CPJ Guide de Sécurité des Journalistes

 

3 Sécurité de l'information

La sécurité de l'information signifie la protection de vos données, depuis les notes de recherche jusqu'aux informations confidentielles de vos contacts, depuis les détails de base de votre itinéraire jusqu'aux fichiers audio et vidéo. Cela signifie la protection des données qui vous sont personnelles, ainsi que la protection de la confidentialité des communications entre vous et vos collègues ou vos sources. Si vous travaillez sur le terrain, les fichiers numériques sur votre ordinateur pourraient être l'élément le plus précieux dont vous disposez. Les perdre peut faire avorter votre mission ou, pire, vous mettre en danger ainsi que votre source.

Le niveau de sophistication des attaques contre les des données numériques des journalistes augmente à un rythme alarmant. En Chine, des correspondants étrangers ont vu leurs ordinateurs personnels infectés par un logiciel de surveillance qui a été dissimulé sous forme de pièce jointe dans des courriels attentivement fabriqués. Les autorités des pays comme l'Ethiopie et la Colombie ont eu accès à des conversations de journalistes par voie téléphonique, courriel ou texto. Les acteurs gouvernementaux ne sont pas les seuls qui recourent à la surveillance numérique et au sabotage; de grandes organisations criminelles exploitent de plus en plus les possibilités de haute technologie. Les cybercriminels opportunistes ou «patriotiques» ciblent aussi des journalistes qui travaillent avec des données précieuses ou controversées.

Cependant, une bonne sécurité de l'information consiste rarement à repousser les cyberattaques sophistiquées et les pirates de style hollywoodien. Il s'agit plutôt de comprendre les motivations et les capacités de ceux qui pourraient vouloir vous attaquer et de développer des habitudes cohérentes fondées sur ces évaluations.

Comprendre la menace

Reuters La sécurité de l'information pose des défis uniques. Il est difficile, d'abord, de détecter une attaque contre vos données. Si quelqu'un vole votre portefeuille, vous le saurez. Si quelqu'un réussit à copier sur votre disque dur (par exemple en le numérisant pendant que vous attendez dans une autre pièce au niveau d'un poste de douane), vous pouvez ne jamais le savoir. Deuxièmement, les dommages causés par la fuite de vos données personnelles sont généralement impossibles à réparer. Une fois les informations sont connues de vos pirates, vous ne pouvez pas les récupérer. Enfin, les systèmes de technologie de l'information sont notoirement complexes et en constante évolution. Même les plus intelligents technologues ne connaissent pas la fonction de chaque programme sur leurs ordinateurs, ou comment l'interaction entre certains logiciels et des sites Internet peut être exploitée. Même si vous n'êtes pas un expert sur les gilets pare-balles, vous avez une idée de leurs fonctions de protection et de leurs limites. La protection de la sécurité informatique est beaucoup plus difficile à comprendre intuitivement.

Qu'est-ce que cela signifie? Vous devriez mettre l'accent sur la simplicité. Il ne sert à rien de vous entourer de systèmes de sécurité informatique que vous n'utilisez pas, ou qui ne répondent pas à un plus faible lien ailleurs. Tirer le meilleur parti de ce que vous savez bien: les gens qui sont les plus susceptibles de vous nuire ou autrement de cibler votre travail, et ce qu'ils peuvent chercher à obtenir ou à déranger. Utilisez ces connaissances pour déterminer ce dont vous avez besoin pour protéger votre ordinateur et comment le protéger.

Demandez-vous: Quelles informations devrais-je protéger? Quelles sont les données précieuses pour moi ou pour un adversaire potentiel? Vous pourriez ne pas penser à cela en premier. De nombreux journalistes estiment que ce qu'ils font est en grande partie transparent, et qu'ils n'ont rien à cacher. Mais pensez aux dangers pour les sources si les informations qu'ils vous ont fournies étaient connues du grand public. Ce qui peut vous sembler être des informations personnelles anodines pourrait être incriminant pour d'autres. Par exemple, l'accès à vos informations de contacts israéliens lorsque vous couvrez un événement dans un pays arabe (et vice versa) peut causer des problèmes à tous ceux qui sont concernés. Même les informations que vous avez déjà partagées librement en ligne pourraient vous porter préjudice dans un autre contexte. Il est difficile d'annuler des informations publiées précédemment, mais vous voudrez peut-être désinfecter votre page Facebook ou d'autres pages de réseaux sociaux pour accroître vos paramètres de confidentialité avant de vous lancer dans un voyage ou une nouvelle mission.

Une fois que vous avez établi une liste de données potentiellement utiles, posez-vous une autre question: contre qui protégez-vous l'accès à ces informations? Il est facile d'imaginer un certain service de surveillance orwellien qui se penche sur tous vos courriels. Dans les pays répressifs comme l'Iran, cela peut effectivement être le cas. Plus souvent, toutefois, les journalistes se font des ennemis dans une partie spécifique d'une administration ou avec une personne spécifique, comme un chef de la police locale ou un fonctionnaire corrompu. Ont-ils accès à des équipements de surveillance sophistiqués? Ou sont-ils plus susceptibles d'envoyer quelqu'un défoncer votre porte et voler votre ordinateur portable? Quand vous examinez les agresseurs potentiels, pensez à la possibilité d'être attaqué par leurs partisans ou sympathisants. Dans de nombreux cas documentés par le CPJ, les attaques ne sont pas directement perpétrées par les gouvernements ou les partis politiques, mais par des fauteurs de troubles déconnectés, «patriotiques» qui perçoivent l'opposition ou les médias étrangers comme des cibles légitimes.

Une fois que vous avez une liste de vos agresseurs potentiels et ce qu'ils pourraient vouloir, vous pouvez prendre certaines mesures techniques pour vous protéger. Les suggestions dans ce Guide sont destinées à vous donner des orientations générales pour la sécurité des informations. N'oubliez pas, cependant, que les suggestions techniques détaillées peuvent rapidement devenir obsolètes. En cas de doute, consultez les conseils à jour du CPJ sur son site Web.

Protéger les communications

Les écoutes téléphoniques sont probablement la plus familière forme de surveillance pratiquée contre les journalistes. Ceux qui travaillent dans les pays restrictifs peuvent citer de nombreux exemples d'une telle surveillance. Mais les journalistes utilisent maintenant un plus large éventail d'outils de communication, y compris le texto, le courriel, le message instantané, les sites Web de réseaux sociaux, et les logiciels de cyberbavardage audio et vidéo. Aussi, leurs adversaires ont-ils élargi leur arsenal d'armes.

Plus de groupes ont maintenant le pouvoir de procéder à l'espionnage. Historiquement, l'accès aux communications de tierces personnes était limité à ceux qui avaient accès aux enregistrements et équipements téléphoniques, soit par le biais de relations formelles ou d'employés corrompus. De nos jours, la capacité d'espionner votre ordinateur ou votre téléphone a été décentralisée et privatisée. Ce pouvoir est potentiellement entre les mains d'un groupe beaucoup plus large: les personnes qui partagent votre réseau sans fil dans un cybercafé peuvent espionner vos messages instantanés; les pirates informatiques indépendants peuvent s'introduire dans votre compte de messagerie électronique.

Malgré la croissance de ces menaces, plusieurs tactiques peuvent réduire le risque d'interception des communications, même par les pirates les plus technologiquement sophistiqués.

Essayez d'obtenir un téléphone mobile qui n'est pas lié à votre nom. Le fait d'acheter un téléphone local pas cher, à communications pré-chargées est une méthode.

Lorsque vous êtes en contact avec quelqu'un, une tierce personne peut accéder à des informations précieuses: l'identité de la personne à qui vous parlez et ce que vous dites. Les outils de communication modernes peuvent fuiter d'autres types d'informations. Si vous avez un téléphone mobile ou connectez un ordinateur portable à Internet, le fait de faire un appel ou de vérifier votre courriel peut divulguer votre position et, par conséquent, permettre à quelqu'un de suivre vos mouvements. Certains logiciels, comme les clients de messagerie instantanée ou des sites de réseautage social, peuvent aussi révéler vos autres connaissances à travers vos listes de contacts ou d'amis.

Les conversations téléphoniques sont faciles à espionner si votre pirate a accès aux personnes indiquées ou aux systèmes de la compagnie de téléphone concernée. Ceux-ci incluent les téléphones mobiles. Les messages texte sont particulièrement faciles à intercepter, car un pirate n'a pas besoin d'avoir une personne qui écoute et fait la transcription des appels, les messages sont si petits qu'ils peuvent être enregistrés en masse et examinés plus tard. Le CPJ a documenté des cas dans lesquels des autorités ont présenté des journalistes disposant de registres de messages texte comme une menace implicite ou une preuve d'activités antiétatiques.

Pensez à utiliser des codes préétablis qui sont convenus «hors bande», c'est-à-dire, pas via un canal soupçonné d'être non sécurisé. Passez un message via des contacts personnels, ou utilisez des mots de code dans votre message. Si vous craignez que les autorités surveillent vos appels, essayez d'obtenir un téléphone qui n'est pas lié à votre nom. Le fait d'acheter un téléphone local pas cher, à communications pré-chargées est une méthode. De nombreux pays exigent l'identité pour acheter un téléphone, mais vous pourrez peut-être acheter un téléphone et une connexion auprès d'un utilisateur existant. N'oubliez pas, cependant, que vos contacts sont plus susceptibles d'être des cibles d'interception que vous ; s'ils ne prennent pas leurs propres précautions, votre premier appel à leur destination pourrait révéler votre nouveau numéro.

Les téléphones mobiles signalent leur emplacement en permanence à la compagnie téléphonique concernée lorsqu'ils sont activés, et les compagnies téléphoniques ont souvent des fichiers sur ces données, en particulier dans les régimes répressifs. Les téléphones peuvent aussi être utilisés comme dispositifs de surveillance, même lorsqu'ils sont apparemment désactivés. Si vous craignez des niveaux intenses de surveillance, vous devriez estimer si le côté pratique de se munir d'un téléphone vaut les risques de suivi. De nombreux journalistes retirent les batteries de leurs téléphones parfois pour éviter la détection, mais vous devriez être conscient que la désactivation d'un téléphone avant d'arriver à une destination peut être un signal d'alerte.

Bien que le téléphone audio soit toujours utilisé pour de nombreuses conversations, l'Internet est le médium de plus en plus utilisé pour la communication personnelle. Contrairement au système de téléphone centralisé avec ses lignes fixes de communication, l'Internet est un système décentralisé avec de nombreuses voies de conversations privées possibles.

L'Internet transmet des données sur de longues distances en passant les informations à travers de nombreux ordinateurs intermédiaires, comme une chaîne passe de l'eau d'un bout d'une ligne à l'autre. Souvent, les données voyagent dans les deux sens de cette chaîne sous une forme qui peut être interceptée par les propriétaires des systèmes par lesquelles elles passent. A moins que les données soient protégées techniquement ou avec l'imposition de restrictions juridiques, votre fournisseur d'accès Internet peut enregistrer et surveiller vos communications, de même que la compagnie de téléphone, les destinations Internet tel que Facebook, les fournisseurs locaux, tels que le cybercafé ou l'hôtel où vous vous connectez, ou même d'autres utilisateurs d'Internet sur le même réseau local. Les données vulnérables incluent le trafic e-mail, les messages instantanés, et les sites Web que vous visitez ou dans lesquelles vous entrez des données.

Un logiciel peut empêcher ces spectateurs de lire votre courriel ou d'identifier les sites Web que vous visitez. Les programmes de cryptage peuvent brouiller vos messages de sorte qu'un seul destinataire puisse les décoder. Vous pouvez choisir un logiciel de cryptage destiné à des usages spécifiques (tels que le courriel et la messagerie instantanée), ou alors vous pouvez adopter des méthodes qui cryptent l'ensemble de votre trafic Internet.

L'exemple idéal de cryptage est la « cryptographie à clé publique», qui vous permet de communiquer avec les autres sans devoir partager un mot de passe ou un code secret préétablis. Les versions les plus courantes de cryptographie à clé publique pour le courriel sont le GNU Privacy Guard d'exploitation libre, ou GPG, et le Pretty Good Privacy de Symantec, ou PGP. Ils sont compatibles les uns avec les autres.

Les systèmes de cryptographie à clé publique ont une courbe d'apprentissage raide pour les utilisateurs non techniques. Mais s'ils sont utilisés correctement par tous les correspondants, ils peuvent aider à empêcher la surveillance, même par des Etats technologiquement sophistiqués tels que les Etats-Unis d'Amérique et la Chine qui ont un large accès aux infrastructures d'Internet. De nombreux programmes de messagerie électronique, comme Outlook, Thunderbird et Apple Mail disposent d'un logiciel supplémentaire, ou des fonctionnalités, que appuient le GPG / PGP; les organisations de défense des droits de l'homme et les entreprises de presse offrent parfois des cours d'instruction sur leur utilisation.

Le GPG et le PGP sont rarement utilisés en dehors des groupes vulnérables. Par conséquent, leur utilisation peut être elle-même un signal d'alerte pour les autorités et pourrait éventuellement attirer une attention non désirée. Vous pouvez vouloir utiliser des outils plus généralement disponibles, bien que ceux-ci n'auront pas le même niveau de protection. Si vous voulez permettre à un ou deux intermédiaires de confiance d'avoir accès à vos communications, les services de messagerie Web peuvent offrir une protection limitée. Des services tels que Gmail de Google ou Riseup.net utilisent un « Transport Layer Security », ou TLS /SSL. Cela signifie que tandis que les sociétés qui exploitent les services peuvent lire votre courriel (Google le fait pour envoyer des publicités ciblées), d'autres intermédiaires qui transportent les données vers ces entreprises et à partir de celles-ci ne peuvent pas le faire.

Pour s'assurer que le service que vous utilisez protège l'accès à vos communications par d'autres intermédiaires, vérifiez l'adresse Web dans la partie supérieure de votre navigateur: Si elle commence par «https://», par opposition à « http:// », vos communications sont au moins partiellement cryptées, et donc mieux en mesure de se soustraire à la surveillance. Des services tels que Twitter, Facebook, et Hotmail de Microsoft l'offrent maintenant comme une caractéristique de sécurité gratuite mais facultative. Vous pourriez avoir à rechercher leur documentation en ligne pour apprendre comment l'activer.

Si vous travaillez sous un régime répressif connu pour avoir accès à des fournisseurs de communication, pensez à utiliser un fournisseur de messagerie Web crypté qui soit basé dans un autre pays sans liens économiques ou politiques avec celui où vous vous trouvez. Vous pouvez vouloir encourager les correspondants à utiliser un compte de messagerie sur le même service lorsqu'ils communiquent avec vous. Il ne sert à rien de crypter attentivement votre conversation si votre correspondant lit le courriel de manière non sécurisée.

Bien que le cryptage TLS protège les messages qui passent sur Internet, les pirates peuvent essayer d'obtenir les archives de vos messages précédents. Ils pourraient le faire en installant un logiciel sur votre ordinateur ou celui de vos correspondants, ou en entrant par effraction chez votre fournisseur de messagerie Web. Il est donc important de protéger votre ordinateur et les mots de passe de tous les services de messagerie Web que vous utilisez. (Voir les sections ci-dessous Défendre les données personnelles et Défendre les données externes.)

La messagerie instantanée, les conversations en temps réel utilisant des logiciels tels que MSN Messenger, Yahoo! Messenger, AIM et Facebook Chat, sont aussi vulnérables à l'interception que le courriel. Très peu de programmes de cyberbavardage fournissent le cryptage de protection. Les gouvernements comme l'Iran et la Chine pratiquent l'interception des messages instantanés, selon des recherches du CPJ. L'équivalent de la messagerie de PGP et GPG est la Messagerie Off-The-Record (OTR), qui peut être utilisé en combinaison avec la plupart des logiciels de messagerie instantanée. Comme avec le PGP / GPG, l'OTR exige que les deux parties d'une conversation aient les compétences techniques pour installer et apprendre de nouvelles applications. De nombreux journalistes utilisent Skype pour les appels audio sensibles et la messagerie instantanée. Skype crypte ses communications, mais garde ses méthodes secrètes, il est donc difficile de connaître le niveau de protection et s'il sera efficace dans le futur. Utilisez Skype de préférence aux systèmes de messagerie non cryptée, mais avec prudence.

Plutôt que d'utiliser des logiciels différents pour crypter de manière sélective des parties de vos communications en ligne, vous pouvez simplement choisir de tout crypter. Une manière de le faire est d'utiliser un réseau privé virtuel (VPN). Un VPN crypte et envoie toutes les données Internet vers votre ordinateur er depuis ce dernier via un autre ordinateur ailleurs sur l'Internet, appelé serveur VPN. Lorsqu'il est configuré correctement, un VPN protégera toutes vos communications de l'interception locale. Si vous êtes employé par une entreprise de presse, votre employeur peut très bien utiliser un VPN pour permettre aux utilisateurs distants d'accéder aux réseaux internes de l'entreprise. Par ailleurs, certains services commerciaux permettent aux particuliers de louer l'accès à un serveur VPN mensuellement.

Aux yeux des autres utilisateurs de l'Internet, vous avez accès au Web et à d'autres services Internet à partir de votre serveur VPN, et non votre emplacement réel. Cela signifie qu'il peut cacher l'endroit où vous vous trouvez et contourner les systèmes de censure locaux. Les VPN ne cryptent pas toutes les étapes de passage de vos données en ligne. Parce que votre destination finale peut ne pas comprendre les données cryptées, vos informations et vos demandes sortent du serveur VPN dans un état non crypté. Cela signifie que vous devez être confiant que les opérateurs de votre serveur VPN, et les intermédiaires entre eux et les sites et services que vous visitez, ne surveillent pas eux-mêmes malicieusement vos communications. Si vous vous défendez contre un adversaire local, comme le gouvernement, le serveur VPN du service que vous choisissez doit relever d'une autre compétence.

Une alternative àun VPN commercial est le libre service d'anonymisation Tor(Routage en ognon). Le service Tor protège le trafic de ses utilisateurs en cryptant les données et brouillant les données à travers plusieurs serveurs gérés par des bénévoles avant d'apparaitre finalement de manière plus large sur Internet. Le service Tor vaut la peine d'être pris en compte si vous voulez être introuvable en ligne, même s'il peut être lent et bloqué ou difficile d'accès dans certains pays.

Défendre les données personnelles

Reuters Les ordinateurs portables modernes et les smart phones peuvent contenir de grandes quantités de données, mais l'utilisation de cette capacité comporte des risques graves. Si votre ordinateur ou votre téléphone est volé ou détruit, vous pouvez perdre pour de bon une grande quantité d'informations sensibles.

Alors que tout le monde possédant un ordinateur ou un téléphone moderne est exposé à un tel risque, vous devriez envisager la possibilité que les pirates vous prennent pour cible pour vous empêcher de travailler ou vous faire subir des mesures de rétorsion. Les pirates peuvent saisir vos équipements pour obtenir des données privées. Ou bien ils peuvent chercher à infecter votre ordinateur avec un logiciel malveillant afin d'accéder à vos fichiers et à toutes vos communications à distance.

Si vous voyagez dans un environnement dangereux, pensez à utiliser un autre ordinateur portable ou un téléphone simple contenant un minimum d'informations. Pensez à garder vos informations confidentielles sur une clé USB (un petit périphérique de stockage que vous pouvez brancher sur votre ordinateur portable), qui est plus facile à cacher et à protéger. Cachez la clé USB quelque part par devers vous et séparé de votre ordinateur portable. Les clés USB sont proposés sous différentes formes, y compris sous forme de clés de maison ou des pièces de Lego. En outre, il se peut que vous souhaitiez sauvegarder des documents sensibles de votre ordinateur portable sur une clé USB de manière à en garder une copie au cas où vous auriez perdu le contrôle sur votre ordinateur.

Assurez-vous que votre ordinateur est éteint lorsque vous quittez votre lieu de travail. Même dans une salle de rédaction, soyez attentif aux gens qui jettent un regard indiscret par dessus votre épaule lorsque vous vous connectez ou lisez vos messages. N'utilisez pas les ordinateurs publics dans les cybercafés ou les hôtels pour des conversations confidentielles ou pour accéder à votre clé USB. Et n'entrez pas vos mots de passe dans les ordinateurs publics.

Toujours configurer votre ordinateur portable ou votre téléphone de manière à ce qu'un code PIN ou un mot de passe soit nécessaire pour le déverrouiller. Vous devriez comprendre, cependant, que les voleurs de données déterminés sont souvent capables de contourner ces contrôles d'accès. Des logiciels locaux de cryptage de fichier tels que BitLocker de Windows, MacOS FileVault, ou le projet indépendant TrueCrypt vous permettront de mettre des mots de passe de protection sur des fichiers spécifiques, votre compte d'accès, ou même l'ensemble du disque dur. Les données ainsi verrouillées sont inaccessibles, même par quelqu'un qui a un contrôle complet sur votre ordinateur portable. Le même logiciel peut être utilisé pour les clés USB. Veillez à choisir un mot de passe fort. (Voir la section sur Choisir un mot de passe fort.)

La protection des smart phones représente un défi en raison de leur complexité. Il se peut que vous souhaitiez vous renseigner sur les programmes de verrouillage locaux dédiés. Le groupe d'activisme MobileActive dispose de guides utiles pour protéger les appareils mobiles.

Les gouvernements et les criminels utilisent de plus en plus une livraison ciblée de logiciels malveillants pour attaquer des ennemis perçus comme les journalistes indépendants. Profitant des bogues des logiciels populaires, le logiciel malveillant s'installe à distance et de manière invisible sur les ordinateurs ; le logiciel malveillant peut alors enregistrer vos frappes au clavier, afficher votre écran, ou même télécharger des fichiers locaux vers des sites Internet à distance. Il peut être livré par l'intermédiaire de pièces jointes fausses mais convaincantes, et même par des sites internet visiblement ordinaires. Ne cliquez pas sur les pièces jointes ou liens envoyés par courriel, même provenant de vos collègues, sans envisager l'éventualité que le courrier soit fallacieusement personnalisé en utilisant les coordonnées personnelles que le pirate a glanées en ligne. Utilisez un logiciel antivirus, et maintenez-le à jour, il sera en mesure de détecter les attaques ciblées les plus sophistiquées. (Si vous utilisez Windows, Microsoft tout comme Avast fournissent gratuitement des services antivirus de base.) Si vous pensez que votre ordinateur pourrait être infecté, la plupart des employeurs et des techniciens indépendants seront en mesure de nettoyer la machine et réinstaller votre logiciel de manière à supprimer les logiciels malveillants. Assurez vous d'avoir sauvegardé toutes les données avant de commencer ce processus, et travaillez avec l'expert afin de s'assurer que les données que vous copiez n'hébergent pas de logiciels malveillants.

Les systèmes de sauvegarde à distance, où vos fichiers locaux sont régulièrement copiés sur un serveur à distance, sont généralement une bonne idée. Ils constituent une autre façon de protéger vos informations si vous perdez l'accès à votre machine locale. Assurez-vous que les données envoyées sont cryptées pendant l'opération, et que l'accès aux systèmes de sauvegarde est contrôlé. (Voir la section Défendre les données externes.)

Si vous vous attendez à des situations dans lesquelles votre ordinateur pourrait être saisi ou inspecté, au poste frontière, par exemple, vous pouvez souhaiter supprimer vos informations confidentielles. Ce n'est pas une simple question de supprimer les fichiers ou de les faire glisser vers la corbeille. Il est souvent relativement simple de récupérer des fichiers qui ont été supprimés par les méthodes habituelles d'un ordinateur. Si vous voulez que vos données soient vraiment irrécupérables, vous devez utiliser un logiciel supplémentaire spécialement conçu pour supprimer des données en toute sécurité. Soit utiliser la fonction « Secure Delete » de votre ordinateur, s'il en a une, ou télécharger à l'avance un logiciel tiers tel que le programme Windows gratuit dénommé Eraser.

Défendre les données externes

Ce ne sont pas toutes les informations que vous sauvegardez sur votre ordinateur ou smart phone qui sont conservées localement. Vous pouvez sauvegarder des données « dans le nuage » sur des sites comme Google Documents, sur des services de messagerie comme Gmail ou Yahoo, ou sur les services de réseaux sociaux hébergés tels que Facebook. Si vous vous souciez de l'accès à des informations privées, vous devriez également penser à la sécurité des données externes.

Les sociétés de services internet transmettent effectivement des données privées en réponse aux requêtes des gouvernements lorsque les lois locales l'exigent ou lorsqu'elles ont des liens économiques ou politiques étroits avec les autorités. Toutefois, on accède le plus souvent aux données sauvegardées «dans le nuage » par des voies détournées plutôt que par le biais d'une procédure régulière. Vos pirates peuvent obtenir votre identifiant ou mot de passe, ou alors se faire passer pour vous-même pour obtenir l'accès. Choisissez attentivement votre mot de passe et vos questions de sécurité pour éviter cela. Toujours utiliser une connexion cryptée, fournie soit par le service Internet via « https » ou votre propre logiciel. (Voir la section Protéger les communications.)

Ne vous contentez pas de protéger les données privées en ligne; pensez à ce que vous révélez sur les fora en ligne. Les réseaux sociaux ont souvent tendance à dire à tout le monde ce que vous leur dites. Cela vaut la peine de vous considérer régulièrement comme la cible d'un certain journalisme d'investigation. Imaginez la quantité d'informations que vous pouvez recueillir sur vos propres mouvements en cherchant sur le Web, et comment ces informations publiques pourrait être détournées par ceux qui veulent s'immiscer dans votre travail.

Choisir un mot de passe fort

La protection par un mot de passe fort est de loin la meilleure sécurité générale que vous pouvez apporter à vos données. Mais choisir un mot de passe imbattable est plus difficile qu'il ne le paraît. Beaucoup de gens sont choqués de découvrir que leur choix le plus ingénieux fait partie des mots de passe les plus fréquents. Les logiciels permettent aux pirates de générer des millions de mots de passe les plus probables et de les tester rapidement par rapport à un dispositif de mot de passe ou service protégé. Les choix traditionnels pour un mot de passe sécurisé, un simple mot du dictionnaire et un certain chiffre, par exemple, ou un mot dont les principales lettres sont remplacées par des signes de ponctuation vont profiter à ces pirates, s'ils sont trop courts.

Les pirates peuvent obtenir votre mot de passe en menaçant de vous faire du mal. Pensez à avoir un compte qui contient des renseignements anodins, dont vous pouvez divulguer le mot de passe.

Optez plutôt pour une « phrase de passe », une citation unique ou un dicton plus long que la moyenne de huit caractères du mot de passe, mélangée avec des signes de ponctuation aléatoires. Choisissez une phrase de votre auteur favori (mais obscure), ou une phrase absurde qui vous saute à l'esprit. Mélanger les minuscules et les majuscules. Plus le mot de passe est long, plus il sera susceptible de résister aux méthodes automatisées pour l'écraser. Une bonne façon de construire une phrase de passe forte et mémorable en se servant juste d'une paire de dés ordinaires est décrite à l'adresse www.diceware.com.

Si vous utilisez beaucoup de mots de passe, pensez à un gestionnaire de mots de passe, un logiciel qui va générer des mots de passe uniques et les sauvegarder en toute sécurité sous forme de phrase de passe unique. Assurez-vous que cette phrase de passe unique est forte. Gardez en mémoire les réponses que vous donnez pour les « questions de sécurité» (comme «Quel est le nom de jeune fille de votre mère? ») que les sites utilisent pour confirmer votre identité si vous oubliez votre mot de passe. Les réponses honnêtes à de nombreuses questions de sécurité sont des faits de notoriété publique qu'un adversaire bien déterminé peut facilement aider à trouver. A la place, donner des réponses fictives que, à l'image de votre phrase de passe, vous êtes seul à savoir. Ne pas utiliser les mêmes mots de passe ou réponses aux questions de sécurité pour plusieurs comptes sur différents sites ou services.

Enfin, sachez que les pirates ont toujours une façon d'obtenir votre mot de passe: Ils peuvent directement vous menacer de blessure physique. Si vous avez peur, cela peut être une possibilité, pensez à la façon dont vous pouvez cacher l'existence des données ou des périphériques que vous protégez à l'aide d'un mot de passe plutôt que d'être sûr que vous ne communiquerez jamais le mot de passe. Une autre possibilité consiste à maintenir au moins un compte qui contient des informations en grande partie innocentes et dont vous pouvez divulguer rapidement le mot de passe. Des logiciels comme TrueCrypt offrent cela comme une fonctionnalité intégrée.

Accroître la sécurité n'est jamais un exercice parfait, et il comporte toujours des compromis. Vous seul, pouvez déterminer l'équilibre entre faire efficacement votre travail et protéger vos données contre le piratage. En réfléchissant sur les solutions, soyez honnête concernant vos capacités et ne vous imposez pas des protocoles de sécurité impossibles. Le cryptage de votre courriel, la suppression sécurisée de fichiers, et l'utilisation de longs mots de passe ne vous faciliteront pas la tâche, de façon réaliste, vous ne devez pas suivre les pratiques habituelles. Pensez plutôt aux étapes fondamentales que vous allez réellement suivre. Si vous êtes plus préoccupé par des attaques techniques que par la saisie physique, par exemple, envisagez de prendre des notes sur papier plutôt que sur un document Word.

Si vous êtes confronté à des attaques techniques sophistiquées, la meilleure approche peut être simple et minimale. Vous seul, pouvez juger des avantages et des inconvénients. Ce n'est pas de la « cybercriminalité » que de noter vos longs mots de passe sur du papier que vous gardez dans un endroit sûr. Au moins, si quelqu'un le vole, vous saurez qu'il est temps de les changer. Eviter tout simplement de mettre ces mots de passe sur un post-it collé sur le mur de votre bureau.


Chapitre suivant: 4. Conflit armé


TAILLE DU TEXTE
A   A   A
PARTAGEZ L'INFO

   

Imprimer Imprimer

Partager Partager

Guide de Sécurité des Journalistes

Table des matières

2. Evaluation du risque et réponse

4. Conflit armé

 



Guide de Sécurité des Journalistes » Aller à: