« Sécurité numérique au passage des frontières à l’attention des journalistes». Le titre de ce billet de Robert Graham, Errata Security, ne peut que retenir l’attention des gratte-papiers de CNIS. Avec d’autant plus d’intensité que cet article est révélateur de l’état schizophrénique de bien des spécialistes de la sécurité de l’information et de leur décalage patent entre les nécessités métier et leur logique systématique.
A l’origine, un rapport très généraliste du Commitee to Protect Jounalists (CPJ), lequel distille régulièrement des règles de bon sens à l’attention de la gente rédactrice. Conseils portant parfois sur les différentes techniques de cyber-protection, ou dossiers complets sur les techno-réflexes à acquérir en matière de bonnes pratiques numériques.
Et le fondateur d’Errata Security d’analyser un à un ces conseils donnés via une infographie (retirée depuis), pour y ajouter son grain de sel et donner un éclairage plus radical en matière de sécurité de l’information. Tout y passe : politique de mots de passe renforcée, authentification multi-facteur, chiffrement systématique des disques, utilisation de logiciels d’échange chiffrés (Signal, Whatsapp… avec de véritables morceaux de closed source dedans)… en bref, une « hard security » d’entreprise au service des globe-trotters.
Seulement voilà. Graham est un citoyen US, qui ne semble jamais s’être retrouvé entre deux armoires à glace de l’Immigration Service, expliquant qu’entre fournir la clef de déchiffrement d’un disque ou un séjour tous frais payés dans un établissement d’Etat il n’y avait pas d’autre choix offerts à l’intéressé. Jamais, non plus, le défenseur du mot de passe inviolable, de Signal ou de GPG n’a envisagé que la possession ou l’émission d’un contenu chiffré était, dans bien des pays (USA y compris) le catalyseur d’une mise sur écoute systématique ou le déclencheur d’une perquisition musclée, en vertu du principe du « celui qui n’a rien à se reprocher n’a rien à cacher ». La liste des clients de la très respectable entreprise Française Amesys pourrait d’ailleurs suffire pour dresser la liste des pays en question, prouvant ainsi qu’il n’est pire bâillon que celui qui revêt les oripeaux d’une démocratie en lutte contre le terrorisme.
Les premières armes d’un journaliste traversant une frontière sont essentiellement la dénégation plausible et un ordinateur non chiffré et « décommissionné » entre chaque déplacement. Et accessoirement la connaissance de quelques techniques stéganographiques, de moyens de communication discrets, et d’une attitude numériquement « normale », consistant à consulter sa messagerie ou expédier des articles anodins à périodes régulières. Un journaliste qui se promène avec les éditions complètes du petit Kali-Linux illustré est aussi repérable par les barbouzes de tous poils qu’une première communiante dans une bacchanale de César (Jules).
En revanche, l’abus de chiffrement (si possible d’origine étrangère et le plus récent possible) est une garantie de protection des sources, y compris et surtout dans le pays d’origine de l’enquêteur. Tout comme l’emploi de canaux de communication chiffrés et autres boucliers numériques : Tor, Wire, GPG, services proxy hébergés, Proton Mail et serveurs de domaines/messagerie situés « hors juridiction » locale, téléphones le moins « smart » possible et abonnements « à la carte », machines virtuelles d’isolation, firewall configurés en mode parano, réseau local de travail confiné, duplicatas de données éparpillés géographiquement… mais pas dans le cloud ; la panoplie est vaste et nécessite souvent de solides connaissances tant en informatique qu’en droit international, accompagnée d’une certaine lucidité sur la capacité de nuisance des opérateurs télécom locaux. La sécurité et le journalisme sont deux corps chimiques instables qui ne peuvent être soumis à une norme ISO 27xxx, et qui demande une constante adaptation au milieu.