Guide de dénonciation: comment protéger vos sources

[ware_item id=33][/ware_item]

Comment protéger un dénonciateur.


** Ceci est la troisième partie du guide de dénonciation d'ExpressVPN. **

Partie 1: Guide de dénonciation: le coup de sifflet est difficile
Partie 2: Guide de dénonciation: comment garder l'anonymat lors de la dénonciation
Partie 4: Guide de dénonciation: pourquoi vous devez supprimer les métadonnées

Je veux juste le tl; dr?

Un journaliste, un régulateur ou un chien de garde a le devoir de protéger ses sources.

Bien que des sources puissent parfois bénéficier d'une protection juridique dans certains secteurs ou pays, il est possible que ces protections soient sans valeur ou ne couvrent pas ce cas particulier.

En plus des conseils sur la sécurité des informations dans cet article, il peut être utile d'apprendre la légalité des lanceurs d'alerte dans votre région. Certaines protections n'existent que dans des circonstances particulières et la façon dont vous communiquez ou manipulez des documents pourrait faire la différence entre la liberté d'une source et la torture.

Rendez-vous accessible à une source

Chaque source potentielle aura une compréhension différente de la technologie, du droit et de votre organisation. Il est de votre devoir de vous ouvrir et d'être aussi accessible que possible et d'éduquer votre source sur le fonctionnement des communications sécurisées.

SecureDrop

Développé par Aaron Swartz et Kevin Poulson, des dizaines d'organismes de presse du monde entier utilisent SecureDrop comme boîte aux lettres numérique pour les documents sensibles.

Comment fonctionne SecureDrop:

Le lanceur d'alerte utilise le navigateur Tor pour accéder à l'adresse .onion de SecureDrop, où il peut télécharger des documents.

Après le téléchargement, la source obtiendra un mot de passe, qu'elle pourra utiliser pour vérifier les réponses à ses documents.

Vous pouvez récupérer les documents de la source sur votre serveur SecureDrop. Les fichiers sont cryptés avec votre clé PGP afin que vous seul puissiez les ouvrir. Pour plus de sécurité, utilisez un ordinateur portable avec le système d'exploitation TAILS pour inspecter les documents.

SecureDrop est considéré comme l'étalon-or pour l'acceptation des fuites et des matériaux sensibles, mais peut être difficile à configurer pour un individu. Il est également important pour les lanceurs d'alerte de savoir qu'ils doivent éviter d'utiliser le navigateur Tor sur des ordinateurs professionnels ou sur tout ordinateur connecté à leur réseau professionnel..

  • Difficile à mettre en place pour une personne ou une petite organisation
  • SecureDrop ne nécessite presque aucune connaissance technique de la part du lanceur d'alerte

Jabber / XMPP avec cryptage OTR

Les services Jabber (également appelés XMPP) sont moins courants (Facebook et Google les ont abandonnés en faveur d'alternatives plus centralisées et moins sécurisées), ils sont toujours relativement faciles à configurer de manière anonyme, en particulier lorsqu'ils sont acheminés via le réseau Tor ( Voir le guide pratique d'ExpressVPN).

Deux comptes jabber anonymes nouvellement créés communiquant via Tor avec le cryptage OTR ont une faible chance de découverte, même via des métadonnées.

  • Peu utilisé, difficile à utiliser sur les appareils mobiles
  • Ne peut pas bien gérer les images ou les pièces jointes
  • Plus faible chance de découverte parmi toutes les options de messagerie

Signal

L'application de messagerie cryptée, Signal, est disponible pour Android et iOS et permet non seulement d'échanger des messages cryptés avec une trace de métadonnées minimale, mais aussi de communiquer par la voix. Signal est largement approuvé par la communauté de la sécurité de l'information.

  • Nécessite un numéro de téléphone pour s'inscrire (ce qui n'est peut-être pas une bonne idée)
  • Facile à configurer sur les appareils mobiles et permet les appels vocaux cryptés

Adresse postale

Tout le courrier est généralement photographié (à l'extérieur), pesé et le point de ramassage et la destination sont enregistrés. Cependant, il est toujours possible d'envoyer du courrier physique de façon anonyme - l'achat de timbres ne fait pas (encore) naître de suspicion au guichet.

Un colis expédié à un organisme de réglementation ou à un organisme de presse peut ne pas ressortir et, s'il est affiché à partir d'un emplacement occupé dans la même ville que le destinataire, offre peu de renseignements à ceux qui le regardent (bien que le dénonciateur doive faire attention aux enveloppes manuscrites).

Lorsque les documents existent sous forme physique, il peut être bien plus sûr de les envoyer directement, plutôt que de les numériser. En tant que destinataire du courrier, il est important de faire savoir aux sources potentielles comment vous gérez le courrier dans votre organisation. Le courrier vous est-il adressé en personne ou ouvert par quelqu'un d'autre, par exemple? Ou est-ce que des registres sont conservés pour savoir qui reçoit quoi?

  • Le courrier est enregistré strictement dans certains pays ou organisations
  • Des protections juridiques élevées existent toujours pour le courrier

Téléphone et e-mail

Le courrier électronique et le téléphone sont faciles à intercepter et produisent de grandes quantités de métadonnées. Les e-mails cryptés avec PGP peuvent fonctionner, mais laisseront des métadonnées qui pourraient être très précieuses (à moins que vous et le dénonciateur soyez compétents pour rendre ces métadonnées sans valeur).

Assurez-vous que les sources peuvent vous vérifier

Lorsque vous vous offrez en tant que destinataire sûr, assurez-vous qu'une source potentielle peut toujours vérifier que vos communications proviennent de vous et non d'un imposteur.

Envoyez des photos de vous

Si vous rencontrez une source en public, assurez-vous qu'ils savent à quoi vous ressemblez et ne peuvent pas être trompés par un imposteur. Les mesures de sécurité peuvent inclure des mots de code si vous avez eu des communications sécurisées avant la réunion.

Utiliser des clés cryptographiques

Il est probable que vous ayez une forte présence sur les réseaux sociaux ou au moins une biographie hébergée sur le site officiel de votre organisation. Utilisez vos profils pour héberger vos clés publiques et inclure les empreintes digitales de toutes les clés que vous utilisez dans vos communications (Signal, OTR, PGP). Les clés enregistrées publiquement faciliteront la vérification d'une nouvelle identité, par exemple, car vous devez changer de compte.

Comment protéger vos sources TL; DR

  • Être disponible sur des chaînes cryptées réputées
  • Facilitez la vérification de votre correspondance
Guide de dénonciation: comment protéger vos sources
admin Author
Sorry! The Author has not filled his profile.