La Sécurité Avant Tout !
EN BREF: Restez numériquement, physiquement et psychologiquement en sécurité et conscient⋅e des risques potentiels à tout moment en adoptant quelques bonnes pratiques et outils de base pour protéger vos sources humaines, vous-même et vos preuves.
Rester en sécurité et conscient⋅e fait partie intégrante de toute investigation. Lorsque vous vous lancez dans une investigation, la sécurité de vos sources et de vos collaborateurs et collaboratrices, votre propre sécurité et la sécurité de vos données doivent toujours être une priorité.
Considérez la sécurité comme faisant partie intégrante de l'esprit d'investigation, comme quelque chose que vous devez prévoir et auquel vous devez penser. En plus de cela, réfléchissez-y comme une opportunité qui peut vous donner un aperçu de la manière dont vos traces des données numériques et physiques peuvent exposer des informations. La sécurité ne doit pas être une simple liste de points de contrôle que vous devez cocher avant de poursuivre votre investigation. Si vous considérez la sécurité comme une liste de vérification, vous risquez d'avoir un faux sentiment de sécurité.
Nous nous concentrerons ici sur les principes centraux et étapes à prendre en compte avant de commencer à collecter des informations, à les vérifier et à investiguer de manière plus approfondie, en ligne et hors ligne. Considérez cette section comme le point de départ de ce qui fera partie de votre état d'esprit d'investigat⋅eur⋅rice ; un ensemble de comportements et d'attitudes qui doivent progressivement s'ancrer et s'adapter à votre propre contexte, à votre style de travail et à vos objectifs. Si vous maîtrisez les bases, vous pourrez facilement progresser et adopter des techniques et des outils plus sûrs et adaptés à votre profil particulier.
Ne pas nuire
Pensez et planifiez toujours vos recherches et vos actions de manière à augmenter l'impact positif et à réduire l'impact négatif potentiel sur les personnes avec lesquelles vous travaillez, sur les questions que vous étudiez et sur vous-même, entre autres. Cela fait partie du principe de « Ne faire de mal à personne » ("Do No Harm") et en tant qu'investigat⋅eur⋅rice (ou activiste, ou chercheur, chercheuse, etc.), vous devez l'intégrer dans vos évaluations et vos décisions à tout moment.
Le principe « Ne pas nuire » a été développé dans le secteur de l'aide et de l'intervention humanitaire, or il est tout aussi valable partout ailleurs. Il part du principe que tous vos comportements et actions ont des conséquences, qu'elles soient positives ou négatives, ou les deux. L'idée est de NE PAS apporter plus de menaces et de causer plus dommages que ce qui était au préalable.
Il existe une formule très simple que vous pouvez garder à l'esprit en ce qui concerne la sécurité :
Actions + Comportements = Conséquences
Tenez-vous-en à cette formule lorsque vous planifiez votre propre travail et lorsque vous évaluez votre étape suivante. Il s'agit d'une formule essentielle qui vous aide à analyser les façons dont nos actions et nos comportements peuvent avoir un impact sur la sécurité et la condition des autres, de vous-même et des informations avec lesquelles vous travaillez.
Pour en savoir plus sur le principe « Ne pas nuire » et les évaluations connexes susceptibles de vous aider dans votre planification et vos actions, consultez le « Manuel de sécurité holistique » de Tactical Tech - « La sécurité et l'approche "Ne pas nuire" » (en anglais).
Que protégez-vous ?
La question la plus importante lorsqu'il s'agit de rester en sécurité est : « Que protégez-vous exactement ? »
La liste peut être résumée comme suit :
Contacts : Les personnes avec lesquelles vous vous engagez (sources, collaborateurs, collaboratrices, collègues, proches, etc. et dont vous avez accès aux informations / recueillez / utilisez / stockez .
Vous-même : Il est important de rester en sécurité, de minimiser les risques et d'atténuer les menaces qui pèsent sur vous.
Données : Les informations que vous collectez doivent être protégées contre tout accès par des tiers sans consentement ou autorisation et doivent pouvoir être récupérées en cas de perte, de dommage par altération ou de vol.
Tout est dans le contexte / Une solution unique ne convient pas à tous et toutes
Il est utile de considérer la sécurité comme un élément lié au contexte spécifique dans lequel vous travaillez et à ce que vous essayez de faire. Par exemple, effectuer une recherche en ligne comme par google dorking comporte des risques différents de ceux d'une recherche sur le terrain. En même temps, toutes les recherches sur le terrain ne sont pas aussi risquées ; cela dépend d'un certain nombre de facteurs, que vous pouvez lire dans notre guide de recherche sur le terrain.
Lorsque vous pensez à la sécurité, considérez d'abord la fonction que vous exercez en vous posant quelques questions comme celles-ci :
Qui/qu'est-ce qui fait l'objet de votre investigation ?
Investiguez-vous sur un site Web ?
Investiguez-vous sur une entreprise ?
Vous allez sur le terrain ?
Allez-vous mener des interviews ?
La caractérisation de ce que vous essayez de faire est importante, car elle déterminera en grande partie les menaces que vous pourrez rencontrer. Pour faire face à ces menaces, vous devez décider des mesures à prendre pour assurer votre sécurité et celle des personnes avec qui vous interagissez
La sécurité ne peut pas être divisée de façon nette entre le numérique et le non-numérique. L'objectif final est que vous puissiez faire votre travail tout en veillant à la sécurité des personnes. Ce que vous faites dans votre vie numérique peut facilement déborder sur votre vie physique, et vice versa. C'est pourquoi il est important d'aborder la sécurité de manière holistique et de comprendre où les menaces peuvent apparaître.
En bref :
La sécurité concerne la fonction que vous exercez et le contexte dans lequel cette fonction est exercée.
La sécurité ne peut pas être divisée de façon nette entre le numérique et le non numérique.
La sécurité ne peut être abordée indépendamment de celle des autres personnes avec lesquelles vous travaillez et communiquez.
Évaluation et atténuation des risques
Il est essentiel de penser aux risques et aux menaces possibles associés au type d'activité de recherche ou d'investigation que vous entreprenez dans n'importe quel contexte - en ligne et hors ligne, environnement amical ou hostile, etc. - et de répertorier ces risques anticipés chaque fois avant de commencer une investigation, ainsi que de les revoir au cours du processus d'investigation. C'est ce qu'on appelle l'évaluation des risques. L'objectif de cette évaluation est d'essayer de réduire les menaces que vous anticipez en prenant les précautions appropriées. Cet effort de réduction des menaces s'appelle l'atténuation des risques.
Note :
Plus votre activité est complexe et risquée, plus votre évaluation et votre atténuation des risques doivent être complètes.
L'évaluation et l'atténuation des risques sont des exercices courants dans un certain nombre de disciplines impliquant des activités en ligne et sur le terrain, notamment la recherche scientifique, les investigations journalistiques, les enquêtes des forces de l'ordre ou les missions humanitaires sur le terrain.
Avant de commencer votre travail, assurez-vous de toujours avoir un plan d'atténuation des risques. Il s'agit de trouver des moyens de prévenir, de répondre et de résoudre les problèmes qui pourraient survenir. Ce plan peut vous aider à gérer les problèmes potentiels mis en évidence dans votre évaluation des risques.
Conseil :
Il n'existe pas de modèle particulier d'évaluation et d'atténuation des risques que vous devriez suivre comme une règle générale. Vous devrez adapter ce processus à vos propres méthodes de recherche et à votre contexte, ainsi qu'aux sujets et aux thèmes de votre investigation. Vous serez confronté⋅e à différents degrés et types de risques ou de menaces si vous recherchez sur Internet des rapports d'ONG sur les violations des droits Humains par des entreprises depuis votre domicile, ou si vous effectuez des recherches sur le terrain pour observer les faits et interviewer les personnes concernées. De même, vous devrez prévoir différents types de risques si vous prenez des photos du bâtiment de la mairie dans le centre d'une ville paisible que si vous devez photographier une zone où la déforestation est en cours, dans un endroit isolé à la périphérie de la même ville.
Il ne s'agit là que d'exemples limités, cependant plus vous serez en mesure d'anticiper et d'analyser votre/vos situation(s), plus vous serez à même d'évaluer et d'atténuer les risques associés. Votre évaluation et votre planification seront également différentes si vous effectuez vos recherches individuellement, dans un groupe informel ou dans le cadre d'une organisation. Une organisation aura probablement des procédures standard sur la façon dont vous devez planifier, agir et vous comporter, alors que si vous agissez seul⋅e, vous devrez être très prudent⋅e dans votre évaluation et vos précautions. Nous ne vous recommandons jamais de prendre une initiative seul⋅e ou d'investiguer de manière isolée. La collaboration avec des personnes de confiance vous offrira toujours un meilleur plan d'atténuation des risques.
Chez Tactical Tech, nous avons abordé cet aspect de l'évaluation des menaces dans notre manuel en ligne Holistic Security / Sécurité Holistique, qui aborde la sûreté et la sécurité dans une perspective plus large, qui inclut le bien-être physique et mental lors du travail individuel ou en groupe. Vous pouvez lire sur la perception et l'évaluation des risques et des menaces dans le chapitre Explore - Identifying and Analysing Threats / Explorer - Identifier et analyser les menaces.
Image de la matrice des menaces tirée du manuel de Sécurité Holistique de Tactical Tech, source: https://holistic-security.tacticaltech.org/chapters/explore/2-8-identifying-and-analysing-threats.html.
L'idée qui sous-tend la matrice ci-dessus est que les menaces peuvent être considérées et classées en fonction des éléments suivants :
la probabilité que la menace se concrétise, et
l'impact si et quand elle se concrétise.
La probabilité et l'impact sont des concepts qui nous aident à déterminer le risque : plus la probabilité ou l'impact d'une menace est élevé, plus le risque est élevé. Si une menace est moins probable ou a un impact moindre, le risque est plus faible.
Il existe de nombreux modèles et guides d'évaluation et d'atténuation des risques. En consulter davantage peut vous aider à mieux comprendre le processus afin de l'appliquer à votre situation spécifique.
Voici quelques suggestions pour vous aider à démarrer, toutefois sachez que chaque article et guide est écrit d'un point de vue particulier ou pour un groupe particulier. Essayez donc d'extrapoler à partir du vocabulaire ou des tâches spécifiques mentionnés dans certains d'entre eux, ils peuvent être appliqués à de nombreux autres contextes non mentionnés :
Surveillance Self-Defence(copie archivée de Wayback Machine disponible ici), de l'Electronic Frontier Foundation - une ressource avec des conseils, des outils et des méthodes pour rester conscient⋅e et faire face aux risques dans des situations de surveillance potentielle (en français)
Pre-assignment Preparation: emergency response (copie archivée de Wayback Machine disponible ici), du Comité pour la protection des journalistes (CPJ) - une liste de ressources disponibles qui peuvent vous aider à apprendre et à préparer les éléments de sécurité de vos enquêtes sur le terrain. Elle est pertinente pour tout⋅e chercheuse, chercheur, et pas seulement pour les journalistes travaillant sur leurs missions. (en anglais)
Risk management for NGOs (copie archivée de Wayback Machine disponible ici), des Nations Unies Somalie. Notez que le guide est applicable de manière générale, et pas seulement pour la Somalie (en anglais)
"De-escalate Anyone, Anywhere, Anytime" - il s'agit d'un fichier PDF à télécharger directement (copie archivée de Wayback Machine disponible ici), de RightResponse.org - une introduction générale et il n'a pas été écrit pour les investigatrices, investigateurs spécifiquement mais peut être utilisé comme point de départ (en anglais)
DSD Working Papers on Research Security series (copie en archive depuis Wayback Machine disponible ici) - Des guides poussés traitent de la sécurité lors de recherches sur le terrain dans des zones dangereuses; consultez-le en gardant cela à l'esprit (en anglais)
What to Do When Authorities Raid Your Home, du Global Investigative Journalism Network (GIJN) - étapes pratiques à envisager et à entreprendre lorsque votre domicile/lieu de travail fait l'objet d'une descente de police (ou si vous pensez que cela pourrait être le cas) en guise de représailles éventuelles pour votre travail d'investigation.
Afin de faciliter un peu votre planification, et tout en admettant que nous ne pouvons pas anticiper et évaluer tous les risques pour vous ici - n'oubliez pas que chaque investigation est différente ! - nous vous proposons des moyens concrets pour atténuer les risques potentiels lors de vos recherches en ligne, hors ligne ou sur le terrain. Dans chacune des sections de ce kit (depuis Comment investiguer et Sur quoi investiguer), vous trouverez beaucoup plus de détails sur l'évaluation et l'atténuation des risques, ainsi que des méthodes et des outils recommandés à adopter dans des situations spécifiques.
Sécurité numérique
Lorsque vous pensez à assurer la sécurité de vos données et de vos informations, vous pensez peut-être à deux choses distinctes :
La première consiste à protéger vos données afin qu'elles ne puissent pas être utilisées par une actrice malveillante ou acteur malveillant pour causer un préjudice ou qu'elles ne représentent pas une rupture du droit à la vie privée.
La seconde consiste à les garder en sécurité afin de pouvoir les récupérer en cas de dommage ou de perte.
La sécurité numérique consiste à sauvegarder vos données. Ces données peuvent être vos :
contacts
localisations
phrases/mots de passe
habitudes numériques
Ces données peuvent être disponibles via :
vos appareils
vos messages
vos comptes en ligne
votre historique d'activité internet
Toutefois n'oubliez pas que la sécurité ne se limite pas aux outils. Ce ne sont pas tout le temps les outils techniques que nous choisissons qui nous compromettent, mais notre comportement. L'être humain est souvent le maillon le plus faible et même si vous utilisez les outils les plus sûrs, vous pouvez toujours être victime d'une intrusion.
Quelques éléments à garder à l'esprit lorsque vous réfléchissez à la sécurité :
Qu'est-ce que vous partagez,
Comment vous communiquez,
Sur quoi vous cliquez (attaque par hameçonnage (phishing)),
Quel appareil vous choisissez,
Avec qui vous décidez de partager.
Il est important de noter que la sécurité numérique ne dépend pas seulement de votre propre compréhension des risques, mais aussi des mesures que vous prenez pour atténuer ces risques. Pensez à la sécurité comme à un sport de groupe, où nous dépendons tous les un⋅e⋅s des autres. Plus nous sommes collectivement conscient⋅e⋅s des risques et des vulnérabilités, mieux nous pouvons prendre des mesures pour atténuer ces risques.
Si l'intégrité des données est violée par quelqu'un⋅e qui accède à vos appareils ou à ceux de quelqu'un⋅e d'autre qui possède les mêmes données, les risques restent les mêmes, même si vous avez pris toutes les mesures pour garantir la sécurité des données de votre côté. C'est pourquoi vous devez prêter attention à la sensibilisation à la sécurité numérique des autres personnes ou aux plateformes et services avec lesquels vous interagissez.
Note :
Il n'est pas toujours facile de mettre la sécurité numérique sur la table, cependant assurez-vous que les personnes qui travaillent avec vous comprennent les menaces de la même manière que vous et disposent d'un plan si les choses tournent mal. Partagez vos plans de sécurité et vos évaluations avec les collaborateurs et collaboratrices qui travaillent avec vous sur une investigation, et veillez à ce que vos sources soient également informées des risques.
Quelques pratiques pour assurer la sécurité de vos informations d'identification et de vos données
Utiliser une longue phrase de passe (mot de passe) (en anglais),
Utiliser une authentification à deux facteurs (en anglais, et voir le Data Detox Kit en français: https://datadetoxkit.org/fr/home),
Protégez les phrases de passe en utilisant des gestionnaires de phrases de passe,
Veillez à mettre en place des outils de restauration lorsque c'est possible, comme l'ajout d'un courriel de récupération,
Sauvegarder les données,
Chiffrer les données,
Le chiffrement de bout en bout permet de garantir que le fournisseur de services ne peut pas accéder à votre contenu,
Soyez conscient⋅e de qui a accès à vos données,
Évaluez les outils que vous utilisez.
Quelques critères pour vous aider à évaluer un outil numérique
Vérifiez si l'outil :
Est open source : Le code source est-il accessible au public pour que vous ou d'autres personnes puissiez le consulter ? Même si vous ne pouvez pas lire ou évaluer le code, le fait que le code source soit ouvert signifie qu'il peut être vérifié et audité par des personnes compétentes.
Procure un chiffrement de bout en bout : Cela signifie que les données sont chiffrées avant d'être envoyées à la partie réceptrice, et que seule celle-ci peut déchiffrer les données, et pas le fournisseur de services.
Ne stocke pas de données inutilement : Les outils qui gardent la trace de plus de données que nécessaire pour remplir leur fonction risquent d'exposer ces données à un moment ou un autre.
Ne fait pas fuiter les données : Lors de l'exécution des fonctions avec cet outil, aucune donnée inutile n'est exposée par inadvertance au public ou à des tiers.
Ne partage pas les données : Certains outils ou services partagent vos données ou les vendent à des tiers ; vous pouvez souvent vous renseigner à ce sujet en lisant les conditions d'utilisation et/ou la politique en matière de données d'un outil (application, logiciel, etc.).
Les compromis de la sécurité
Lorsque vous choisissez des outils, vous devez souvent faire un compromis entre ce qui est utile, facile à utiliser et sécurisé.
Bien que de nombreux outils se concentrent de plus en plus sur la sécurité, vous devez toujours mettre en balance votre sécurité avec la fonctionnalité et la facilité d'utilisation. La clé ici est de comprendre le contexte dans lequel vous vous trouvez, et ce que vous gagnez ou perdez en utilisant un outil particulier. Il est important d'identifier vos points faibles plutôt que de renforcer vos points forts. En général, vos points faibles sont ceux qui sont exploités, et pour ces points faibles, il est parfois judicieux d'investir dans les aspects de sécurité plutôt que dans les fonctionnalités ou la convivialité.
Par exemple, un outil très sécurisé peut nécessiter la saisie d'une phrase de passe à chaque fois que vous l'utilisez, alors qu'un autre est plus facilement utilisable en enregistrant la phrase de passe pour vous. Il s'agit de trouver un compromis entre la simplicité d'utilisation de l'application, qui prend moins de temps, et la possibilité d'y accéder en cas de vol de votre appareil.
Les compromis de la sécurité: sécurité, fonctionnalité, convivialité - image par Tactical Tech
Utilisation d'outils pour l'investigation
Quels que soient les outils que l'on décide d'utiliser, les outils qui permettent de trouver des traces laissent également des traces - sur Internet, tout est traçable, il est important de comprendre que le diable se cache dans les paramètres par défaut (the devil is in the defaults) - vérifiez toujours les paramètres et lisez les conditions générales - et testez avant d'utiliser.
Données et appareils
Assurez-vous que vos données et vos appareils sont sécurisés. Pour ce faire, vous pouvez vous assurer que vos appareils sont chiffrés. Voici quelques pratiques et outils recommandés :
Utilisez le chiffrement intégral du disque : utilisez des outils comme Bitlocker (pour Windows − ici en anglais), FileVault (Mac - ici en français), dm-crypt (Linux - ici en anglais) pour chiffrer votre disque et les fichiers de votre ordinateur.
Utilisez les conteneurs de fichiers VeraCrypt ou Cryptomator pour les données que vous stockez sur votre appareil.
Sauvegardez vos données sur un point distant (cloud) et sur des disques durs pour les sécuriser en cas de perte des appareils.
Envoyer des données
Utilisez des services de confiance sécurisés pour envoyer des données, par exemple :
Sécurité en ligne
La recherche et la collecte de preuves en ligne - qu'il s'agisse de données sur les réseaux sociaux, de dossiers d'entreprises en ligne, de détails sur la propriété des domaines, de l'historique des sites web, de métadonnées d'images, etc. - implique de naviguer sur un grand nombre de plateformes, d'outils et de services. Certains d'entre eux fonctionnent avec le navigateur Tor, ce qui vous permet de protéger votre vie privée dans une certaine mesure. D'autres non seulement ne fonctionnent pas avec Tor, puis aussi vous demandent en plus de vous inscrire avec une adresse électronique, un nom et d'autres données personnelles. En fonction du sujet de votre investigation, de votre contexte et de celui des personnes avec lesquelles vous travaillez, laisser des traces numériques pendant que vous investiguez en ligne peut vous exposer à un risque accru.
Note :
Assurez-vous que l'utilisation du chiffrement est légale dans la juridiction où vous l'utilisez. Certaines zones imposent des restrictions à l'utilisation du chiffrement et son utilisation peut vous mettre en danger.
Considérez ces suggestions de techniques et d'outils de sécurité numérique comme des aides à protéger votre vie privée numérique et à renforcer la sécurité de vos appareils et de vos données.
Comptes
Certains services en ligne vous demandent de créer un compte, de choisir un nom d'utilisateur, d'utilisatrice, de fournir des informations de paiement, de vérifier une adresse électronique ou de vous inscrire avec votre profil de réseau social pour avoir accès à leurs plateformes. Essayez de limiter votre exposition en envisageant ces options :
Créez un compte de messagerie électronique plus sécurisé et compartimenté, ce que vous pouvez faire facilement avec des services comme Tutanota ou Protonmail.
Mettez en place des comptes distincts de ceux des réseaux sociaux à utiliser avec les services qui nécessitent vos données, afin de compartimenter (séparer) votre travail d'investigation de votre identité personnelle en ligne.
Créez une « identité » à usage unique pour une investigation particulière, et supprimez-la une fois les recherches terminées. Cela peut s'avérer nécessaire, notamment lorsque vous effectuez un travail sensible.
Réseaux Privés Virtuels (VPNs)
Si vous ne pouvez pas utiliser Tor, une autre option, bien que moins efficace pour préserver votre anonymat, serait d'utiliser un VPN (réseau privé virtuel).
Note :
Les VPN fonctionnent en déguisant votre adresse IP, qui peut être utilisée par les sites Web que vous visitez pour déterminer d'où vous venez. Lorsque vous utilisez un VPN, plutôt que de voir votre véritable adresse IP, les sites que vous visitez verront l'IP du fournisseur de VPN.
Visiter un site web, c'est comme passer un appel téléphonique. Le site Web que vous visitez peut voir votre « numéro » - votre adresse IP - qui peut être utilisé pour déterminer d'où vous venez.
Considérez le VPN comme un tunnel isolant entre vous et le site que vous voulez visiter. Le VPN crée un tunnel autour de votre trafic afin qu'il ne puisse pas être observé de l'extérieur, et l'achemine via un serveur intermédiaire appartenant à votre fournisseur de VPN, de sorte que votre trafic semble provenir d'un endroit différent de celui où vous vous trouvez réellement. Ni le navigateur web, ni votre fournisseur d'accès à Internet, ni le site que vous visitez ne verront votre IP ou ne pourront déterminer votre provenance. Les sites verront uniquement que votre trafic provient de l'adresse IP de votre fournisseur VPN.
Note :
Par exemple, si vous effectuez des recherches sur une société et que vous visitez fréquemment la page Web de son conseil d'administration - une page qui reçoit généralement très peu de trafic -, vos visites répétées depuis votre emplacement spécifique pourraient alarmer la société sur vos recherches.
Il existe de nombreux choix de VPN et il peut être déroutant de décider lequel choisir. Pour ajouter à la confusion, la plupart des revues et des listes de VPN ne sont pas indépendantes, certaines sont vraiment biaisées. SafetyDetectives est un site d'évaluation des VPN que nous pouvons conseiller.
Il est recommandé de choisir une société VPN qui affirme ne pas enregistrer les activités de votre trafic. Bien que vous deviez éviter la plupart des VPN gratuits parce qu'ils financent souvent leur fonctionnement en vendant leurs données d'activités (enregistrements des sites que les utilisateurs, utilisatrices visitent via le VPN), il y a certains VPN réputés que nous recommandons : Bitmask, Riseup VPN, PsIPhon, Lantern.
Communication
Communiquer en toute sécurité est un aspect essentiel des investigations et du monde numérique. L'interception des communications est l'un des plus grands risques qui peuvent mettre en danger vos sources, vous-même ou le secret des informations que vous recueillez. Il est important de choisir les bons outils, en particulier lorsque vous dépendez des autres.
Vous communiquez souvent par le biais de messages électroniques et d'applications de messagerie. Dans la mesure du possible, utilisez des courriels chiffrés - PGP / Pretty Good Privacy - dans vos communications par courriels avec vos collaboratrices, collaborateurs, vos sources et les personnes interviewées.
Note au sujet de PGP:
PGP chiffre le contenu d'un courriel. Il ne chiffre cependant pas les métadonnées, relatives au courriel. Les métadonnées peuvent être l'expéditeur, expéditrice, le ou la destinataire, la ligne d'objet, l'heure d'envoi et diverses autres informations d'en-tête de courriel. Cela signifie qu'il est toujours possible d'extraire de nombreuses informations des messages électroniques chiffré avec PGP, cependant pas le contenu du message lui-même.
Pour les appels et la messagerie, il existe différentes applications offrant des niveaux de chiffrement et de confidentialité accrus, comme Signal ou Wire. Ces applications sont préférables à WhatsApp ou Telegram, bien que ces dernières soient d'un usage plus courant et que vous puissiez rencontrer des personnes qui ne sont pas facilement accessibles sur d'autres applications (plus sûres). Il convient de noter que toutes ces applications de communication ne sont pas disponibles partout et qu'il existe des régions où l'utilisation de Wire, par exemple, est impossible car elle est bloquée.
Note :
Consultez notre guide, en anglais, Keeping Your Digital Communication Private de Security-in-a-Box pour obtenir des détails sur le fonctionnement de PGP et sur la manière d'adapter le chiffrement à votre situation, ainsi que pour obtenir des conseils, des outils et des méthodes plus complets pour préserver la confidentialité de vos communications numériques au mieux.
Lorsque vous êtes contraint⋅e de recourir à des moyens de communication conventionnels - appels téléphoniques non chiffrés, lignes fixes, etc. -, veillez à ne fournir que le minimum d'informations à votre interlocutrice, interlocuteur et essayez d'établir à l'avance quels détails il est moins risqué de communiquer avec la personne à l'autre bout du fil, et comment. Lorsque vous craignez les menaces et la surveillance, utilisez les méthodes avec chiffrement ci-dessus pour entrer en contact avec une personne proche de vos sources qui pourra vous aider à organiser une rencontre.
Note :
Il est très important de noter que chaque téléphone mobile est traçable par défaut et que vous ne pouvez rien y faire. C'est ainsi que fonctionne la téléphonie mobile : les fournisseurs de signaux savent où se trouvent tous les appareils qui accèdent à leur réseau, 24 heures sur 24 et 7 jours sur 7. Cette traçabilité des appareils peut également être étendue en activant le suivi de l'emplacement qui peut utiliser le GPS, le WIFI, le Bluetooth, etc., ce qui rend le suivi plus précis et permet à davantage de tiers (autres que votre fournisseur) d'exploiter vos données de localisation s'ils le souhaitent.
À l'occasion, si vous pensez que votre téléphone pourrait être surveillé, envisagez d'utiliser un téléphone jetable - un téléphone que vous pouvez utiliser à une ou quelques occasions et qui n'est pas lié à vous ou dont vous pouvez vous débarrasser facilement.
Notez que le fait de porter sur soi des appareils n'est pas un compromis facile à faire, plus vous portez d'appareils, mieux vous pouvez trouver, collecter et gérer les informations - en revanche avec plus d'appareils, vous augmentez les risques associés à ces appareils. Un téléphone dit intelligent peut être extrêmement utile, néanmoins il restera toujours un dispositif de localisation. Décidez avec soin de ce que vous portez et des risques qui y sont liés - prenez des décisions conscientes - et si vous prenez des risques, ne les prenez pas au nom d'autres personnes. Un appareil peut vous conduire en toute sécurité à une réunion et en revenir, et il peut aussi révéler votre source à tout moment.
Le projet Guardian crée des applications sécurisées et faciles à utiliser dans le cadre de son objectif de solutions axées sur la sécurité. Vous trouverez des applications recommandées, viables et approuvées sur leur site Web.
Sécurité sur le terrain
Les investigations sur le terrain comportent plus de risques physiques que le travail derrière un ordinateur. Voyager dans de nouvelles zones, parler aux gens, filmer ou utiliser certains équipements peut vous faire paraître suspect⋅e dans certains contextes. C'est pourquoi il est essentiel de planifier, de réaliser une évaluation des risques et d'envisager les conséquences possibles de vos actions, même si vous êtes persuadé⋅e que votre activité présente peu de risques. Il n'y a pas de règles strictes pour une évaluation des risques, cependant assurez-vous d'avoir un plan clair établi à l'avance, de savoir qui sont vos contacts importants et quelles personnes ou organisations pourraient vous aider sur le terrain.
Voici quelques aspects essentiels à prendre en compte pour évaluer votre situation :
Si votre activité comprend des entretiens avec des sources confidentielles ou vulnérables, abordez les risques auxquels elles sont exposées dans votre évaluation. Discutez avec elles des vulnérabilités auxquelles elles pourraient être confrontées en collaborant avec vous.
Faites attention lorsque vous décidez de l'ordre dans lequel vous recueillez les informations, des personnes avec lesquelles vous les partagez, du moment et du lieu où vous vous arrangez pour les rencontrer et de l'endroit et de la manière dont vous stockez les informations que vous avez recueillies. Commencez par des recherches de fond et des interviews ou du travail de terrain moins risqués, puis progressez au fur et à mesure que vous recueillez des informations et réévaluez toujours les risques.
Prenez garde à ne pas divulguer d'informations confidentielles ou sensibles sur votre investigation et vos sources. Cela pourrait vous mettre en danger, vous et vos collaboratrices, collaborateurs, en fonction du contexte et des questions sur lesquelles vous faites des recherches.
Note :
Le risque est hérité. Si vous êtes une personne présentant peu ou pas de risque (vous vivez et travaillez dans une zone sûre) mais que vous interviewez une personne présentant un risque élevé (vivant dans une zone dangereuse, étant sous pression, travaillant sur des questions controversées), vous héritez de ce risque. Votre niveau de risque sera plus élevé pendant un certain temps avant et après l'entretien. Si vous interviewez une personne pour un rapport ou un article qui sera publié, préparez-vous à ce que votre risque augmente au moment de la publication. Lorsque vous investiguez sur des personnes en position de pouvoir et d'influence, préparez-vous à un risque accru prolongé si elles ont connaissance de votre investigation.
D'un autre côté, tout comme vous héritez des risques des autres, ils, elles héritent des vôtres. Opérer dans une zone à faible risque ou avoir un profil à faible risque ne signifie pas que vous ne présentez aucun risque pour les autres. Au contraire, vous pouvez contribuer à augmenter le risque des personnes avec lesquelles vous interagissez. Cela peut se produire lorsque votre comportement habituel dans une zone à faible risque peut très bien vous mettre en danger dans d'autres zones. Des actes très simples et normaux, comme communiquer à l'aide d'un téléphone portable sur un réseau mobile, peuvent être sans danger et ne pas inquiéter quelqu'un⋅e dans une zone à faible risque, mais peuvent facilement exposer quelqu'un⋅e à un danger dans une zone à haut risque. Par conséquent, il arrive souvent que l'on expose les autres simplement en ne reconnaissant pas le contexte des personnes avec lesquelles on interagit.
Prenez votre localisation avec prudence
Un certain nombre d'applications courantes, dont Google Maps et WhatsApp, vous permettent de partager votre position en temps réel avec des personnes spécifiques pendant une période limitée. Cette fonctionnalité peut s'avérer utile lors d'une recherche sur le terrain, car elle permet à un⋅e collègue de confiance de surveiller où vous vous trouvez, par mesure de sécurité.
D'un autre côté, le fait de partager votre position en temps réel peut vous mettre en danger si d'autres personnes intéressées par vos déplacements sont en mesure d'accéder aux données que vous partagez. Lorsque vous effectuez des recherches sur des sujets sensibles, ou si vous soupçonnez que vous êtes sous surveillance, vous devriez éviter de partager ou de stocker votre position sans utiliser de chiffrement.
Envisagez plutôt de trouver d'autres moyens de suivre vos déplacements quotidiens pendant votre investigation, par exemple en marquant manuellement les lieux et les détails, ou en utilisant une carte en papier. Dans de nombreux cas, il est plus sage de désactiver ces fonctions de partage de localisation sur votre téléphone portable et sur d'autres appareils dotés de fonctions de localisation. La plupart des smartphones vous permettent de le faire sous « Paramètres de localisation ».
N'oubliez pas non plus que les menaces et les insuffisances numériques sont étroitement liées à la sécurité physique et peuvent avoir un effet sur celle-ci, ainsi que sur la sécurité physique des autres personnes connectées à vous.
Note :
Les métadonnées des images peuvent révéler plus que vous ne le souhaitez. Quelqu'un⋅e peut s'en servir pour localiser sur Internet d'autres photos que vous, ou quelqu'un d'autre, avez prises avec le même appareil, ou pour déterminer votre lieu de résidence si l'une des photos a été prise chez vous. Si vous souhaitez conserver les informations de localisation comme éléments de preuve, notamment lors de vos recherches sur le terrain, vous devez également le faire avec prudence quant à l'endroit et à la manière dont vous partagez les images et les autres données de localisation que vous collectez.
Pour d'autres lectures relatives aux métadonnées, à la sécurité et aux méthodes de recherche, consultez ces ressources :
Why Metadata Matters / Pourquoi les métadonnées sont importantes - une introduction (en anglais) de Surveillance Self Defense / EFF (Voir la liste complète des modules numériques de sécurité : https://ssd.eff.org/)
Behind the Data: Investigating Metadata / Derrière les données: enquêter sur les métadonnées - un guide (en anglais) présentant des méthodes, des cas et des outils pour le suivi et la vérification des métadonnées dans différents contextes et sur différentes plateformes en ligne.
Pour un aperçu complet des actions et des risques liés à la réalisation d'enquêtes sur le terrain, lisez notre guide Kit (en français) « Loin de Votre Écran, Sur le Terrain »
D'autres facteurs importants
Vous rencontrerez des situations où votre sexe, votre ethnie, votre religion et d'autres aspects personnels auront un effet sur votre sécurité, sur la façon dont vous pouvez faire votre travail et sur la façon dont les autres personnes vous acceptent ou s'adressent à vous. Soyez-en conscient⋅e et veillez à établir des limites claires dès le départ pour éviter des réactions indésirables ou inattendues. Faites des recherches sur le lieu, la culture, les croyances et les normes sociales des endroits, des communautés et des personnes que vous visitez ou avec lesquelles vous envisagez de parler.
Consultez les sections « La sécurité avant tout ! » dans le kit en ligne pour obtenir des conseils détaillés appliqués à chaque contexte d'investigation : kit.exposingtheinvisible.org.
Publié en août 2020 / mis à jour en novembre 2021
Ressources
Articles et Guides
Asi Que Necesitas Hacer Una Videollamada, from Derechos Digitales. A brief guide in Spanish on how to chose the optimal videoconferencing tools for your needs and risk level.
Data Detox Kit from Tactical Tech - online step-by-step guide that and interactive materials that help you clean your online traces and be more aware about your online practices (see the privacy essentials here:https://datadetoxkit.org/en/privacy/essentials)
Digital Security Checklist - helpful checklist of tools you should/could have or use to stay safer online (browsing, communications, data storage/sharing etc.)
Guide to Secure Group Chat and Conferencing Tools, from Frontline Defenders.
Holistic Security, from Tactical Tech - a resource about physical and digital security and wellbeing when researching and investigating in action.
Ononymous, from Tactical Tech - Videos and resources about security for beginners.
Security in a Box from Tactical Tech (in multiple languages) - guides and recommendations on tools and practices to keep you safe online (except for the sections labeled 'unmaintained')
Surveillance Self-Defense, from the Electronic Frontier Foundation (EFF) - basics on how surveillance works, and tips, tools, tutorials for safer online communications.
Technology is Stupid, from Tactical Tech - A discussion on the security and ethics of choosing software.
What to Do When Authorities Raid Your Home, by Julia Krasnikova, April 22, 2021, for GIJN - practical steps to consider and to undertake as recommended by the world’s top investigative reporters.
Outils et bases de données
Navigateurs et moteurs de recherche
TOR browser : pour une navigation respectueuse de la vie privée sur Internet
Brave browser : un navigateur respectueux de la vie privée qui bloque les trackers
DuckDuckGo : moteur de recherche qui ne vous psite pas pendant vos recherches et n'en conserve pas l'historique
Https everywhere : Extension pour Firefox, Chrome et Opera qui chiffre vos communications avec de nombreux sites Web importants, rendant ainsi votre navigation plus sûre.
PrivacyBadger : module complémentaire qui bloque les traceurs invisibles avec lesquels vous interagissez sur le web
VPN - Réseaux Privés Virtuels
ThatOnePrivacySite : un site d'évaluation des VPN à consulter pour décider du VPN à utiliser. Il est recommandé de choisir une société VPN qui affirme ne pas enregistrer les journaux de votre trafic.
! La plupart des VPN gratuits doivent être évités, car ils financent souvent leur fonctionnement en vendant leurs données de connexion (enregistrements des sites que les utilisateurs visitent via le VPN), Cependant, il y a quelques VPN réputés que nous pouvons approuver, tels que : Bitmask, Riseup VPN, PsIPhon, Lantern, ProtonVPN.
Chiffrement des disques et des fichiers
VeraCrypt : logiciel gratuit de chiffrement de disque à code source ouvert pour Windows, Mac OSX et Linux
Cryptomator : Outil gratuit de chiffrement de fichiers open source, pour une utilisation en ligne uniquement, chiffre vos données et permet de les télécharger de manière protégée vers votre service de cloud, votre lecteur etc...
Chiffrement des courriels
GPG : pour le chiffrement et signature de courriels
Mailvelope : un module complémentaire de navigateur que vous pouvez utiliser dans Firefox ou Chrome pour chiffrer vos courriels en toute sécurité avec PGP / Pretty Good Privacy
Thunderbird : Un client de messagerie gratuit qui peut être utilisé avec un plugin appelé Enigmail pour offrir une intégration PGP transparente.
Gestionnaires de phrases de passe
KeepasXC : gestionnaire pour le stockage sécurisé des phrases/mots de passe hors ligne
LastPass : pour une gestion sécurisée des phrases/mots de passe en ligne
Communications
Signal : application de communication avec chiffrement pour téléphone et ordinateur
WIRE : application de communication avec chiffrement disponible gratuitement sur les appareils androïdes et les iphones, également disponible pour les ordinateurs de bureau
Autres
What is My IP Address : vous montre votre adresse IP, votre localisation et d'autres détails tels qu'ils sont vus par les sites web que vous visitez, et vous permet également de localiser les détails d'autres personnes par leur adresse IP
MyLocation : similaire au précédent, en aidant aussi au suivi des IP
Cover Your Tracks : vous montre à quel point votre navigateur est traçable et où sont vos vulnérabilités, afin que vous puissiez prendre de meilleures mesures de sécurité
Greenbeam : Module complémentaire de Mozilla Firefox qui vous permet de voir les sites et les traceurs de première et de tierce partie avec lesquels vous interagissez lorsque vous êtes sur sur le web
Have I Been Pwned : vous indique si votre messagerie et d'autres services protégés par un mot de passe ont été piratés et où se trouvent les failles.
How Secure is My Password : Un site web qui vous permet de tester la force des mots de passe et des phrases de passe, et qui vous montre également dans quelle mesure ils sont faciles ou difficiles à casser. N'y utilisez pas vos vrais mots de passe
Glossaire
term-fde
Full Disk Encryption (FDE) - (chiffrement intégral du disque) Chiffrer vos disques durs ou vos supports de stockage entièrement et non pas seulement une partie d'entre eux, de sorte que l'ensemble du stockage n'est pas accessible sans le déchiffrer au préalable.
term-metadata
Metadonnées - Également appelées « données sur les données », les informations qui décrivent les propriétés d'un fichier, qu'il s'agisse d'une image, d'un document, d'un enregistrement sonore, d'une cartographie, etc. Par exemple, le contenu d'une image est constitué des éléments visibles, tandis que la date à laquelle l'image a été prise, l'emplacement et les informations sur le dispositif constituent son contenu.
term-open-source
Open source - Le « code » ou les instructions qui constituent un programme ou une application logicielle sur un appareil sont mis à disposition pour être lus.
term-code-source
Code source - Le jeu d'instructions pour exécuter un programme sur un dispositif informatique dans un format lisible par l'Humain.
term-tor-browser
Le navigateur Tor - Un navigateur qui préserve la confidentialité de vos activités en ligne. Il déguise votre identité et protège votre trafic web contre de nombreuses formes de surveillance sur Internet. Il peut également être utilisé pour contourner des filtres Internet.