Les journalistes se mobilisent pour rester pertinents en raison de la surveillance totale

Guide de confidentialité pour les journalistes
S'il vous plaît partager cette histoire!

La surveillance omniprésente et la menace imminente de découverte ont bouleversé l'industrie du journalisme, mais les journalistes ont trouvé le moyen de riposter. La bataille entre la technocratie et l’humanité se poursuivra sous la forme d’une guerre des esprits pour se contrarier  Éditeur TN

1. Introduction

De nombreux journalistes chevronnés, mais pas seulement ceux-ci, ont sûrement remarqué que nous sommes soudainement bombardés à nouveau par des mentions de Watergate. Des livres comme 1984 de George Orwell sont exposés dans les librairies et un air de danger pour la liberté d'expression et la liberté de la presse se répand lentement comme un nuage noir sur l'hémisphère occidental, suscitant de vieilles craintes.

Quand un président américain en exercice accuse un ancien président de surveillance; lorsqu'il empêche les médias centraux des États-Unis d'accéder - jusqu'à présent, toujours accordé et tenu pour acquis - aux conférences de presse qu'il tient; et quand il frappe sans cesse et accuse les médias d'être l'ennemi numéro un du pays, il n'est pas étonnant que les souvenirs du président Nixon ressortent avec chaque tweet apeurant sur SNL, et que même des sénateurs républicains comme John McCain expriment leur peur pour l'avenir de la démocratie.

Et McCain n'est pas seul. De nombreux journalistes avec lesquels j'ai parlé récemment ont exprimé leur préoccupation pour tout ce qui reste à faire pour la liberté de la presse. À un moment où il est possible d'exprimer la déclaration suivante - «Donald Trump contrôle la NSA» - et de ne pas être considéré comme un menteur, tout est possible. Ajoutez à cela le fait que les nouvelles récentes sur la CIA nous ont appris que presque tous les systèmes de cryptage peuvent être compromis, si quelqu'un a la persévérance de le craquer - et que vous êtes sur le point d'imaginer un monde totalement dystopique, où vous ne pouvez même pas vous sentir trop à l'aise sur votre canapé, devant votre propre téléviseur intelligent.

La bonne nouvelle est qu’il est néanmoins possible d’empêcher qui que ce soit d’essayer d’intercepter vos courriels, vos messages texte ou vos appels téléphoniques. Vous pouvez prendre des mesures pour rendre la vie de ceux qui veulent découvrir vos sources et les informations qui vous sont révélées beaucoup plus difficile. Bien entendu, les efforts que vous êtes prêt à déployer pour protéger votre vie privée, l'anonymat de vos sources et la sécurité de vos données doivent être proportionnels à la probabilité d'une menace réelle, que ce soit le piratage ou l'espionnage..

"Les promesses à l'ancienne - je ne vais pas révéler l'identité de ma source ni rendre mes notes - sont plutôt vides si vous ne prenez pas de mesures pour protéger vos informations de manière numérique", a déclaré Barton Gellman du Washington Post, dont source, ancien sous-traitant de la NSA, Edward Snowden, a aidé son intervieweur à découvrir l'étendue des activités de la NSA et du GCHQ britannique Tony Loci. Loci elle-même, qui a couvert le système judiciaire américain pour AP, le Washington Post et USA Today, et a elle-même été reconnue coupable d'outrage au tribunal pour avoir refusé de déterminer les sources, serait probablement d'accord avec cela.

[the_ad id = "11018 ″]

Alors, que faut-il faire pour s'assurer que les sources et les données d'un journaliste sont bien sécurisées? Grosso modo, les conseils peuvent être décrits comme relevant des catégories suivantes:

  1. Sécurisation des applications et des fonctions sur l'appareil- Ceci est connu comme réduisant la "Surface d'attaque", c’est-à-dire limiter les applications installées au strict minimum, installer uniquement à partir de sources fiables, sélectionner des applications ne requérant que des droits minimaux, conserver le système entièrement corrigé et mis à jour et disposer autant de contrôles de sécurité (basés sur les livres blancs sur les meilleures pratiques les plus récents) sur le serveur. dispositif.
  2. Isoler vos appareils et / ou leur environnement- Par exemple, l'isolation physique d'un ordinateur à des fins de vérification de fichiers ou l'utilisation de périphériques mobiles prépayés.
  3. Agir avec prudence tant dans le monde numérique que réel- Cela a beaucoup à voir avec le bon sens et un peu moins avec le logiciel: par exemple, n'écrivez jamais le nom de la source, certainement pas dans une application ou un document stocké sur votre ordinateur - et très certainement pas dans tout ce qui est stocké sur le nuage.

2. Communiquer avec votre source et
sauvegarde des données sensibles

Commençons par énumérer ce que vous pouvez faire pour communiquer avec une source et stocker les informations sensibles obtenues:

  1. Méfiez-vous des grands noms: Supposons que les systèmes de cryptage des grandes entreprises et peut-être même les grands systèmes d'exploitation (logiciels propriétaires) ont des portes dérobées auxquelles les services secrets de leur pays d'origine (du moins aux États-Unis et au Royaume-Uni) peuvent accéder. Bruce Schneier, expert en sécurité, explique-t-il ici.
  2. Toujours tout chiffrer: Les experts en sécurité utilisent des calculs mathématiques simples pour faire valoir leur point de vue: au fur et à mesure que vous augmentez le coût de déchiffrement de vos fichiers (par exemple, pour des agences de renseignement comme la NSA), vous augmentez automatiquement le niveau d'effort consacré à votre suivi. Si vous n'êtes pas Chelsea Manning, Julian Assange ou Edward Snowden et si vous n'avez pas participé à la surveillance active autour des appartements Trump Tower, ils peuvent abandonner l'effort même si vos communications cryptées ont été stockées. Et si quelqu'un décide de vous suivre malgré vos efforts, vous aurez davantage mal à la tête si vous utilisez un cryptage fort comme AES (Advanced Encryption Standard) et des outils tels que PGP ou openVPN, qui sont les méthodes de cryptage les plus puissantes et largement disponibles (les VPN sont utilisés par gouvernement américain lui-même). Mais si vous voulez une sécurité à toute épreuve, vous aurez besoin de plus que la méthode de cryptage AES. PS si vous voulez découvrir l'année où vos informations ont atterri aux mains de la NSA, jetez un coup d'oeil ici.
  3. Effectuer un cryptage complet du disque: Ceci est fait au cas où quelqu'un mettrait la main sur votre ordinateur ou votre téléphone. Le chiffrement intégral du disque peut être effectué avec FileVaultVeraCryptor BitLocker. Mettre un ordinateur en veille (au lieu d’arrêter ou de mettre en veille prolongée) peut permettre à un attaquant de contourner cette défense. Ici, Mika Lee donne un guide complet pour le cryptage de votre ordinateur portable.
  4. Évitez de discuter avec des sources au téléphone: Toutes les compagnies de téléphone stockent les données relatives à l'appelant et aux numéros du destinataire, ainsi que l'emplacement des appareils au moment où les appels ont été effectués. Aux États-Unis et dans plusieurs autres pays, la loi leur impose de divulguer des informations sur les appels enregistrés en leur possession. Que peut-on faire? Vous devez utiliser un service d'appel sécurisé, tel que celui que l'application Signal - dont la sécurité a été testée à plusieurs reprises - possède. Bien que cela puisse signifier que la source et l'éditeur doivent également télécharger l'application, le processus ne prend que quelques minutes. Voici une guide sur la façon de l'utiliser. Rien que pour le jeu, vérifiez combien de vos amis non journalistes traînent dans le pays. Quel que soit votre choix, vous ne communiquerez pas avec votre source, n'apportez pas votre téléphone portable lors de réunions sensibles. Achetez un appareil jetable et trouvez un moyen de transmettre son numéro à la source à l'avance. La source doit également disposer d'un dispositif sécurisé jetable. Les autorités peuvent suivre votre mouvement grâce aux signaux du réseau cellulaire. Il est donc conseillé de leur éviter de vous localiser rétroactivement dans le même café où la source était assise. Si vous ne respectez pas cette règle, toutes les autorités locales seront tenues de demander (poliment et légalement) la vidéo filmée par la caméra de sécurité du café au moment de votre réunion.
  5. Choisissez des messagers sécurisés: vos appels (cellulaires et via des lignes fixes) peuvent être surveillés par les forces de l'ordre et chaque SMS est comme une carte postale - tout le texte est entièrement visible pour ceux qui peuvent l'intercepter. Par conséquent, utilisez des messagers qui permettent un appel sécurisé de bout en bout: le signal, qui a déjà été mentionné ci-dessus, et Telegram sont considérés comme les plus sûrs (bien que Telegram ainsi que les applications Web de WhatsApp aient été compromis une fois puis corrigés). Selon certains experts, vous pouvez également envisager d'utiliser SMSSecure, Threema et même Whatsapp.Le protocole de signal a été effectivement implémenté dans WhatsAppFacebook Messenger et Google Allo, en cryptant les conversations les utilisant. Cependant, contrairement à Signal et WhatsApp, Google Allo et Facebook Messenger ne chiffrent pas par défaut, ni ne notifient aux utilisateurs que les conversations ne sont pas chiffrées. Ils proposent un chiffrement de bout en bout en mode facultatif. N'oubliez pas que Facebook messenger et WhatsApp appartiennent tous deux à Facebook.Adium et Pidgin sont les clients de messagerie instantanée les plus populaires sur Mac et Windows, qui prennent en charge le protocole de cryptage OTR (Off the Record) et Tor, le meilleur navigateur crypté du Web. nous verrons plus tard en détail (Voir comment activer Tor dans Adium ici et en pidgin ici). Naturellement, vous pouvez également utiliser Tor Messenger lui-même, qui est probablement le plus sûr de tous. Deux dernières notes sur l'envoi de SMS: Un expert en cyber sécurité avec qui j'ai discuté a déclaré que vous devriez également avoir une hypothèse de travail selon laquelle le texte est crypté, mais le fait que ces deux personnes parlent, pour le moment, pourrait ne pas passer inaperçu. La deuxième remarque est que vous devez également vous rappeler de supprimer les messages de votre téléphone (bien que cela puisse ne pas suffire à résister à une vérification judiciaire), juste au cas où votre appareil tomberait entre de mauvaises mains, éviter d'exposer Eux.
  6. N'utilisez pas de chats organisationnels: Slack, Campfire, Skype et Google Hangouts ne doivent pas être utilisés pour des conversations privées. Elles sont faciles à percer et sont exposées aux demandes de divulgation à l’usage des tribunaux pour résoudre les problèmes juridiques sur le lieu de travail. Par conséquent, il est préférable de les éviter, non seulement lorsqu'il s'agit de conversations avec des sources, mais également de conversations entre collègues, éditeurs, etc., lorsque vous devez transmettre des informations reçues de votre source, dont l'identité doit être dissimulée. De nombreux services de voix sur IP tels que Jitsi ont des fonctionnalités de discussion intégrées, et plusieurs d'entre eux sont conçus pour offrir la plupart des fonctionnalités de Skype, ce qui en fait un excellent remplacement.
  7. Dans les cas extrêmes, envisagez d’utiliser un Blackphone: Ce téléphone, qui s'efforce de fournir une protection parfaite pour la navigation sur le Web, les appels, les SMS et les courriels, est probablement le meilleur substitut pour un téléphone ordinaire si vous êtes sur le point de renverser votre gouvernement ou de vous préparer à publier des fichiers militaires secrets. Un gilet anti-balles peut aussi être utile. Sinon, essayez de vous passer d'un téléphone cellulaire ou optez pour un sac de blocage du signal RFID d'un téléphone cellulaire. Il existe toujours une option selon laquelle même le Blackphone peut être suivi à l'aide de son IMEI (l'identifiant du téléphone portable).
  8. Protéger les données sur votre ordinateur: Il est très facile de casser des mots de passe normaux, mais cela peut prendre des années pour casser des phrases secrètes, c'est-à-dire des combinaisons aléatoires de mots. Nous vous recommandons d'essayer des outils de gestion de mots de passe sécurisés tels que: LastPass, 1Password et KeePassX. Vous aurez besoin de ne retenir qu'un seul mot de passe, par opposition à trop de mots de passe. Et quand même, lorsque vous manipulez des services importants tels que votre courrier électronique, ne vous fiez pas aux gestionnaires de mot de passe: assurez-vous simplement de vous souvenir du mot de passe. entretien Arjen Kamphuis, expert en sécurité de l'information, a recommandé à Alastair Reid de journalism.co.uk que, pour les disques durs cryptés, la messagerie sécurisée et le déverrouillage des ordinateurs portables, il convient de choisir un mot de passe supérieur à 20. Bien sûr, plus le mot de passe est long, plus il est difficile de déchiffrer - mais plus il est difficile de se souvenir aussi. C'est pourquoi il recommande l'utilisation d'un mot de passe. "Cela peut être n'importe quoi, comme une ligne de votre poésie préférée", dit Kamphuis, "peut-être une ligne de quelque chose que vous avez écrit à l'âge de neuf ans et que personne d'autre ne saura". Reid raconte ce calcul incitant à la réflexion, en utilisant Calculateur de force de mot de passe de Gibson Research Corporation: Un mot de passe du type «F53r2GZlYT97uWB0DDQGZnXXXXXXUMXe» semble provenir d’un générateur de mots de passe aléatoires, prenant en réalité cent milliards de milliards de siècles pour épuiser toutes les combinaisons, même lorsque le logiciel fabrique cent trillions de secondes.
  9. Authentification à deux facteurs est également une très bonne idée. Lors d'une authentification classique en deux étapes, vous vous connectez avec votre mot de passe et recevez un deuxième code, souvent via un message texte sur votre smartphone. Vous pouvez utiliser Yubikey, ainsi que des jetons matériels pour sécuriser davantage les fichiers sensibles sur votre ordinateur. Pour plus d'informations, lisez le Règles d'or 7 pour la sécurité des mots de passe.
  10. Attribuez un ordinateur pour inspecter les fichiers / pièces jointes suspects: Le moyen le plus simple de distribuer les logiciels malveillants et les logiciels espions consiste à installer via USB, des pièces jointes et des liens de messagerie. Il est donc recommandé d'utiliser un seul ordinateur doté d'une barrière d'aération pour examiner ces menaces en quarantaine. Avec cet ordinateur, vous pouvez utiliser librement une clé USB et télécharger des fichiers sur Internet, mais ne les transférez pas sur votre ordinateur classique et ne réutilisez pas cette clé USB.
  11. Comment acheter votre propre ordinateur sécurisé: Arjen Kamphuis, expert en sécurité recommande achat d'un IBM ThinkPad X2009 ou X60 antérieur à 61. Ce sont les seuls ordinateurs portables assez modernes dotés de systèmes logiciels modernes, qui permettent de remplacer des logiciels de bas niveau. Un autre point à prendre en compte est que vous ne devez pas acheter votre ordinateur en ligne car il pourrait être intercepté lors de la livraison. Kamphuis recommande de l’acheter dans un magasin d’occasion. Il souligne également que vous devez supprimer toute connectivité: supprimez toutes les fonctionnalités Ethernet, modem, Wi-Fi ou Bluetooth. Personnellement, je connais des experts en sécurité qui ne feraient pas confiance à un tel ordinateur.

Vous pouvez voir la version PDF du livre électronique de ce guide ici.

Lire l'histoire complète ici…

S'abonner
Notifier de
invité

1 Commentaire
Le plus ancien
Date Les plus votés
Commentaires en ligne
Voir tous les commentaires
Sharon Maclise

Est-ce que vous plaisantez? Qui a le temps, l'argent et l'énergie pour passer à «écrire» chaque syllabe que vous écrivez ou parlez? Quand la vie obtient ce complexe qui veut plus du tout participer? Les ordinateurs ne sont plus des appareils utiles mais une source de misère qui prend le temps et l'esprit. Nous sommes tous obligés de les utiliser car aucune entreprise, aucune organisation n'est disposée à fournir un service si le client ne veut pas les utiliser. La technologie a tant promis et n'a rien apporté de plus qu'un piège moral et mental. Un fléau sur toutes leurs maisons!