Avis de sécurité

Sécurité numérique

Aussi disponible en Français, English, Español, Русский, Português

Jack Forbes

Les journalistes doivent non seulement se protéger eux-mêmes, mais aussi leurs sources en restant au courant des dernières actualités de la sécurité numérique et des menaces tels que le piratage, le phishing, et la surveillance. Les journalistes doivent tenir compte des informations dont ils sont responsables et de ce qui pourrait arriver si elles tombaient entre de mauvaises mains. Ils doivent prendre des mesures pour défendre leurs comptes, dispositifs, communications, et activités en ligne.

Protégez vos comptes

Phishing

Sécurité de l'appareil

Communications chiffrées

Utilisation sécurisée de l'Internet

Traverser les frontières

Protégez vos comptes

Les journalistes utilisent une gamme de comptes en ligne qui contiennent des renseignements personnels et professionnels sur eux-mêmes, leurs collègues, familles et sources. La sécurisation des comptes et la sauvegarde et suppression régulières des renseignements aident à se protéger contre les pirates. Ces mesures sont particulièrement importantes pour les journalistes éventuellement visés par un adversaire doté de capacités de haute technologie.

Pour protéger vos comptes :

  • Pensez aux informations qui sont stockées dans chaque compte, et aux conséquences éventuelles pour vous, votre famille et vos sources, si votre compte est compromis.

  • Vérifiez vos paramètres de confidentialité et comprenez quelles informations sont publiques, notamment sur les médias sociaux.

  • Créez des copies de sauvegarde des informations qui sont sensibles ou que vous ne voudriez pas rendre publiques, notamment des messages privés. Puis, supprimez-les de votre compte ou appareil. Stockez les copies en toute sécurité sur un disque externe ou dans le cloud.

  • Supprimez les comptes que vous n'utilisez plus. N'oubliez pas de créer des copies de toutes les informations que vous souhaitez sauvegarder.

  • Créez des mots de passe uniques et longs pour chaque compte. Ne réutilisez pas les mots de passe. Utilisez un gestionnaire de mots de passe pour vous aider à gérer vos mots de passe.

  • Activez l'authentification à deux facteurs (2FA) et utilisez une clé de sécurité comme une Yubikey si possible.

  • Vérifiez régulièrement « l'activité » de tous vos comptes. Vous pourriez ainsi voir si des appareils que vous ne reconnaissez pas, sont connectés.

Phishing

Les journalistes ont souvent un profil public et partagent leurs coordonnées afin d'obtenir des renseignements. Les adversaires qui veulent accéder aux données et appareils des journalistes peuvent les cibler (ou un collègue ou membre de la famille) en lançant des attaques par phishing sous la forme de courriels, SMS, médias sociaux, messages de discussion conçus sur mesure pour amener le destinataire à partager des informations sensibles ou à installer des logiciels malveillants après avoir cliqué sur un lien ou téléchargé un fichier. Il existe plusieurs types de logiciels espions et malveillants dont le niveau de perfectionnement varie. Cependant, les logiciels les plus avancés permettent aux attaquants à distance d'accéder à l'appareil et à tout son contenu.

Pour se défendre contre les attaques par phishing :

  • Faites des recherches sur les capacités de haute technologie de vos adversaires pour comprendre la menace et la probabilité que vous ou quelqu'un que vous connaissez pourrait être une cible.

  • Méfiez-vous des messages qui vous demandent de faire quelque chose rapidement ou semblent vous offrir quelque chose qui semble trop beau pour être vrai, surtout s'ils vous demandent de cliquer sur un lien ou de télécharger une pièce jointe.

  • Vérifiez soigneusement les détails du compte de l'expéditeur et le contenu du message pour voir s'il est légitime. De petites variations dans l'orthographe, la grammaire, la mise en page, ou le ton peuvent indiquer que le compte a été usurpé ou piraté.

  • Si quelque chose au niveau du message vous semble suspect ou inattendu, contactez l'expéditeur par un autre moyen, p. ex. par téléphone, pour vérifier.

  • Réfléchissez bien avant de cliquer sur un lien, même si le message semble être envoyé par quelqu'un que vous connaissez. Passez votre curseur sur les liens pour voir si l'URL est légitime.

  • Pré visualisez les pièces jointes que vous recevez par courriel ; si vous ne téléchargez pas le document, le logiciel malveillant sera bloqué. En cas de doute, appelez l'expéditeur et demandez-lui de copier le contenu dans le courriel.

  • Téléversez les liens et documents suspects à Virus Total, un service de détection de virus et logiciels malveillants, bien qu'il n'analyse que ceux qui sont connus.

  • Activez les mises à jour automatiques et assurez-vous que tous les logiciels sur vos appareils sont à jour. Les mises à jour corrigent les vulnérabilités connues utilisées par les logiciels malveillants pour compromettre votre sécurité.

  • Restez particulièrement attentif aux tentatives de phishing durant les élections et les périodes de troubles civils, ou lorsque des collègues ou groupes locaux de la société civile signalent qu'ils sont ciblées.

Sécurité de l'appareil

Les journalistes utilisent une vaste gamme d'appareils pour produire et stocker du contenu, et pour contacter des sources. Beaucoup de journalistes, particulièrement les indépendants, utilisent les mêmes appareils à la maison comme au travail, exposant potentiellement une grande quantité d'informations si elles sont perdues, volées, ou prises. Chiffrez les disques durs des ordinateurs, les téléphones, tablettes, et périphériques de stockage externes, en particulier si vous voyagez, pour s'assurer que personne ne peut avoir accès à ces informations sans mot de passe.

Pour sécuriser vos appareils :

  • Verrouillez les appareils par mot de passe, code, ou PIN. Les numéros d'identification personnelles ou mot de passe longs sont plus difficiles à débloquer.

  • Mettez à jour votre système d'exploitation lorsque vous y êtes invité pour aider à protéger les appareils contre les derniers logiciels malveillants.

  • Vérifiez les informations stockées sur vos appareils et déterminez comment vous ou d'autres personnes seraient exposés au risque.

  • Sauvegardez régulièrement les données de vos appareils dans le cas où ils sont détruits, perdus ou volés. Stockez les copies de sauvegarde en toute sécurité, loin de votre poste de travail habituel.

  • Supprimez régulièrement les informations sensibles, y compris les messages de discussion. Pour empêcher un adversaire de restaurer des fichiers supprimés, utilisez un logiciel d'effacement sécurisé pour nettoyer l'appareil, si disponible ; sinon, réinitialisez-le et utilisez-le à d'autres fins afin de réécrire la mémoire de l'appareil. (Sauvegardez d'abord tout ce que vous voulez garder, si non vous perdrez toutes vos données.)

  • Ne laissez pas les appareils en public sans surveillance, p.e. en les chargeant, car ils risquent d'être volés ou modifiés.

  • Ne branchez pas les périphériques dans des ports USB publics ou n'utilisez pas de clés USB qui sont remises gratuitement lors d'événements. Elles pourraient véhiculer des logiciels malveillants qui peuvent infecter votre ordinateur.

  • Sachez que votre appareil peut sauvegarder vos données sur le compte cloud associé au téléphone. Les informations stockées dans le cloud peuvent ne pas être chiffrées. Vous pouvez désactiver la sauvegarde automatique dans les paramètres.

  • Configurez vos appareils pour vous permettre d'essuyer les données à distance s'ils sont volés. Cette fonction doit être configurée à l'avance, et l'appareil sera seulement essuyé s'il est connecté à l'Internet.

  • Faites toujours réparer les appareils par un revendeur réputé.

Pour chiffrer votre appareil :

  • Les smartphones les plus récents disposent d'une fonction de chiffrement, assurez-vous simplement de l'activer dans la configuration.
  • Utilisez Bitlocker pour activer le chiffrement intégral du disque sur Windows, Firevault sur Mac, ou le logiciel gratuit Veracrypt pour les disques durs et le stockage externe.
  • Il est important de créer un mot de passe unique et long pour le chiffrement ; sur un smartphone, vérifiez les paramètres personnalisés pour ajouter un mot de passe plus complexe et plus long.
    • Sachez qu'un adversaire en possession de votre mot de passe ou ayant le pouvoir de vous obliger à décrypter votre appareil sera en mesure de visualiser les informations.
    • Consultez toujours la loi pour vous assurer que le chiffrement est légal dans le pays où vous vivez ou vers lequel vous vous rendez.

Communications chiffrées

Les journalistes peuvent communiquer avec des sources de manière plus sécurisée à l'aide d'applications ou de logiciels de messagerie instantanée qui permettent de chiffrer les courriels afin que seul le destinataire puisse les lire. Certains outils sont plus faciles à utiliser que d'autres. Le chiffrement protège le contenu des messages, mais les entreprises concernées peuvent encore voir les méta données, y compris quand vous avez envoyé le message, qui l'a reçu, et d'autres détails révélateurs. Les entreprises ont des politiques différentes sur la manière de stocker ces données et de réagir lorsque les autorités les leur demandent.

Les applications de messagerie instantanée recommandées offrent un chiffrement de bout en bout, c'est-à-dire, les informations sont chiffrées dès que l'expéditeur les envoie au destinataire. Les deux parties doivent avoir un compte avec la même application. Toute personne ayant accès à un appareil qui envoie ou reçoit un message ou au mot de passe du compte lié à l'application, peut encore intercepter le contenu du message. Voici certains exemples d'applications de messagerie instantanée qui offrent un chiffrement de bout en bout : Signal, WhatsApp, et Telegram.

Un courriel chiffré est un moyen d'échange d'informations plus sécurisé avec une source ou personne de contact. Les deux parties doivent télécharger et installer des logiciels spécifiques afin d'envoyer et recevoir des courriels chiffrés.

Pour utiliser des applications de messagerie chiffrée :

  • Faites des recherches sur le propriétaire de l'application, le type de données utilisateur gardées, et déterminez si ces données sont obtenues sur injonction par un gouvernement. Vérifiez quelle est leur politique pour répondre aux demandes de partage de données utilisateur.

  • Utilisez un code PIN ou un mot de passe avec l'application, si possible, afin d'empêcher quelqu'un de l'ouvrir si l'on vole votre téléphone.

  • Comprenez où les informations envoyées à votre applications de messagerie instantanée sont stockées sur votre téléphone.
    • Tout ce que vous téléchargez, comme des photos, sera enregistré sur votre appareil et peut être copié sur d'autres appareils et applications, surtout lorsque vous sauvegardez vos données.
    • Certains services, comme WhatsApp, sauvegardent le contenu de vos messages sur le compte cloud associé au numéro de téléphone.
    • Les contacts enregistrés dans votre téléphone sont synchronisés avec les applications de messagerie instantanée et les comptes cloud, afin que les numéros que vous essayez de supprimer quelque part puissent être conservés ailleurs.

  • Sauvegardez et supprimez régulièrement les messages afin de stocker le moins possible sur un seul appareil ou compte. Créez un processus d'examen du contenu, y compris les documents et les messages multimédia, et stockez les téléchargements ou captures d'écran sur un périphérique de stockage externe chiffré.
    • La fonction de disparition de messages de Signal vous permet de supprimer automatiquement des messages après un certain temps.

Pour utiliser un courriel chiffré :

  • Demandez de l'aide auprès d'une personne de confiance qui s'y connaît en technologie. Il n'est pas toujours facile de configurer un courriel chiffré si vous êtes débutant.

  • Choisissez un logiciel de chiffrement de messagerie de bonne réputation qui a été revu par des pairs. Actualisez toujours votre logiciel pour être protégé contre les vulnérabilités de sécurité.

  • Prenez le temps à l'avance pour créer un mot de passe unique et long pour votre logiciel de courriel chiffré. Si vous oubliez ce mot de passe vous n'aurez plus accès aux courriels chiffrés.

  • Envoyez régulièrement des courriels chiffrés pour ne pas oublier comment utiliser le logiciel.

  • Les détails du courriel, tels que le titre et les adresses électroniques qui envoient et reçoivent le message, ne sont pas chiffrés.

Voici des exemples de logiciels de chiffrement de courrier électronique : GPG Suite pour Mac, GPG4win pour Windows et Linux, Thunderbird avec extension Enigmail, et Mailvelope.

Utilisation sécurisée de l'Internet

Les journalistes ont besoin de l'Internet mais ne veulent pas forcément partager leur activité en ligne avec chaque prestataire de services internet, café internet, ou hôtel avec connexion WiFi gratuite.

Les criminels et les adversaires sophistiqués sont capables de voler des informations ou surveiller les journalistes qui naviguent sur des sites web non sécurisés ou utilisent des connexions WiFi publiques.

Pour utiliser l'Internet en toute sécurité :

  • Vérifiez que chaque site web URL (https://cpj.org) est précédé par 'https' et un icône d'un cadenas, ce qui indique que le trafic entre vous et le site est chiffré. Vérifiez que les sites que vous visitez sont sécurisés à l'aide de l'extension de navigateur HTTPS Everywhere d'Electronic Frontier Foundation.

  • Vérifiez que l'adresse du site web est authentique et n'a pas été usurpée. L'URL doit être orthographié correctement et contenir 'https'.

  • Installez un bloqueur de publicités pour vous protéger contre les logiciels malveillants qui sont souvent cachés dans les pop-ups publicitaires. Les bloqueurs de publicités vous permettent d'empêcher le blocage de certains sites.

  • Installez Privacy Badger pour bloquer les sites web et publicitaires qui suivent les sites que vous visitez en ligne.

  • Désactivez le Bluetooth et les autres applications et services de partage de fichiers quand vous ne les utilisez pas.

  • Utilisez un VPN pour protéger le trafic Internet, surtout avec le WiFi public non sécurisé qui vous rend vulnérable au piratage ou à la surveillance.

  • Évitez d'utiliser des ordinateurs publics, surtout dans les cafés internet ou salles de presse. Déconnectez-vous de toutes les sessions et effacez votre historique de navigation après, si l'on ne peut l'éviter.

  • Songez à installer Tor Browser Bundle, un pack de navigation libre qui permet de rendre anonyme votre utilisation d'Internet ou Tails, un système d'exploitation libre qui achemine tout votre trafic internet par Tor. Tor est particulièrement recommandé pour les journalistes qui enquêtent sur des sujets sensibles comme la corruption à haut niveau impliquant les gouvernements dans les pays dotés de capacités de haute technologie sophistiquées.
Jack Forbes

Traverser les frontières

Bon nombre de journalistes traversent les frontières dans le cadre de leur travail et ont des renseignements personnels auxquels ils ne veulent pas donner accès à qui que ce soit à partir d'appareils électroniques. Si les garde-frontières enlèvent un appareil hors de vue, ils peuvent l'examiner, accéder à tous les comptes, copier des informations, ou installer des logiciels espions. Les journalistes qui passent les frontières américaines devraient consulter la note de sécurité du CPJ, «

Rien à déclarer. »

Avant de voyager :

  • Sachez quelles informations se trouvent sur vos appareils et comment elles peuvent poser un risque pour vous et vos personnes de contact. Supposez que vos appareils peuvent être assujettis au même niveau de surveillance que les bloc-notes et documents imprimés dans vos bagages.

  • Sauvegardez toutes les données de vos appareils sur un disque dur externe ou dans le cloud. Enlevez toute information à laquelle vous ne voudriez pas que les fonctionnaires aux frontières aient accès depuis vos appareils.

  • Achetez des appareils neufs à utiliser uniquement pour voyager si possible, surtout si vous travaillez sur des sujets sensibles. Si vous voyagez avec un appareil personnel ou professionnel, sauvegardez le contenu en toute sécurité, puis effacez ou réinitialisez.

  • Activez le chiffrement intégral du disque dur pour tous les périphériques afin d'assurer que vos informations ne peuvent pas être accédées sans mot de passe. Faites des recherches sur les restrictions concernant le chiffrement du pays que vous visitez pour vous assurer de ne pas enfreindre les lois. Soyez conscient que les forces de sécurité peuvent être légalement autorisées à demander votre mot de passe. Demandez conseil à votre employeur ou avocat avant de voyager s'il se peut que vous soyez arrêté à la frontière.

  • Déconnectez-vous de tous les comptes sur vos appareils et désinstallez les applications jusqu'à ce que vous ayez franchi la frontière et atteint une connexion Internet sécurisée.

  • Effacez votre historique de navigation sur tous vos appareils. (Votre prestataire de services internet garde un registre des sites web que vous avez visités.)

  • Verrouillez tous vos appareils par code PIN ou mot de passe au lieu de données biométriques comme votre visage ou empreinte digitale.

  • Activez l'effacement à distance de vos appareils et laissez des instructions claires auprès d'une personne de confiance pour effacer vos appareils à distance si vous êtes détenu.

À la frontière :

  • Coupez vos appareils pour activer le chiffrement du disque dur.

  • Gardez un œil sur vos appareils lorsqu'ils passent la sécurité.

  • N'allumez pas votre téléphone avant que vous ne soyez loin de l'aéroport. Tous les appels et SMS seront acheminés via un prestataire de services local qui peut recueillir le contenu ou le partager avec les autorités. Utilisez un VPN pour vous connecter au WiFi de l'aéroport.

Si n'importe quel appareil est confisqué à la frontière ou quoi que ce soit est inséré, supposez que l'appareil est compromis et que toutes les informations ont été copiées.

Dossiers plus
Publié

Vous aimez cette article? Soutenez notre travail