Mini manifeste pour la sécurité 2.0. des journalistes.
Il était une fois, un clicodrôme.
Mon ordinateur, je cliquais, ça fonctionnait. C’est un peu ce que je lui demandais en fait. Aujourd’hui, je suis plus exigeante quant à son utilisation et plus exigeante envers moi-même aussi. J’apprends, mode Padawan activé. Je suis loin d’avoir le contrôle total de ma machine, très loin même. Mais j’essaie de limiter les dégâts pour qu’au moins, elle ne me trahisse pas.
Je me suis aussi aperçue que cela ne sert à rien de se protéger et de protéger ses sources si c’est la fête de l’adresse IP ou du mail open bar en clair chez le red chef à qui on envoie son papier.
Un émetteur, un récepteur
C’est une idée générale, je ne veux incriminer personne en particulier. Le fait est que je n’ai jamais eu de proposition de la part d’un supérieur, d’envoyer mes articles ou sons via mails chiffrés. Mieux, lorsque j’essayais de mailler discret en Syrie, j’avais proposé de rédiger mon mail, ajouter la pièce jointe et d’enregistrer le tout en brouillon. Ne restait plus, à ce moment-là, qu’à récupérer le tout en se connectant sur l’adresse mail. Simple ? Non.
Le responsable de rubrique d’une radio, contacté via ma vieille boite yahoo (à ne pas utiliser, c’est dangereux) n’a tout juste pas compris… J’ai eu beau lui expliquer que les sons de manif en direct du soutif, c’est sympa… mais ça dépend d’où tu les enregistres, non ? J’ai donc envoyé religieusement mes sons par mail de Damas, de Tartous… Ne pas connaître ces techniques alors qu’on travaille tous les jours avec des journalistes qui sont sur des terrains dangereux, donc un peu partout, c’est les mettre en danger.
La solution serait-elle, comme lorsque je l’avais imaginé en préparant un voyage en Iran, de prendre toute la matière et de n’écrire et monter qu’à son retour en France ?
C’est presque plus dangereux puisque pendant la semaine, les 10 ou 15 jours de terrain, cela reviendrait à ne pas avoir de contact avec une/des rédaction(s), y compris en cas d’arrestation. Alors qu’en produisant au quotidien, on a forcément des contacts réguliers, on se localise par mail (d’où l’importance du chiffrement) et, tout bêtement, le côté exutoire est aussi important.
Je le souviens qu’en fuyant Homs, j’avais envoyé des mails en arrivant au Liban aux gens avec qui je travaillais en leur racontant brièvement ce qu’il s’était passé. Seule MJA, de la RTBF avait décroché son téléphone pour m’appeler. J’étais alors dans le nord du Liban, pour décompresser : « alors, il s’est passé quoi ? » et elle m’avait aussi fait un retour sur les deux sujets que j’avais fait pour eux. Un direct de Tartous bien accueilli et un son monté avec les pieds, trop mag, envoyé au dernier moment d’un cyber qui fermait à 22h ou 23h. J’étais alors à Bcharrée, dans le nord du Liban. Moralement, c’est le genre de coups de fils qui font un bien fou.
Peut-être que si les rédac chefs ne s’y mettent pas, c’est tout simplement qu’ils s’en foutent.
L’erreur est humaine
Je pointe du doigt les heads en général, j’aimerais me tromper et qu’ils soient peu nombreux à mettre leurs journalistes en danger. Mais la faute n’incombe pas qu’à eux et seulement eux. Je fais aussi mon autocritique. L’erreur est humaine et mon premier ennemi, en termes de sécurité informatique, c’est moi. Se connecter en clair sur un IRC, c’est y laisser la trace de son IP dans les logs. Envoyer des mails via une adresse hotmail, c’est aussi envoyer cette IP, et avec, on peut localiser le cyber où vous vous rendez… d’où l’utilité d’en changer.
Mon premier ennemi, c’est aussi moi, quand j’accepte des directs à la radio en sachant que mon téléphone est sur écoute, quand je dis « je suis à Tartous mais à l’antenne, on dira Damas. » Trop tard, ma grande.
J’ai utilisé des comptes hotmail et yahoo, Tor de temps en temps, mais pas tout le temps… Utiliser des machines de cyber, qui enregistrent vos historiques de navigation, qu’il est facile de coupler avec le numéro de votre passeport qu’on inscrit dans un registre. Il m’est arrivé de ne pas effacer les historiques. Par oubli. Par anque de sérieux.
J’avais rencontré un Australien parmi les gens qui me logeaient à Damas. Il n’ouvrait jamais sa boite pro et sa boite perso en même temps sur le même ordinateur « on peut recouper les deux » disait-il et il avait raison.
On joue donc au chat et à la souris avec les autorités, mais quand la souris ne sait pas se servir de ses pattes, impossible de se sauver. Ce que j’ai appris, et ce que j’apprends encore, est et a été en majorité glané ça et là après la Syrie, après le Soudan, après l’Egypte de Moubarak.
On n’apprend pas ces choses-là dans les écoles de journalisme : GPG connaissent pas. Amesys ? m’en parle pas…
J'étais loin d'avoir un savoir sur la protection en ligne. Il y a plein de choses dont je ne soupçonnais pas l'existence, comme les mails PGP, les VPN, je savais à peine utiliser Tor et je blacklistais Skype, privacy oblige. Jusqu'à il y a quelques années, ce n'était pas trop connu du grand public et que, mis à part Tor, les gens autour de moi n'utilisaient pas non plus ce genre de technologies. J'avais cherché sur Internet mais tout me paraissait tellement compliqué... j'avais l'impression qu'il fallait obligatoirement savoir coder pour tout ça. C’est en posant des questions aux bonnes personnes, en testant des trucs plus ou moins réussis, et en continuant parce que j’en apprends tous les jours, que j’ai compris mes erreurs.
Je ne recommencerai pas. Mais j’ai conscience que j’en ferai d’autres puisque l’erreur est humaine, les inattentions sont légion. Mais ce que je sais c’est que je me connecterai via mon propre ordinateur, en utilisant au moins un VPN et surtout, et tout le problème du journaliste est là, je ne contacterai pas les gens s’il y a un risque que je les mette potentiellement en danger.
C’est facile de donner des nouvelles via la messagerie Facebook à ses amis, sa famille… alors que les messages sont aussi monitorés. J’ai aussi fait cette erreur. Mieux vaut une absence d’info qu’une info qui peut permettre de vous identifier, de vous localiser.
Se préparer. Oui, mais quand ?
On n'est pas préparés. Aujourd'hui, je file une boite à outils aux étudiants quand je fais cours sur le web, leur explique qu'en plus de sa sécurité, il en va de celle des gens qu'on contacte, ce qui est encore plus important, les locaux se faisant généralement tuer plus facilement. S’en serviront-ils ? Certainement pas dans leur vie d’étudiant, peut-être pas dans leur vie professionnelle. Une fois qu’ils en auront besoin, les cours seront loin et les techniques auront évolué.
J’ai l’impression qu’on pratique encore le journalisme tel qu’on le concevait à une autre époque.
Alors que c’est dès le début de la vie professionnelle qu’il faudrait mettre tout cela en route. Y compris en PQR et en PHR… ça vaut même encore plus le coup que ceux qui bossent dans les gros médias. Les localiers ont des contacts au quotidien avec les associations d’aide aux sans-papiers, avec des syndicalistes, avec des organisateurs de manifs, des squatteurs, des politiques, etc… et sont susceptibles d’être mis sur écoute, y compris sur Internet, à cause de ce foisonnement d’infos autour d’eux.
Il faudrait vraiment un volet « sécurité en ligne » dans les formations en journalisme. Lorsque l’on voit les directives qui tombent les unes après les autres, on n’aura plus le choix : soit on se protègera, et le cas échéant, on protègera aussi nos sources, soit il sera très facile de savoir qui on contacte, quels sites on consulte et sur quoi on travaille. Vous avez dit protection des sources ? Même plus besoin de rappeler la loi pour ne rien dire à la police. Suivis à la trace via nos connections, il sera très simple de remonter jusqu’à ces activistes, syndicalistes et personnes engagées que nous citons « en changeant le nom parce que la personne désire garder son anonymat. »
La nécessité d’un mouvement collectif
J’ai peu lu, peu entendu, les syndicats de journalistes se prononcer sur la sécurité en ligne. Quid de la position de la commission de la carte ? On nage dans un flou total, mais en même temps, sont-ils peut-être aussi informés que moi avant de m’y intéresser ? La différence est que je n’envoie personne sur le terrain, que je n’ai personne à suivre ou protéger, que je n’ai pas de responsabilité vis-à-vis de pigistes qui me contactent depuis le terrain.
C'est un vrai danger.
J’ai la chance de fréquenter certaines personnes qui m’apprennent, j’avoue que je n’aurais pas eu la démarche de m’y mettre toute seule. Je progresse à mon rythme, au coup par coup, quand j’ai besoin d’un outil, j’essaie d’apprendre à m’en servir quand ça fonctionne, jusqu’au prochain terrain où je remplacerai ces usages par des tests grandeur nature.
Tant que les journalistes ne se bougeront pas en masse pour réclamer que les conditions de sécurité basiques en ligne soient appliquées, au même titre que le port d’un gilet pare-balles ou d’un casque sous les tirs, on n'avancera pas.
Avancer
J’ai la chance d’être à Paris et que je fréquente (un peu) les hackerspaces. C’est grâce à ces rencontres que j’ai pu évoluer, apprendre. Quelqu'un qui est dans son petit bout de France ne sait pas ce qu'est un serveur IRC (ce qui était mon cas avant l'OPSyria, je n'ai pas honte de le dire) et n'a aucun point d'entrée là-dedans, aura forcément du mal à s'y mettre : Personne à qui causer, poser les questions, etc...
Aujourd'hui, des choses se passent plus facilement autour de la protection de la vie privée parce que des associations portent des voix et des projets. Grâce à eux, plus nombreux sont ceux qui s’y mettent. Je serais curieuse de savoir combien ne laissent pas tomber au bout de quelques semaines. La clé de la progression reste l’investissement personnel : chercher, lire, contacter, demander, se prendre des râteaux sur le forum Ubuntu France et passer un nombre d’heures assez conséquent devant un ordinateur.
Pas très facile quand on a une vie privée, une vie professionnelle, des passions, etc. Entre deux maux choisir le moins pire, un mal nécessaire qu’est le temps passé à apprendre à se protéger ou un mal qui peut faire vraiment vous bouffer si l’on ne fait rien.
Je n’ai pas réussi à m’y mettre, tête dans le guidon, et les geeks du forum Ubuntu France (mes chouchous) n’ont pas capté que les gens qui viennent se renseigner n’ont pas que ça à faire et que s'ils viennent chercher les infos, c’est qu’ils n’ont vraiment besoin. D’un autre côté, lecteur, tu es bien gentil, mais essaie de chercher par toi-même avant d’aller embêter les barbus.
Des solutions ?
Avoir un esclave corvéable à souhaits.
Non, il n’est pas question de fantasme, lecteur... Quoique... Je m’explique. La seule solution que j’ai trouvé jusqu’ici est d’envoyer mes papiers ou sons en pièce jointe dans des mails chiffrés à une tierce personne qui les déchiffrerait et les ferait suivre en clair au média en question. Ce qui implique pas mal de contraintes puisque la personne devrait être disponible à toute heure, réactive, et capable de répondre en mon nom propre si des mails urgents arrivent dans la boite quand je ne suis pas joignable.
Ou alors plusieurs personnes qui se relaient.
En tout cas quelqu’un qui ferait tampon bridge entre moi et « le reste du monde » et qui connaisse ce genre de techniques, disponible pendant toute la durée du terrain. Impossible à trouver.
Le chemin est encore long, donc, avant d’être totalement protégé(e)(s) en ligne et sur le terrain. Il reste des astuces à trouver, des gens à former, des savoirs à partager. Mais la sécurité, ce n’est pas à d’autres à s’y mettre à notre place. Ça commence par nous, journalistes, peu importe que nous soyons pigistes, red chefs, localiers ou reporters à plein temps. C’est à nous de nous y mettre, ne serait-ce que pour assurer la protection des gens avec qui nous entrons en contact.
Et si tu commencais par ce petit guide très simpe d'utilisation ?
Merci beaucoup à Jean-Marc Manhack de m’avoir inspiré ce billet.
Pour tout te dire, lecteur, c’est un petit mail de réaction à mon commentaire sous cet article qui m’a fait poser par écrit quelques cogitations en réponse au problème soulevé. Je n’avais pas réussi à le faire à l’époque, pas assez de background et de recul humain vis-à-vis de la situation sur le terrain.
Jeu de briques
Snake
Pacman
Bubble