Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

Le danger du faux sentiment de sécurité (informatique) chez les journalistes

D'un journaliste on ne fera pas un hacker

Former les journalistes à plus de sécurité informatique, c'est bien. Leur proposer les bons outils, aussi. Mais gare au faux sentiment de sécurité...

Les journalistes transformés en hackers peuvent devenir des fashion victims - https://thehappyhoodedhacker.tumblr.com

C'est une vieille discussion, qui, si ma mémoire est bonne, avait déjà donné lieu à des échanges entre Grégoire Pouget et moi. Les archivistes de Twitter devraient en retrouver trace. Un nouvel échange sur Twitter m'incite à reprendre la plume sur ce sujet. Les formations pour les journalistes se multiplient ces dernières années. Comment mieux protéger ses sources, comment communiquer à l'abri des oreilles indiscrètes sur Internet, comment chiffrer ses données, bref, comment éveiller les journalistes aux bonnes pratiques en ligne. Bien entendu, tout ce qui va dans ce sens, que cela concerne les journalistes ou M. et Mme Michu, est bon à prendre. Mais ces formations peuvent avoir des effets de bord négatifs.

Le plus important étant de créer un faux sentiment de sécurité. Les journalistes formés peuvent penser (pas forcément à cause du formateur) qu'ils sont désormais à l'abri. Je sais chiffrer, je sais utiliser un VPN, Tor, etc., donc, out est ok, je ne risque plus rien.

Le journaliste, même spécialisé, est généralement un bon vulgarisateur, mais pas un expert du sujet qu'il couvre. N'allez toutefois pas lui dire cela, il est persuadé qu'il est un expert... Même punition lorsqu'il aura installé son premier container Veracrypt.

Le voilà donc parti sur les Internets avec moult applications permettant de sécuriser ses usages du réseau. Sauf que... Sauf que le réseau, #saycompliqué. Il y a les applications que l'on utilise, le réseau, justement, et le truc entre la chaise et l'écran. Le même journaliste qui utilise ses nouveaux outils va continuer à poker ses amis sur Facebook, liker les tweets, que sais-je.

En outre, quel que soit le degré de hackeritude toute neuve du journaliste, il se fera défoncer informatiquement parlant s'il devient la cible d'une surveillance de la part d'un service ou d'une officine. Pendant des années, les hacktivistes recommandaient de partager une mailbox et de s'échanger des messages sous forme de brouillon, sans envoyer les mails. Sauf que...

Sauf que les sociétés vendant du DPI monitoraient les mails sauvegardés en brouillons...

Documentation Qosmos - D.R.
Documentation Qosmos - D.R.

On ne fait pas d'un journaliste un informaticien, encore moins un hacker. Et quand bien même... La complexité croissante de "l'informatique" fait que même un bon "hacker" (informaticien, spécialiste en sécurité informatique, ...) ne peut en maîtriser tous les aspects. Dans les années 90 déjà, alors que tout était presque d'une simplicité enfantine, les meilleures équipes de hacker regroupaient des profils très éclectiques, disposant chacun d'une spécialité (réseau, serveurs Web, téléphonie, satellites, cryptographie, reverse engineering,...).

Imaginons un groupe de hackers qui piraterait le FBI, des sociétés travaillant pour le département de la Défense, donc rompus à l'exercice complexe de l'effacement des traces de leurs méfaits... Même en s'y prenant bien, ils se font attraper. Comment, dès lors, imaginer qu'un journaliste, formé en quelques jours, quelques semaines, puisse passer au travers des mailles d'un filet ? L'essentiel est qu'il en soit conscient... Encore une fois, il est utile de sensibiliser les gens à ces problématiques, mais il faut le faire en spécifiant qu'il n'y a pas de méthode magique. Que tout ce qui passe sur le réseau doit être considéré comme potentiellement public.

Notre journaliste trop sûr de lui risque aussi de sous-estimer la puissance des outils qui sont désormais mis à la disposition des "forces de l'ordre". Il suffit de faire le tour de Milipol pour s'en convaincre.

Mais ceci dit... Qui suis-je pour parler de tout ça, hein ?

martin clavey
martin clavey

3 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée