https://jean-marc.manach.net/

Comment me contacter de façon sécurisée

Paradoxalement, et alors que l'opinion publique a découvert, grâce à Edward Snowden, l'ampleur et de la diversité des programmes et logiciels de cybersurveillance, il n'a jamais été aussi "facile" d'y communiquer de façon sécurisée.

L'"effet Snowden" a en effet révolutionné la notion de sécurité informatique : avant, ceux qui s'en préoccupaient (re)présentaient un "problème"; depuis, ils sont perçus comme faisant partie de la "solution"... & ça change tout !

De nombreux outils, logiciels, applications et services web ont depuis été développés pour permettre aux internautes en général (et aux lanceurs d'alerte en particulier) de pouvoir communiquer de façon sécurisée, voire anonyme... encore faut-il savoir comment procéder, et ne pas commettre d'erreur, ni d'impair.

Avant Snowden, il fallait être un "geek" pour pouvoir (apprendre à) communiquer de façon sécurisée. Depuis, Internet est de plus en plus sécurisé, par défaut, même et y compris chez les GAFAM : près de 70% des pages consultées par les utilisateurs du navigateur Firefox & plus de 70% des pages consultées par ceux de Google Chrome sont en effet chiffrées, et donc a priori indéchiffrables (le protocole HTTPS permet certes de savoir quel site web vous visitez, mais pas les pages que vous consultez en particulier).

"La sécurité est un processus, pas un produit"

Ayant été l'un des tous premiers journalistes, en France, à expliquer comment communiquer de façon sécurisée sur Internet, dès l'an 2000, je ne compte plus le nombre de lanceurs d'alerte qui m'ont depuis contacté, et que j'ai pu aider à rendre publics les faits qu'ils entendaient dénoncer, sans que jamais leur identité n'ait été révélée ni compromise.

Pour autant, apprendre à communiquer de façon sécurisée ne s'improvise pas : "la sécurité est un processus, pas un produit", pour reprendre la célèbre formule de Bruce Schneier, l'un des experts en sécurité informatique les plus réputés. Une chose est d'utiliser tel ou tel logiciel censé sécuriser vos télécommunications, une autre est de comprendre son "modèle de menace".

Le fait d'avoir acheté ou installé tel ou tel "produit" ou logiciel de sécurité peut en effet entraîner un "faux sentiment" de sécurité, de même qu'il ne sert à rien de se doter d'une porte blindée si on laisse ses fenêtre ouvertes... ce que j'avais tenté d'expliquer dans mon "petit manuel de contre-espionnage informatique" (voir aussi -et surtout- le plus récent "manuel de self-défense numérique" de l'Electronic Frontier Foundation, la pionnière des ONG de défense des libertés sur Internet).

L'informatique laisse des traces; et sur Internet, l'anonymat n'existe (presque) pas; tout juste pouvez-vous espérer y profiter de ce que j'avais qualifié, dans le "kit de survie numérique" de Reporters Sans Frontières (RSF) auquel j'avais contribué, de "1/4h d'anonymat", pour paraphraser Andy Warhol.

Il est cela dit "relativement" simple de me contacter de façon sécurisée (voire anonyme), de sorte que seuls vous et moi puissions déchiffrer les données échangées, parce qu'elles ont été chiffrées sur les terminaux que nous contrôlons (via ce que l'on qualifie de "chiffrement bout-en-bout"), et pas dans le "cloud" des services web qui, a contrario, peuvent y accéder.

Quel est votre "modèle de menace" ?

En sécurité informatique, on a coutume de dire que la principale faille se situe généralement entre la chaise et le clavier, ce pourquoi il est très important de bien comprendre, avant toutes choses, son "modèle de menace", de sorte de pouvoir comprendre les risques associés, et comment y parer. Je ne saurais que trop vous inviter à consulter ledit "manuel de self-défense numérique" de l'EFF.

L'une des principales "menaces", en l'espèce, serait qu'un logiciel espion ait été installé sur votre terminal (ordinateur fixe, portable, tablette ou smartphone). Ce qui est relativement simple à faire pour quelqu'un qui disposerait d'un accès "physique" audit terminal (employeur, collègue, conjoint, espion, que sais-je... sachant que vous avez a priori bien plus de probabilités d'être espionné par des "proches" que par des "espions", cf "De la surveillance de masse à la paranoïa généralisée", ou encore "Pour en finir avec la « surveillance de masse »").

Vous avez des doutes ? Privilégiez l'utilisation de votre smartphone ou tablette à celle de votre ordinateur : les logiciels espion conçus pour pouvoir infecter un iPhone ou un Android, à distance et sans être bloqués par les antivirus peuvent coûter plusieurs centaines de milliers de dollars... VS quelques dizaines voire centaines de dollars pour les logiciels espion ès-ordinateurs Windows -voire Mac (quoi, vous n'avez pas installé d'antivirus sur votre smartphone ?...).

NB : n'installez de logiciels sur vos smartphones que depuis l'App Store d'Apple et le Play Store de Google, paramétrez vos terminaux et ordinateurs pour les mettre à jour (tous les jours), & vérifiez les certificats de sécurité des "mises à jour" qui vous sont proposées -a fortiori depuis une connexion WiFi publique et non sécurisée.

PS : journaliste d'investigation, je ne relaie jamais de communiqué de presse. Merci.

Et donc concrètement, comment ?

En l'espèce, et en fonction de votre "modèle de menace", vous pouvez me contacter :

  • par e-mail [mm (at) rewriting (point) net], DM (message privé) sur LinkedIn, Twitter ou Facebook si ce que vous voulez partager avec moi ne pourrait vous être reproché.
    pros : simple, rapide
    cons : des officiers de police judiciaire ou services de renseignement pourraient potentiellement y accéder.

  • via Signal, l'application (gratuite) de messagerie sécurisée instantanée Android & iPhone, recommandée par Edward Snowden et Bruce Schneier (notamment), en m'envoyant des messages texte au +33755067370 (pas d'appel tel, SVP), si le fait que nos échanges soient chiffrés sur nos terminaux (et non dans le "cloud") vous semble suffisant pour les protéger.
    pros : simple, rapide, ne laisse pas traîner de méta-données
    cons : au cas (improbable, mais possible) où votre terminal serait infesté par un logiciel espion, nos échanges pourraient être interceptés.

  • en partageant les fichiers que vous voudriez me transmettre via NextCloud, un logiciel libre de partage sécurisé, en cliquant sur cette page. N'oubliez pas de m'indiquer un n° Signal (voire WhatsApp) et/ou une adresse email où je pourrais vous (re)contacter !!!
    pros : simple, rapide, permet le transfert sécurisé de fichiers
    cons : au cas (improbable, mais possible) où votre terminal serait infesté par un logiciel espion, votre envoi pourrait être intercepté. Pour plus d'anonymat, vous pouvez passer par le navigateur TOR, de sorte de masquer le fait que vous vous êtes connecté à "mon" cloud.

  • via ma clef OpenPGP / GPG si vous savez vous en servir (tip : PGP inline *ne chiffre pas* les pièces jointes, contrairement à S/MIME), et que vous êtes conscient des traces laissées par les méta-données qui y sont associées
    (fingerprint : E8C5 05B3 8394 E2F7 A627 86CB 2C2E F3F9 D5D2 6CCF)

  • via SecureDrop, qui a précisément été conçu pour garantir la sécurité et l'anonymat des lanceurs d'alerte les plus "à risque". C'est un peu plus compliqué, mais il n'y a pas plus sécurisé, à condition de suivre (et respecter) attentivement les explications qui suivent.

Qu'est-ce que SecureDrop ?

SecureDrop est un système spécialement conçu pour permettre à des lanceurs d'alerte de transmettre de façon anonyme, grâce au réseau Tor, des documents à des journalistes, mais également de leur permettre de continuer à communiquer de façon sécurisée.

SecureDrop a été développé par l'ONG Freedom of the Press Foundation (FPF), une ONG présidée par Edward Snowden et qui a été créée pour "soutenir et défendre le journalisme d'intérêt public axé sur la mauvaise gestion, la corruption et la violation des lois au sein du gouvernement" (notamment, le secteur privé étant également concerné), en aidant des lanceurs d'alerte à contacter des journalistes de façon anonyme et sécurisée.

SecureDrop ne conserve aucune trace des adresses IP, navigateurs, ordinateurs ni systèmes d'exploitation qui s'y connectent. Les messages sont bien évidemment chiffrés et le système est conçu de sorte qu'ils ne puissent être déchiffrés que depuis des ordinateurs qui ne sont pas -et n'ont jamais été- connectés à Internet (de sorte d'éviter tout risque de contamination). Son code source a déjà fait l'objet de quatre audits de sécurité. Vous pourrez en savoir plus en consultant sa FAQ.

Une trentaine de médias utilisent SecureDrop. Étant majoritairement anglo-saxons, Loïc Dachary, "artisan" (et "militant", de longue date) du "logiciel libre", m'a contacté et proposé de me doter d'une SecureDrop, logiciel dont il est devenu l'un des principaux contributeurs.

D'une part parce que je fus l'un des pionniers de la protection des lanceurs d'alerte en France, d'autre part parce que j'enquête (notamment) sur les marchands d'armes de surveillance numérique et services de renseignement techniques, et enfin parce que j'enquête aussi sur la crise de l'"accueil" des migrants, réfugiés et exilés, et que le Gisti cherchait aussi un journaliste susceptible de lui servir d'interface via SecureDrop.

Comment y accéder ?

Pour garantir votre anonymat, il est essentiel que vous n'utilisiez pas de réseaux ni de terminaux pouvant facilement être reliés à votre identité, à commencer par ceux fournis par votre employeur, ou que vous utilisez d'ordinaire à domicile.

Vous privilégierez donc des réseaux Wi-Fi publics et un ordinateur, smartphone ou tablette que vous contrôlez. Vous pouvez, à ce titre, faire l'acquisition d'un nouveau terminal, ou encore acheter une tablette, un laptop ou un smartphone Android d'occasion, que vous réinitialiserez aux "paramètres d'usine" et mettrez à jour (depuis un réseau Wi-Fi public) avant toute autre utilisation.

Idéalement, vous ne l'utiliserez que pour vous connecter à SecureDrop, sans jamais vous en servir en déclinant votre identité (tout en évitant -on n'est jamais trop prudent- de faire ce qui suit sous le champ d'une caméra de vidéosurveillance).

Une fois connecté à Internet, téléchargez le Tor Browser si vous utilisez un système d'exploitation Windows, Mac ou Linux, ou Orfox, sa déclinaison Android (la version iPhone se fait attendre).

Vous pouvez aussi opter pour le système d'exploitation "amnésique" Tails, OS spécialement conçu pour utiliser Internet de manière anonyme et ne pas laisser de traces, toutes les connexions passant par TOR. Il vous faudra pour cela prendre le temps de l'installer sur une clef USB (procédure un tantinet complexe, mais le jeu en vaut la chandelle), puis de rebooter votre ordinateur à partir de cette clef USB.

Familiarisez-vous avec le système en consultant (là encore et si possible depuis un réseau WiFi public, et sur un terminal dédié, ou via Tails), la version démo de SecureDrop, ainsi que son guide d'utilisation à destination des lanceurs d'alerte (en anglais).

Lancez le Tor Browser (ou, sur Android, Orbot puis Orfox), connectez-vous sur ma SecureDrop, disponible à l'adresse http://32qfx2skzcifeyg7.onion, et suivez les instructions.

Jean Marc Manach's Secure Drop

Votre nom de code

Lors de votre première connexion, vous recevrez un nom de code généré de façon aléatoire, "phrase de passe" qui vous permettra de vous reconnecter, de consulter les questions que j'aurais à vous poser, d'y répondre, voire de me transmettre d'autres documents.

D'expérience, l'envoi de documents ne suffit pas, et j'ai généralement besoin d'échanger avec mes sources pour comprendre ce dont il retourne vraiment. Ce nom de code est donc vraiment très important. Idéalement, il faudrait le mémoriser par coeur. Si vous désirez le recopier, placez-le dans un lieu sécurisé. Au pire, enregistrez-le dans un brouillon sur un webmail sécurisé dédié (type ProtonMail ou Tutanota) auquel vous accéderez, idéalement, via Tor (ProtonMail dispose à ce titre d'une interface dédiée : https://protonirockerxow.onion/).

Kinda geek ?

Si vous êtes un peu plus geek, et/ou familiarisé avec les questions de sécurité informatique, vous pouvez aussi utiliser le système d'exploitation "amnésique" Tails, qui permet d'utiliser Internet de manière anonyme, de ne pas laisser de traces, mais également d'utiliser un coffre-fort persistant pour y stocker des données de façon chiffrée.

Loïc Dachary, un "artisan du logiciel libre" qui contribue à SecureDrop, a par ailleurs rédigé un mode d'emploi à l'intention de ceux qui voudraient configurer un téléphone portable sécurisé anonyme susceptible, non seulement de se connecter à Tor, mais également d'utiliser Signal sans avoir à révéler votre identité, ce qui nous permettrait de pouvoir correspondre plus rapidement que via SecureDrop uniquement.

https://jean-marc.manach.net/