Comment me contacter de façon sécurisée

Paradoxalement, et alors que l'opinion publique a découvert, grâce à Edward Snowden, l'ampleur et de la diversité des programmes et logiciels de cybersurveillance, il n'a jamais été aussi "facile" d'y communiquer de façon sécurisée.

L'"effet Snowden" a en effet révolutionné la notion de sécurité informatique : avant, ceux qui s'en préoccupaient (re)présentaient un "problème"; depuis, ils sont perçus comme faisant partie de la "solution"... & ça change tout !

De nombreux outils, logiciels, applications et services web ont depuis été développés pour permettre aux internautes en général (et aux lanceurs d'alerte en particulier) de pouvoir communiquer de façon sécurisée, voire anonyme... encore faut-il savoir comment procéder, et ne pas commettre d'erreur, ni d'impair.

Avant Snowden, il fallait être un "geek" pour pouvoir (apprendre à) communiquer de façon sécurisée. Depuis, Internet est de plus en plus sécurisé, par défaut, même et y compris chez les GAFAM : près de 70% des pages consultées par les utilisateurs du navigateur Firefox & plus de 70% des pages consultées par ceux de Google Chrome sont en effet chiffrées, et donc a priori indéchiffrables (le protocole HTTPS permet certes de savoir quel site web vous visitez, mais pas les pages que vous consultez en particulier).

Pour autant, faute de comprendre leur "modèle de menace", non plus que les traces que l'on peut laisser sur Internet, ou dans les terminaux que nous utilisons pour y communiquer, d'aucuns "croient" qu'il suffit d'utiliser tel ou tel logiciel -à commencer par Telegram, la soi-disant messagerie cryptée préférée des terroristes de Daech- pour communiquer de façon sécurisée. Sauf qu'il ne sert à rien de se doter d'une porte blindée si on laisse la fenêtre ouverte.

Jean-Jacques Urvoas, ex-ministre de la Justice, a ainsi été mis en examen pour avoir transmis, via Telegram, une note confidentielle au député Thierry Solère, qui n'avait pas effacé de son téléphone le message qu'Urvoas lui avait donc envoyé de façon "soi-disant" sécurisée... ce pourquoi cette page est donc plutôt longue.

Il n'a jamais été aussi aisé de communiquer de façon sécurisée. Encore faut-il comprendre comment procéder, et donc aussi, et notamment, éviter d'être victime d'un faux "sentiment de sécurité".

"La sécurité est un processus, pas un produit"

Ayant été l'un des tous premiers journalistes, en France, à expliquer comment communiquer de façon sécurisée sur Internet, dès l'an 2000, je ne compte plus le nombre de lanceurs d'alerte qui m'ont depuis contacté, et que j'ai pu aider à rendre publics les faits qu'ils entendaient dénoncer, sans que jamais leur identité n'ait été révélée ni compromise.

Pour autant, apprendre à communiquer de façon sécurisée ne s'improvise pas : "la sécurité est un processus, pas un produit", pour reprendre la célèbre formule de Bruce Schneier, l'un des experts en sécurité informatique les plus réputés. Une chose est d'utiliser tel ou tel logiciel censé sécuriser vos télécommunications, une autre est de comprendre son "modèle de menace".

Le fait d'avoir acheté ou installé tel ou tel "produit" ou logiciel de sécurité peut en effet entraîner un "faux sentiment" de sécurité, de même qu'il ne sert à rien de se doter d'une porte blindée si on laisse ses fenêtre ouvertes... ce que j'avais tenté d'expliquer dans mon "petit manuel de contre-espionnage informatique" (voir aussi -et surtout- le plus récent "manuel de self-défense numérique" de l'Electronic Frontier Foundation, la pionnière des ONG de défense des libertés sur Internet).

L'informatique laisse des traces; et sur Internet, l'anonymat n'existe (presque) pas; tout juste pouvez-vous espérer y profiter de ce que j'avais qualifié, dans le "kit de survie numérique" de Reporters Sans Frontières (RSF) auquel j'avais contribué, de "1/4h d'anonymat", pour paraphraser Andy Warhol.

Il est cela dit "relativement" simple de me contacter de façon sécurisée (voire anonyme), de sorte que seuls vous et moi puissions déchiffrer les données échangées, parce qu'elles ont été chiffrées sur les terminaux que nous contrôlons (via ce que l'on qualifie de "chiffrement bout-en-bout"), et pas dans le "cloud" des services web qui, a contrario, peuvent y accéder.

Quel est votre "modèle de menace" ?

En sécurité informatique, on a coutume de dire que la principale faille se situe généralement entre la chaise et le clavier, ce pourquoi il est très important de bien comprendre, avant toutes choses, son "modèle de menace", de sorte de pouvoir comprendre les risques associés, et comment y parer. Je ne saurais que trop vous inviter à consulter ledit "manuel de self-défense numérique" de l'EFF.

L'une des principales "menaces", en l'espèce, serait qu'un logiciel espion ait été installé sur votre terminal (ordinateur fixe, portable, tablette ou smartphone). Ce qui est relativement simple à faire pour quelqu'un qui disposerait d'un accès "physique" audit terminal (employeur, collègue, conjoint, espion, que sais-je... sachant que vous avez a priori bien plus de probabilités d'être espionné par des "proches" que par des "espions", cf "De la surveillance de masse à la paranoïa généralisée", ou encore "Pour en finir avec la « surveillance de masse »").

Vous avez des doutes ? Privilégiez l'utilisation de votre smartphone ou tablette à celle de votre ordinateur : les logiciels espion conçus pour pouvoir infecter un iPhone ou un Android, à distance et sans être bloqués par les antivirus peuvent coûter plusieurs centaines de milliers de dollars... VS quelques dizaines voire centaines de dollars pour les logiciels espion ès-ordinateurs Windows -voire Mac (quoi, vous n'avez pas installé d'antivirus sur votre smartphone ?...).

NB : n'installez de logiciels sur vos smartphones que depuis l'App Store d'Apple et le Play Store de Google, paramétrez vos terminaux et ordinateurs pour les mettre à jour (tous les jours), & vérifiez les certificats de sécurité des "mises à jour" qui vous sont proposées -a fortiori depuis une connexion WiFi publique et non sécurisée.

Et donc concrètement, comment ?

Spéciale dédicace aux attachés de presse et agences de com’ : journaliste d'investigation, je ne suis pas un "passe-plat", et ne relaie donc jamais de communiqué de presse; inutile, donc, de m’en envoyer -sauf s'ils ont trait aux questions de sécurité informatique et/ou de technologies de (contre-)surveillance, de protection de la vie privée & Cie que je traite par ailleurs-, et de ne SURTOUT pas me rajouter d’office dans ces bases de données de contact que vous allez ensuite louer, vendre ou céder à des tiers (clients) : je saisirai la CNIL, et avec le RGPD, ça pourrait vous coûter cher...

A contrario, si vous désirez rendre publiques des informations d'intérêt général que d'aucun·e·s préféreraient cacher, et/ou que vous estimez être un·e "lanceur·e d'alerte", vous pouvez me contacter de façon +- sécurisée, en fonction de votre "modèle de menace", de moult manières :

• par e-mail [mm (at) rewriting (point) net], DM (message privé) sur LinkedIn, Twitter ou Facebook si ce que vous voulez partager avec moi ne pourrait vous être reproché.
  pros : simple, rapide
  cons : des officiers de police judiciaire ou services de renseignement pourraient potentiellement y accéder.


• via Signal, l'application (gratuite) de messagerie sécurisée instantanée Android & iPhone, recommandée par Edward Snowden et Bruce Schneier (notamment), en m'envoyant des messages texte au +33755067370 (pas d'appel tel, SVP), si le fait que nos échanges soient chiffrés sur nos terminaux (et non dans le "cloud") vous semble suffisant pour les protéger.
  pros : simple, rapide, ne laisse pas traîner de méta-données
  cons : au cas (improbable, mais possible) où votre terminal serait infesté par un logiciel espion, nos échanges pourraient être interceptés.


• via ma clef OpenPGP / GPG si vous savez vous en servir (tip : PGP inline *ne chiffre pas* les pièces jointes, contrairement à S/MIME), et que vous êtes conscient des traces laissées par les méta-données qui y sont associées
  (fingerprint : E8C5 05B3 8394 E2F7 A627 86CB 2C2E F3F9 D5D2 6CCF)


• via SecureDrop, qui a précisément été conçu pour garantir la sécurité et l'anonymat des lanceurs d'alerte les plus "à risque". C'est un peu plus compliqué, mais il n'y a pas plus sécurisé, à condition de suivre (et respecter) attentivement les explications qui suivent. : faute de pouvoir continuer à assurer la maintenance de cette interface, elle a finalement été désactivée.

Kinda geek ?

Si vous êtes un peu plus geek, et/ou familiarisé avec les questions de sécurité informatique, vous pouvez aussi utiliser le système d'exploitation "amnésique" Tails, qui permet d'utiliser Internet de manière anonyme, de ne pas laisser de traces, mais également d'utiliser un coffre-fort persistant pour y stocker des données de façon chiffrée.

Loïc Dachary, un "artisan du logiciel libre" qui contribue à SecureDrop, a par ailleurs rédigé un mode d'emploi à l'intention de ceux qui voudraient configurer un téléphone portable sécurisé anonyme susceptible, non seulement de se connecter à Tor, mais également d'utiliser Signal sans avoir à révéler votre identité, ce qui nous permettrait de pouvoir correspondre plus rapidement que via SecureDrop uniquement.