mot de passe dans le navigateur. Si par mégarde vous l’avez fait, pensez à les effacer de la mémoire du navigateur une fois votre travail terminé.
- Effacez les champs de formulaire.
- Supprimez les cookies.
Le nettoyage de ces données se fait différemment selon les navigateurs. Un bon moyen d’éviter
Messageries et accès aux services en ligne :
La plupart des services en ligne (Twitter, Facebook, WordPress, Tumblr, Skype etc.) permettent de récupérer un mot de passe perdu grâce à l’envoi d’un mot de passe dans votre boîte mail. Il est donc capital de protéger votre boîte mail le mieux possible. Si celle-ci est compromise, très souvent, c’est toute votre identité numérique qui le sera également.
Le service mail de Google, Gmail, permet de mettre en œuvre une sécurité supplémentaire :
la « validation en deux étapes ». Ce service permet de protéger votre compte mail avec :
- un nom d’utilisateur
- un mot de passe
- un code que vous recevrez sur votre téléphone portable chaque fois que vous vous connecterez sur votre boîte de réception.
Ainsi, sans votre téléphone portable, il est impossible d’accéder à vos mails.
Lorsque vous vous connectez sur votre boîte Gmail, pensez à cliquer sur le lien « détails », en bas de la page. Celui-ci ouvre une fenêtre affichant l’ensemble des connexions récentes à votre boîte. Vous serez ainsi à même de déceler une activité suspecte.
Vous devriez également chiffrer vos emails. Il existe aussi des outils de chiffrement très simples à utiliser, vous pouvez encourager vos sources à les utiliser pour converser avec elles de manière chiffrée :
Phrases de passe :
La longueur d’un mot de passe est le facteur principal de sa solidité. D’où le fait qu’on ne parle plus de « mots de passe », qui sont à proscrire, mais de « phrases de passe », seule méthode capable de résister à une « attaque par force brute ». Chaque fois que vous créez une phrase de passe :
- Créez une phrase dans laquelle vous incluez des chiffres, des minuscules et des majuscules afin d’obtenir une chaîne de caractères relativement complexe mais en même temps plus facile à mémoriser qu’un mot de passe court mais abstrait (chiffres + caractères spéciaux).
- Utilisez une phrase de passe différente par service en ligne.
- Utilisez un gestionnaire de phrases de passe. Par exemple, LastPass est un gestionnaire de mots de passe disponible sous forme d’extension pour Firefox, Chrome et Safari. Il permet d’enregistrer l’ensemble de vos phrases de passe.
Empreinte sur les réseaux sociaux :
Facebook et Twitter sont des outils très efficaces pour communiquer. Toutefois, vous devez veiller à contrôler les informations que vous donnez à voir au public. Ces tutoriels et services en ligne vous aideront à mieux contrôler votre présence en ligne :
- Vérifiez votre présence sur Internet avec Namecheckr.
- Sécurisez votre compte Twitter
- Gérez vos informations privées sur Facebook quand on partage un contenu.
Sécurisez votre navigation :
- Créez et utilisez un système codé pour communiquer avec vos sources et autres contacts. « Bippez » vos contacts pour communiquer (laissez sonner une fois ou deux le téléphone de votre correspondant et raccrochez aussitôt afin de lui indiquer que vous êtes bien arrivé à un endroit donné, ou que tout va bien par exemple).
- N’utilisez pas les vrais noms de vos contacts dans vos répertoires téléphoniques. Attribuez-leur des numéros ou des pseudonymes. De cette manière, si jamais les forces de sécurité saisissent votre téléphone ou votre carte SIM, elles ne disposeront pas de l’ensemble de votre réseau.
- Amenez des cartes SIM de rechange lors des manifestations si vous pensez qu’elles risquent d’être confisquées. Il est très important que vous ayez sur vous un téléphone portable qui fonctionne. Si jamais vous devez vous débarrasser de votre carte SIM, essayrez de la détruire physiquement.
- Si votre téléphone vous le permet, verrouillez votre téléphone avec un mot de passe. Toute carte SIM dispose d’un code PIN par défaut. Changez-le et verrouillez votre carte SIM avec ce code SIM. Un mot de passe (votre code PIN) vous sera demandé à chaque fois que vous utiliserez votre téléphone.
- Si vous pensez qu’une manifestation va se terminer par une forte répression des forces de sécurité, activez le mode avion de votre téléphone. Vous ne serez plus en mesure d’émettre ou de recevoir des appels mais vous pourrez toujours prendre des photos ou des vidéos et les uploader sur des sites internet plus tard. Cette tactique est également utile si vous pensez que les forces de sécurité vont cibler en priorité les personnes disposant d’un téléphone portable lors de la manifestation. Plus tard, le gouvernement pourra demander les enregistrements d’appels, de SMS ou de données téléphoniques de tout individu qui se trouvait à un endroit donné à un moment donné afin de procéder à des arrestations en masse.
- Désactivez les fonctions de géolocalisation de vos applications à moins que vous n’utilisiez cette fonction à des fins militantes en taggant certains médias lors d’un événement. Si vous utilisez votre téléphone portable pour diffuser de la vidéo en streaming live, désactivez les fonctions de GPS et de géolocalisation.
- Si votre téléphone fonctionne avec le système d’exploitation Android, vous pouvez utiliser de nombreux outils pour chiffrer votre navigation internet, vos chats, SMS et messages vocaux via les outils créés par le Guardian Project et WhisperSys. Lorsque vous utilisez votre portable pour accéder au Web, utilisez le https lorsque cela est possible.
Lutter contre la censure :
Certains outils présentés ci-dessus permettent de contourner la censure imposée par les autorités (anonymisation de la connexion, VPN, etc.). Pour aller plus loin :
- Consultez le site Collateral Freedom de Reporters sans frontières : pour contourner la censure technologique mise en place par des États irrespectueux des droits de l’Homme, RSF a utilisé un dispositif original fondé sur la technique du mirroring, consistant à dupliquer les sites censurés et à en héberger les copies sur des serveurs de géants du Web, tels Amazon, Microsoft ou Google.
- Visitez le site Circumvention Central, lancé par GreatFire (organisation à l’origine de l’initiative Collateral Freedom) pour en apprendre davantage sur les VPN.
- Consultez le site Security in-a-box de Tactical Tech et les articles d’Electronic Frontier Foundation pour mieux contourner la censure en ligne et rester anonyme.