Un exemple de clé PGP pour le chiffrage de courrier électronique (capture écran). © DR
Lanceurs d’alerte, journalistes, activistes et citoyens: nous avons tous le droit de communiquer dans le respect de l’anonymat. Recettes pour se protéger des yeux et des oreilles de tous les Big Brothers.
Vous avez des fichiers secrets à divulguer ? L’âme d’un lanceur d’alerte ? A l’heure des scandales en série d’écoutes électroniques et des dernières révélations Vault 7 de Wikileaks, il n’est pas trop tard pour (re)prendre ses précautions avec ses appareils électroniques, surtout mobiles. Comme disait l’un des plus fameux lanceurs d’alerte, Edward Snowden, « les appareils sans fil sont pour moi un peu comme la kryptonite ». Autrement dit, tout gadget électronique est potentiellement un espion qui nous traque. Même ceux qui sont censés veiller sur nous peuvent facilement être détournés à notre insu en instruments de surveillance. Gare à l’Internet des objets !
Soyez prudent
Côté DiY, pas besoin d’être un bricodeur émérite pour appliquer les simples mesures de bon sens qui protègent des trous de sécurité du matériel : couvrez avec du ruban adhésif la caméra et le microphone (au repos) de vos appareils connectés, et même l’indicateur LED du disque dur de l’ordinateur. Les plus paranos baisseront les stores des fenêtres et débrancheront les machines.
Soyez anonyme
Etre anonyme dans ses recherches et communications électroniques, c’est être invisible. Cependant, plus on se cache, plus ça devient compliqué. En 2013, Snowden avait même dû élaborer un tutoriel vidéo complexe sur PGP (le logiciel de cryptographie) pour apprendre aux journalistes à recevoir ses informations par e-mail en toute confidentialité. Depuis, heureusement, un certain nombre d’outils sont devenus plus accessibles au grand public.
1 – Installez Tails
Tails est un système d’exploitation live qu’on peut démarrer sur n’importe quel ordinateur (même un Raspberry Pi), sur une clé USB ou une carte SD, et qui ne laisse aucune trace sur l’ordinateur utilisé. Ce logiciel libre a été conçu spécialement pour fonctionner en symbiose avec Tor (voir ci-dessous) pour assurer votre sécurité en ligne en effaçant tout derrière lui. Il est donc fortement recommandé de l’installer sur un support différent de l’appareil que vous utilisez au quotidien. D’ailleurs, on vous conseille d’isoler autant que possible vos communications de lanceur d’alerte de vos activités en ligne habituelles.
2 – Utilisez Tor
L’anonymat commence par la protection de sa propre machine, afin de masquer son identité lors des communications. Tor est un réseau ouvert et distribué qui brouille les pistes en permanence de façon à empêcher toute association entre les utilisateurs (via leur adresse IP) et les informations envoyées, qui en plus sont chiffrées de bout en bout.
Le réseau Tor, expliqué par le Tor Project:
Pour y accéder, utilisez le navigateur Tor Browser, livré avec le système Tails ou à télécharger sur le site de Tor ou son miroir Github, notamment en farsi, turc ou chinois. Si vous l’utilisez sur un appareil mobile, il est disponible sous le nom d’Orbot pour Android ou Onion pour IOS.
Tor n’est pas infaillible, rappelle le célèbre hacker Kevin Mitnick : « Vous n’avez aucun contrôle sur les nœuds de sortie qui pourraient être sous le contrôle du gouvernement ou de l’application de la loi, vous pouvez toujours être profilé et éventuellement identifié, et Tor est très lent. »
Attention également au fait que tout accès anonyme à l’Internet côtoie le Darknet, où règnent nombre de marchés illicites, d’activités malveillantes et autres contenus « alternatifs ». N’empêche, Tor pénètre également le mainstream en portant des services associés directement à la confidentialité et à la vie privée informatique de façon plus transparente.
3 – Passez par Securedrop
Si vous avez un redoutable secret à partager en tout anonymat avec les médias, ce projet phare de la Freedom of the Press Foundation (présidé par Snowden) vous facilite la tâche. Securedrop est un système open source (initié par Aaron Swartz) qui permet la communication et l’envoi de documents en toute confidentialité entre une société de presse et une source anonyme. Ce système n’exige du lanceur d’alerte, une fois Tor Browser installé et activé, que de mémoriser son nom de code unique.
En supposant que vous ayez des fichiers sulfureux à passer à la presse, commencez par cibler un média qui utilise Securedrop (une liste non exhaustive est affichée ici). Dans Tor Browser, saisissez l’adresse .onion de la société choisie et suivez les instructions sur son site. Le processus est détaillé par ici.
En attendant que les médias francophones s’y mettent, côté anglo-saxon, des titres comme le New York Times, le Washington Post ou The Intercept proposent leurs propres méthodes et options pour recevoir confidentiellement des informations et documents. Des modus operandi nécessaires : pour assurer le chiffrage de bout en bout des données, les deux côtés (émetteur-récepteur) doivent recourir au même système.
4 – Achetez un téléphone jetable
Au cas où vous voudriez communiquer anonymement avec un interlocuteur qui n’aurait pas mis en place de système confidentiel, ou que vous préféreriez tout simplement une solution plus old school, relativement low-tech et à usage éphémère : achetez un téléphone jetable sans abonnement. Cet appareil bas de gamme servira uniquement pour vos communications de lanceur d’alerte. Et bientôt vous pourrez ajouter à la liste des burner phones proposée par Wired le modèle d’Iphone 6 modifié par Snowden avec l’hacktiviste sino-américain Bunnie Huang.
Pour l’acheter, allez de préférence dans un petit magasin, où personne ne vous connaît, payez en liquide et activez-le sur un réseau sans fil ouvert, si possible en utilisant Tails et Tor. Passez votre appel, envoyez vos textos, puis débarrassez-vous discrètement de l’objet incriminant.
Encore plus simple, mais moins sécurisé, et toujours en clair, pour des communications plus limitées : installez une application mobile comme Burner sur votre mobile Android ou IOS pour générer un numéro local anonyme à usage unique que vous supprimerez par la suite.
Soyez indéchiffrable
Chiffrer ses textos sur un smartphone ordinaire (et donc pas forcément anonyme), c’est peut-être plus simple que vous ne le croyez. Si vous êtes parmi le milliard d’utilisateurs du service de messagerie Whatsapp, vous avez déjà un système de chiffrage de bout en bout par défaut dans la poche. Au Japon, l’omniprésent Line offre la même protection à son réseau d’utilisateurs. D’autres services comme Peerio chiffrent vos communications et vos données jusque dans le cloud.
Toujours sur mobile, l’application Signal (pour Android, IOS ou extension Google Chrome) est le dernier chouchou des médias, la plus sophistiquée des applis actuellement disponibles, et sera très probablement la plateforme préférée de notre futur chiffré. Contrairement aux autres services propriétaires, Signal ne possède aucune information sur l’utilisateur et ne conserve aucune métadonnée de ses communications (texte, audio, photo, vidéo). Il garantit aussi la destruction automatique des messages sur les appareils des deux côtés de l’échange.
Signal est soutenu financièrement par la Freedom of the Press Foundation, il a été développé par le cypherpunk Moxie Marlinspike, qui l’a conçu pour faciliter la désobéissance civile. Sa technologie est celle qui, parfaitement intégrée à Whatsapp, est déjà utilisée par une bonne partie de la population mondiale.
La leçon pour lanceurs d’alerte de la Freedom of the Press Foundation