Mohammad Naweed, journaliste dans l’ouest de l’Afghanistan, dissimule son identité pour des raisons de sécurité alors qu’il donne une interview à l’Associated Press à Kaboul, en Afghanistan, le 3 février 2021. (AP Photo/Rahmat Gul)
Notes De Sécurité

Sécurité numérique et physique : protection des sources confidentielles

La protection des sources confidentielles est une pierre angulaire de l’éthique journalistique. Lorsque les journalistes acceptent de protéger l’identité d’une personne, ils doivent mettre tout en œuvre pour le faire, surtout lorsqu’une source pourrait être arrêtée ou qu’on pourrait lui nuire. 

Le maintien de la confidentialité est devenu plus difficile en raison des niveaux croissants de surveillance et de contrôle numériques par les autorités et le public. Il est donc conseillé aux journalistes de tenir compte des conseils de sécurité suivants pour protéger l’identité des sources confidentielles.  

Sachez toutefois que les organisations médiatiques peuvent disposer d’une politique obligeant les journalistes à communiquer l’identité d’une source à leurs rédacteurs. Dans certains pays, les organisations peuvent également avoir le droit légal de remettre les carnets ou l’équipement d’un journaliste à un tribunal ou aux autorités, s’ils sont considérés comme appartenant à l’organisation. Renseignez-vous sur ces règles avant de faire des promesses.

Veuillez noter que cette introduction a été rédigée pour un public mondial et revêt donc un caractère général. Demandez des conseils supplémentaires pour les contextes et les questions spécifiques à chaque pays.

Contenu

  • Planification
  • Évaluation des risques par rapport aux avantages 
  • Meilleures pratiques en matière de sécurité numérique
  • Recherches sur votre source
  • Communication avec les sources
  • Réception et gestion de documents
  • Rencontre avec les sources
  • Anonymisation des sources
  • Publication de contenu
  • Maintien de la confidentialité

Planification

Avant d’échanger pour la première fois avec des sources confidentielles, la préparation est essentielle, tout comme la coopération continue, les communications sécurisées et la confiance.

  • Ne présumez jamais qu’une source est d’accord pour que son identité soit révélée. Demandez toujours son consentement.
  • Faites des recherches sur les obligations légales concernant le travail avec des sources confidentielles. Celles-ci varient en fonction du pays et de l’employeur.
  • Essayez de savoir si la source a déjà parlé à d’autres journalistes ou si d’autres organisations pourraient essayer de la contacter.
  • Existe-t-il un risque que la source soit surveillée, ou se cache-t-elle déjà ? Si les autorités ou des acteurs hostiles l’ont déjà à l’œil, tout échange avec elle pourrait vous mettre en danger.
  • Déterminez une méthode de vérification, comme une phrase inhabituelle ou une question à laquelle répondre, et utilisez-la chaque fois que vous parlez à la source.  
  • En fonction du risque, il pourrait s’avérer nécessaire de trouver un endroit où la source pourrait loger temporairement pour des raisons de sécurité. 

Évaluation des risques par rapport aux avantages

Tenez toujours compte de la sensibilité de l’histoire et des informations de la source, ainsi que de son identité.

  • Existe-t-il un risque important pour vous ou votre source si vous communiquez entre vous ? L’utilisation d’informations classifiées ou volées peut avoir de graves conséquences pour vous et votre organisation médiatique.
  • Quelle est l’utilité et la fiabilité de ses informations ? Examinez ses motivations et déterminez si elle pourrait présenter un risque pour vous ou votre organisation. 
  • Tenez compte de son identité, notamment des facteurs comme l’ethnicité, le sexe, le profil, la sexualité, la religion et le casier judiciaire. Si son identité est compromise, ces facteurs pourraient-ils être utilisés pour discréditer l’histoire ou accroître le risque qu’elle soit arrêtée ou qu’on lui nuise ?

Meilleures pratiques en matière de sécurité numérique

Il existe plusieurs façons d’accéder à des données, notamment les assignations émanant des gouvernements, l’accès physique aux appareils, le piratage et les logiciels espions. Consultez un expert en sécurité numérique si vous avez des doutes sur la façon de protéger l’identité d’une source. 

  • Suivez les meilleures pratiques en matière de sécurité numérique et familiarisez-vous avec les outils et les services dont vous pourriez avoir besoin pour assurer la sécurité de votre source.
  • Procédez à une évaluation des risques numériques. Cela vous aidera à évaluer et, si possible, à atténuer les risques pour vous et vos sources. Le Rory Peck Trust dispose d’un modèle complet d’évaluation des risques numériques pour les journalistes.
  • Demandez-vous qui pourrait vouloir vous cibler, ou cibler votre source, et réfléchissez aux moyens dont pourrait disposer cet adversaire en termes de pouvoir, d’argent et de capacité technologique.  
  • Dans la mesure du possible, n’utilisez pas vos appareils personnels ou professionnels pour contacter des sources sensibles. Achetez des appareils destinés spécifiquement à communiquer avec eux, et gardez vos données professionnelles et personnelles séparées. Si possible, réglez ces appareils et cartes SIM en espèces et évitez de les lier à quelque chose qui pourrait vous identifier, comme une carte de crédit ou une carte d’identité. (Cela ne sera pas toujours possible selon l’endroit où vous vivez et travaillez.) 
  • Activez l’authentification à deux facteurs pour tous les comptes et utilisez des mots de passe longs et uniques et un gestionnaire de mots de passe. Pour de plus amples renseignements, consultez le guide du CPJ sur la protection des comptes.
  • Procédez régulièrement à la mise à jour de vos appareils, applications et navigateurs pour disposer de la toute dernière version afin de mieux vous protéger contre les logiciels malveillants et les logiciels espions.
  • Sensibilisez la source aux meilleures pratiques numériques et aux risques associés afin qu’elle puisse vous contacter de la manière la plus sécurisée possible. 
  • Limitez autant que possible les contacts avec la source.

Recherches sur votre source

  • Sachez que votre fournisseur d’accès Internet (FAI) conserve une copie de votre historique de navigation qu’un gouvernement peut vous assigner à produire, ou à laquelle les employés dans l’entreprise peuvent avoir accès. 
  • Faites des recherches sur les FAI de votre pays pour déterminer à qui ils appartiennent et si le gouvernement accède aux données des utilisateurs par des moyens légaux ou autres. 
  • Utilisez un VPN pour mieux protéger votre historique Internet et éviter qu’elle ne soit journalisée par votre FAI ou des plateformes comme les moteurs de recherche. Choisissez un service VPN qui n’enregistre pas votre historique de navigation et qui n’est pas connu pour partager les données avec les gouvernements ou autres. Les gouvernements peuvent créer ou gérer des prestataires de services VPN agréés ou exiger que les services conformes communiquent les données des utilisateurs.
  • Si vous êtes détenu(e) et que vos appareils sont examinés, sachez que l’historique de navigation peut donner des détails sur vos recherches en ligne. Supprimez régulièrement l’historique de votre navigateur, mais sachez que les gouvernements ont toujours la possibilité de demander aux entreprises concernées, comme un service VPN ou un opérateur de moteur de recherche, de communiquer les données pertinentes. 

Communication avec les sources

  • Lorsque vous enregistrez des coordonnées, utilisez un pseudonyme au lieu du vrai nom de la source, et encouragez-la à en faire de même pour vous. Lorsque le contact terminé, supprimez tous les deux les coordonnées de l’autre de vos appareils et comptes en ligne respectifs.
  • Sachez que les entreprises de téléphonie mobile et les fournisseurs d’accès Internet recueillent des données sur leurs utilisateurs, notamment des données qui peuvent être utilisées pour vous identifier et localiser vos contacts. 
  • Les messages SMS et les appels téléphoniques fixes ou mobiles effectués par l’intermédiaire d’une entreprise de télécommunications ne sont pas chiffrés, ce qui signifie que les gouvernements et d’autres personnes peuvent accéder à l’information.
  • Votre téléphone portable peut être utilisé pour vous localiser et localiser votre source. Si vous vous rencontrez en personne, laissez tous les deux vos téléphones chez vous. Les rencontres en personne sont plus sûres que les communications en ligne. (Voir « Rencontre avec les sources » ci-dessous.) 
  • Faites des recherches sur les services en ligne que vous utilisez, comme les applications de messagerie ou les fournisseurs de messagerie électronique, pour déterminer si les données des utilisateurs ont fait l’objet d’une ordonnance de production émanant d’un gouvernement. La plupart des entreprises de technologie publient un rapport annuel de transparence qui détaillent les demandes de données utilisateurs et indiquent si elles s’y sont conformées. 
  • Communiquez avec des sources en utilisant des applications de messagerie chiffrées de bout en bout, dans la mesure du possible, comme Signal, WhatsApp ou Wire. Lorsque vous utilisez Signal et WhatsApp, activez la fonction de disparition des messages. Ces services présentent de grandes différences en matière de sécurité. Pour plus de détails, consultez le guide du CPJ sur les communications chiffrées.
  • Si une source vous contacte au moyen d’un service qui n’est pas chiffré de bout en bout, déplacez la conversation vers un service chiffré dès que possible. Dans la mesure du possible, effacez le message original et encouragez votre source à en faire de même. Cette manipulation supprime uniquement le message du compte, auquel cas une copie est susceptible d’exister sur le serveur de la société. 
  • Si vous devez contacter votre source par e-mail, créez un nouveau compte de messagerie destiné uniquement à cette fin. Le compte ne doit contenir aucune donnée personnelle, telle que votre vrai nom, et ne doit pas être lié à votre numéro de téléphone ou à un compte en ligne à votre nom. Pour de plus amples renseignements sur la façon de créer un compte de messagerie électronique, consultez le guide de sécurité numérique du Rory Peck Trust. 

Réception et gestion de documents

  • Sachez que presque tout ce que vous faites sur vos appareils est susceptible de laisser une trace, même après l’avoir supprimé. Les experts informatiques peuvent récupérer le contenu supprimé même si vous avez utilisé un logiciel spécialisé pour épurer votre ordinateur.
  • Conservez les documents sensibles sur un ordinateur isolé de tout réseau informatique, qui a été modifié pour qu’il ne puisse pas se connecter à Internet. Cela réduit la possibilité qu’un étranger puisse y accéder. 
  • Pour les histoires très sensibles, pensez à utiliser Tails, un système d’exploitation portable sécurisé pouvant être utilisé sur un ordinateur quelconque. Demandez l’aide d’un expert en sécurité pour le configurer. 
  • Envoyez les documents sensibles via SecureDrop  à l’aide du navigateur TOR si celui-ci a été configuré par votre salle de presse ou votre organisation. Vous aurez besoin de l’aide d’un expert en sécurité numérique.
  • Les journalistes ne disposant pas de SecureDrop doivent demander à recevoir les documents de moins de 100 Mo via Signal ou un autre service chiffré de bout en bout. Les documents de plus de 100 Mo peuvent être envoyés en utilisant OnionShare.
  • Sachez que les métadonnées contenues dans les documents, les fichiers et les applications de messagerie – comme l’heure et la date d’envoi d’un document – ne sont pas toujours chiffrées et pourraient permettre à quelqu’un d’identifier votre source.
  • Veillez à mettre en place un processus pour sauvegarder et supprimer le contenu stocké dans les applications de messagerie. Discutez avec votre source de la façon dont elle peut mieux gérer les données stockées dans ses applications et sur ses appareils. Consultez un professionnel de la sécurité numérique pour déterminer la meilleure façon de gérer ces données.
  • Recherchez régulièrement sur les appareils les documents et données qui pourraient présenter des risques pour vous ou d’autres personnes, surtout si vous traversez des frontières ou des postes de contrôle. 
  • Dans la mesure du possible, chiffrez vos appareils, documents et lecteurs externes et veillez à choisir un mot de passe de chiffrement long et unique. Tenez-vous informé(e) des lois sur le chiffrage dans les pays dans lesquels vous vivez, vous travaillez et vous vous rendez. On pourrait vous demander de déverrouiller des appareils chiffrés, auquel cas le choix de le faire ou non vous appartiendra. 

Rencontre avec les sources

  • Évaluez les avantages et les inconvénients des rencontres en personne par rapport aux communications via une plateforme numérique sécurisée.
  • Décidez qui est en charge de la rencontre et de tout changement de plan le jour même.
  • Donnez-vous rendez-vous dans un endroit neutre qui ne peut être associé à l’adresse personnelle ou professionnelle de votre source. Assurez-vous qu’il y a plusieurs voies de sortie.
  • Soyez à l’affût de tout signe de surveillance pendant la rencontre. Ayez un contact de confiance à portée de main pour donner l’alerte si nécessaire.
  • Déterminez la manière dont vous transporterez en toute sécurité les informations sensibles recueillies pendant la rencontre vers votre lieu de travail, surtout si elles peuvent permettre à quelqu’un d’autre d’identifier la source.  
  • Envisagez des options de transport, en gardant à l’esprit la possibilité que vous puissiez être surveillé(e) par CCTV :
  • Si vous utilisez les transports en commun, réglez en espèces plutôt qu’à l’aide d’une carte bancaire qui peut être localisée.
  • Retirez de l’argent au moins un jour avant la rencontre afin de réduire la possibilité d’associer les images des guichets automatiques au jour de la rencontre.
  • Les plaques d’immatriculation des véhicules privés peuvent être repérées par des caméras. Essayez de garer le véhicule hors de vue dans une zone sécurisée, et toujours dans le sens de la voie de sortie.
  • Si vous croyez être surveillé(e), faites demi-tour et annulez la rencontre.

Anonymisation des sources

Si vous prenez des photos ou des vidéos de la source, tenez-compte des éléments suivants:

  • Pour un enregistrement audio, utiliserez-vous une voix hors champ robotisée ou la voix de quelqu’un d’autre ? 
  • Allez-vous anonymiser son visage ? Ou n’allez-vous pas du tout montrer son visage ?
  • Comment allez-vous l’appeler ? Même un surnom codé peut permettre à quelqu’un de l’identifier.
  • Sachez que les éléments suivants donnent tous des indices sur l’identité de la source ou l’endroit où elle vit :
    • des marques distinctives sur le corps, comme un tatouage, un grain de beauté, une cicatrice ou une tache de naissance ;
    • certains vêtements ou bijoux ;
    • des caractéristiques identifiables en arrière-plan, tels que des lieux d’intérêt, des bâtiments ou des montagnes ;
    • des objets uniques en arrière-plan comme une photo, un trophée, un meuble, un véhicule ou un papier peint.

Publication de contenu

  • Supprimez les métadonnées des fichiers, y compris les photos, avant de les envoyer à d’autres personnes. Les métadonnées d’un fichier peuvent donner des informations sur la personne qui l’a créé ou envoyé, et peuvent inclure des informations sur l’emplacement, la date et l’heure, ainsi que la marque et le modèle de l’appareil utilisé. 
  • Les captures d’écran ou les photos de l’écran de l’ordinateur ou du téléphone d’une source peuvent contenir des informations qui pourraient être utilisées pour l’identifier, y compris des imperfections sur l’écran comme un pixel cassé, ou la couleur et le style d’une icône de souris.
  • Les documents imprimés peuvent contenir des informations intégrées telles que l’heure et la date auxquelles les pages ont été imprimées, ainsi que des détails sur l’imprimante utilisée pour les imprimer. 
  • Le contenu expurgé ou flouté des documents peut être révélé à l’aide d’un logiciel spécialisé. 

Maintien de la confidentialité

  • Évitez de révéler l’identité de la source à quiconque, à moins que ce ne soit absolument nécessaire. Plus il y a de gens qui savent, plus le risque est grand.
  • Évitez d’écrire ou d’imprimer toute information concordante. Même de petits détails comme les initiales de la source ou le nom d’un endroit pourraient aider à l’identifier.
  • Surveillez les réseaux sociaux. À la moindre indication que la source pourrait être découverte, envisagez de la reloger temporairement dans un endroit sûr en fonction du niveau de risque.
More On:
Notes de sécurité