Le journalisme à l’ère du chiffrement, entre scepticisme et geste citoyen

30 octobre 2017 • Économie des médias, Innovation et numérique • by

Deux chercheuses de NEXTLEAP, un projet de recherche européen qui s’intéresse aux protocoles de sécurité, livrent avec quelques premiers résultats les bases d’une réflexion sur l’utilisation de la cryptographie dans le journalisme, ainsi que quelques conseils à destination des journalistes.

« Il est temps que les journalistes commencent à tout chiffrer », recommandait Kate Krauss sur le magazine en ligne Wired en mars 2017. Dans l’immédiat post-Snowden, les techniques de cryptographie appliquées au journalisme suscitent en effet toujours plus d’intérêt : des outils comme Telegram, Signal ou WhatsApp ont déjà fait la une des médias.

Les journalistes disposent désormais de nombreux outils de chiffrement et cela ne concerne pas ou plus seulement les professionnels de l’investigation actifs dans des pays à risque. Il ne faut pas chercher longtemps sur la Toile pour découvrir d’ailleurs que plusieurs initiatives, ONG ou Think Tank, proposent désormais des « boîtes à outils » aux journalistes, tous domaines confondus, souhaitant s’initier aux technologies de communication chiffrée (voir par exemple le programme Surveillance Self-Defense de l’Electronic Frontier Foundation, ainsi qu’ici, ici, ici et ici).

L’ère du chiffrement pour tous?

«Indépendamment du type de journalisme pratiqué, il serait dans notre intérêt d’expérimenter le chiffrement et la sécurisation avant que nous n’en ayons effectivement besoin, » avait déjà préconisé Lauren Kirchner dans le Columbia Journalism Review, en 2013. Est-on pour autant à l’ère du chiffrement généralisé pour le journalisme? De quelle manière les principaux intéressés s’approprient-ils ces nouvelles technologies? Sans ambition de représentativité à ce stade, quelques éléments du travail de terrain conduit au sein de NEXTLEAP, un projet de recherche européen axé sur les protocoles de sécurité, aident à comprendre le phénomène.

NEXTLEAP n’est pas un projet exclusivement concentré sur les journalistes et leurs utilisations du chiffrement. Avec des approches dérivées des études sociales des sciences et des techniques (STS), il ambitionne de fournir une « description analytique détaillée » d’un écosystème en rapide mutation – le chiffrement « de masse » – en interviewant à la fois des développeurs, des consultants en sécurité, des ONG et fondations, ainsi que des utilisateurs aux différents profils.

Pour l’heure, depuis le début de NEXTLEAP en janvier 2016, nous avons effectué des périodes d’ethnographie « live » et web auprès d’équipes de développeurs, ainsi que 53 entretiens semi-directifs dont 32 avec des utilisateurs de différentes techniques de chiffrement, aux profils variables. Parmi ceux-ci, on trouve des journalistes d’origine européenne et du Moyen-Orient dont l’environnement de travail peut être qualifié de risqué, notamment dans des contextes nationaux comme l’Ukraine, l’Iran, ou encore l’Egypte. Les premiers éléments d’enquête suggèrent que malgré un certain scepticisme dans la profession, l’adoption de la cryptographie s’associe à un sentiment de responsabilité partagée.

Certains individus prennent maintenant des risques énormes pour parler aux reporters afin que des informations très importantes arrivent au public. Les entreprises de l’information doivent être à la hauteur de cet engagement en faisant tout ce qui est en leur pouvoir pour préserver la sécurité de ces sources et de leurs propres journalistes […] la nécessité d’une meilleure sécurité ne s’applique pas qu’aux journalistes d’investigation

– Kate Krauss dans WIRED, mars 2017

La cryptographie et ses limites

D’après les premiers résultats, les outils de messagerie chiffrée comme Telegram sont utilisés à des fins surtout organisationnelles – en tant qu’alternative aux Google Groups, par exemple, ou aux listes de diffusion par courrier électronique. Plusieurs de ces logiciels sont dotés de fonctionnalités utiles telles que le « Group chat », qui permet des conversations collectives. Il existe également des projets de stockage de données sécurisé, par exemple SecureDrop, destiné à créer un lien efficace et protégé entre les journalistes et leurs sources.

Nos entretiens montrent cependant qu’un nombre important des usagers interviewés qui ne maîtrisent pas finement les aspects techniques – dont les journalistes – sont en même temps critiques envers ces outils.

Cela tend à conforter les résultats d’une étude récente, présentée en 2017 au congrès sur la sécurité et la vie privée organisé par l’IEEE, sur l’usage des outils de chiffrement de bout en bout – cette solution de chiffrement où seules les personnes qui communiquent, autrement dit les extrémités de la chaîne de communication, sont en mesure de lire le message échangé. L’étude conclut que « la plupart des participants ne croient pas que les outils sécurisés puissent offrir une bonne protection contre des adversaires puissants ou bien informé» (États ou grandes entreprises numériques). Un de nos interviewés, journaliste européen travaillant sur les conflits au Moyen-Orient – un profil dont les communications peuvent donc être qualifiées comme étant à haut risque – relevait ainsi qu’un outil réellement sûr ferait disparaître la trace-même d’une conversation, et ne crypterait pas simplement son contenu.

Plus d’utilisateurs, plus de sécurité

L’enjeu citoyen/politique de ces outils ne passe en revanche pas inaperçu. L’intérêt de généraliser l’usage des techniques de chiffrement dans le but de les rendre encore plus sûres, via des messageries cryptées destinées au grand public notamment, n’échappe pas à nos interviewés qui en font même un argument. Cela devient dans cette perspective un geste citoyen qui rejoindrait un nombre important d’autres gestes citoyens, un « poisson dans la mer », comme l’a qualifié l’un d’eux… mais dans une mer très riche en poissons.

En effet, plus les utilisateurs feront le choix des outils de chiffrement de bout en bout, plus l’adoption de ces outils deviendra sûre pour tout le monde – et plus particulièrement pour les utilisateurs à haut risque, dont la liberté et souvent la vie pourraient en dépendre.

« Supposez que je n’aie rien à cacher, mais que j’utilise quand même une application de chiffrement de bout en bout. Ainsi, il sera plus facile pour des gens qui ont besoin de se cacher, comme les lanceurs d’alerte, de disparaître dans le flux très important de photos de chats et autres messages d’amour cryptés. Du coup, si je chiffre mes communications, j’ai le sentiment que je suis en train d’aider quelqu’un», nous a par exemple confié une journaliste spécialiste des questions technologiques basée en Autriche (et donc à « bas risque » selon nos critères).

Le recours au chiffrement massif serait donc une question de responsabilité partagée. Un consultant en sécurité qui supervise des journalistes travaillant dans des zones à haut risque, l’Ukraine, ajoutait à ce propos :

Plus il y a de personnes qui utilisent le chiffrement et plus ce sera coûteux pour les gouvernements de tout lire. Il ne s’agit pas d’obtenir 100% de sécurité, ce qui n’existe pas, mais de leur faire perdre leur temps et leur argent à décrypter d’énormes masses de données pour que les infos critiques se perdent dans ‘allons manger une pizza ce soir’

Conseils aux journalistes

En nous basant non seulement sur le matériau à notre disposition qui concerne les journalistes, mais plus largement sur l’ensemble de notre enquête, il nous semble pouvoir déjà tirer quelques enseignements de ces premiers résultats pour les journalistes dans leur approche aux outils de chiffrement.

  • Adoptez une approche ‘holistique’ à la sécurité ; vu que les outils ne sont jamais à 100% sécurisés, il faut repenser et modifier l’ensemble des habitudes d’usage des technologies d’information et de communication utilisés comme outils de travail journalistiques, du téléphone à l’ordinateur, de l’appareil photo aux supports de stockage des données.
  • Les historiques d’utilisation peuvent notamment poser problème : un journaliste voyageant dans un pays avec un contexte politique tendu peut, à cause de son historique de navigation, l’activité passée de son compte Facebook ou les mots clés tapés dans son moteur de recherche, mettre en difficulté ses sources ou divulguer malgré lui des informations confidentielles. Il faut donc faire attention à ses habitudes sur le web et les réseaux sociaux, en utilisant de manière fine les paramètres de confidentialité et en nettoyant régulièrement ses historiques d’usage.
  • Si le mantra « je n’ai rien à cacher » est très problématique pour tout internaute, il l’est plus particulièrement pour le journaliste. Celui-ci est en effet impliqué dans un réseau communicationnel complexe qui comprend ses collègues, sa rédaction, ses sources, les différentes machines et les différents lieux où il travaille (comme les cafés ou aéroports avec un wifi public). Le niveau de risque étant relationnel, il faut donc s’aligner sur le niveau de risque le plus élevé dans le réseau pour estimer qu’on est en sécurité.
  • Nous avons vu pendant notre enquête que la communauté informatique elle-même n’est pas complètement sûre des solutions techniques existantes, et qu’il y a beaucoup de vulnérabilités et de problèmes cryptographiques non résolus, notamment au niveau des métadonnées. Bien que certains protocoles se stabilisent et se standardisent (via des institutions ou de facto), les outils en eux-mêmes ne garantiront jamais une sécurité et un anonymat absolu pour les journalistes et leurs sources s’ils ne sont pas accompagnés d’un cadre légal qui permettrait de protéger le droit à la vie privée et au chiffrement – c’est ce qu’a soutenu récemment, par exemple, le Conseil national du numérique en France.

 

Faire du journalisme à l’ère post-Snowden

Esquissés à très grand trait, ces résultats intermédiaires de notre enquête, venant conforter de précédentes études sur la question, tendent à montrer que l’ère du chiffrement vient reposer de manière novatrice la question de la protection des sources, bien que la confidentialité soit au cœur des préoccupations des journalistes depuis les débuts de la profession. Les journalistes – pas seulement les journalistes d’investigation dans des pays à risque, mais l’ensemble des métiers du journalisme – ont désormais à disposition pléthore d’options parmi lesquelles ils peuvent choisir celle qui s’adapte le plus à leur situation particulière, ce qui les amène à réfléchir sur les évolutions des notions de confiance et responsabilité collective. Une réflexion qui ne pourra que s’intensifier alors que, à l’ère post-Snowden, le chiffrement devient un enjeu politique et un outil de plus en plus à la portée du grand public.

Quelle autonomie pour quelle solution technique ?

Les principaux services chiffrés, tels que Telegram, Signal ou Wire, prévalant sur le marché bénéficient certes d’un nombre d’utilisateurs important. Ils se basent cependant sur une architecture technique centralisée, ce qui signifie que les données transitent par un unique acteur.

Il existe des développeurs qui expérimentent au contraire des solutions décentralisées, qui peuvent notamment intéresser les journalistes. De telles architectures techniques permettent une plus grande autonomisation de l’utilisateur en lui laissant le contrôle sur ses propres données et métadonnées.

Le développeur principal de l’outil de messagerie sécurisée ChatSecure remarque à ce propos : « Je sais qu’il y a des organisations de journalistes qui gèrent leur propre serveur. J’aimerais permettre aux gens de maintenir leur propre infrastructure pour gérer leurs propres données autant que possible. Il y a d’autres outils très bons qui font du chiffrement […] mais vous ne possédez pas encore vos données, et vos métadonnées sont contrôlées par un système centralisé. »

Il existe en outre des solutions hébergées sur le cloud – telles que Pixelated – où la responsabilité reste du côté de l’hébergeur plutôt que des utilisateurs individuels. Car malgré une méfiance croissante envers le cloud au sein des communautés techniques, ce type d’outil peut être précieux pour des utilisateurs – dont les journalistes – susceptibles de se faire saisir leurs dispositifs de communication et leur équipement informatique.

Un des développeurs de Pixelated explique : « Si un journaliste voyage beaucoup à travers les frontières pour faire son travail, sa situation peut changer radicalement [selon les pays]. Il n’aura vraisemblablement pas un même dispositif [de communication] à disposition en permanence, ce qu’il ne souhaite du reste peut-être pas. A ce moment-là, il est sensé de disposer d’un moyen de communication hébergé à distance et de pouvoir se dire, je vais temporairement déplacer ma confiance, mes informations les plus sensibles […] vers le Web. »

Pour le journaliste lambda, choisir parmi ces différents dispositifs et se les approprier peut sembler compliqué. Cependant, deux choses pourront leur faciliter la tâche dans un futur proche : une conscience plus aiguë de leurs besoins professionnels et de leurs « adversaires » d’une part, et la tendance récente des développeurs à rendre ces solutions plus adaptées au grand public de l’autre.

Cet article est publié sous licence Creative Commons (CC BY-ND 4.0). Image de couverture par bluecoat.com, Flickr (licence CC BY-SA 2.0)

Merci aux étudiant-es de l’AJM qui ont participé à l’enrichissement web (illustrations, formatage, liens) de cet article.

Tags: , , , ,

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Send this to a friend