Vue d'ensemble des outils de signalement anonyme et de transfert
Vue d'ensemble des outils de signalement anonyme et de transfert : différences entre SecureDrop, GlobaLeaks et OnionShare
Il existe plusieurs types d'outils pour transmettre anonymement des informations ou des documents.
Les noms qui reviennent souvent sont SecureDrop, GlobaLeaks et OnionShare.
Ils sont parfois présentés comme ayant des objectifs proches, mais ce ne sont pas les mêmes choses. Certains sont exploités par des médias comme canaux permanents, certains conviennent au partage temporaire de fichiers, et certains servent aux signalements internes ou à la réception organisée de signalements.
Avant de choisir un outil, on clarifie "qui reçoit quoi, de qui, et comment".
Positionnement des principaux outils
On commence par séparer leur rôle général.
| Outil | Usage principal | Raison de le présenter |
|---|---|---|
| SecureDrop | Mécanisme permettant à des médias et autres organisations de recevoir des signalements ou documents anonymes | Comprendre la pratique d'un canal de réception fondé sur la protection des sources |
| GlobaLeaks | Base permettant à des organisations de créer des canaux de signalement et de transmission d'informations | Comprendre la réception continue des signalements et la gestion des personnes chargées du traitement |
| OnionShare | Partage et réception temporaires de fichiers avec | Comprendre les transmissions à petite échelle qui évitent les comptes cloud liés à une identité réelle |
SecureDrop est une base permettant à des médias et à d'autres organisations de recevoir des signalements ou documents anonymes. Comme il faut aussi penser la pratique côté réception autour de la protection des sources, il est important dans les contextes journalistiques et de transmission d'informations à haut risque. URL : https://securedrop.org/
GlobaLeaks est une base open source permettant à des organisations d'exploiter des canaux anonymes de signalement et de transmission d'informations. Il devient un candidat lorsqu'on crée des flux de réception continue, par exemple pour les signalements internes, le lancement d'alerte d'intérêt public, ou les canaux d'ONG et d'institutions publiques. URL : https://globaleaks.org/
OnionShare est un outil adapté au partage et à la réception temporaires de fichiers avec Tor. Il devient une option lorsque l'on veut transmettre des fichiers à petite échelle à des destinataires limités, sans utiliser de compte cloud lié à une identité réelle. URL : https://onionshare.org/
Tous sont liés à l'anonymat et à une transmission plus sûre.
Cependant, leurs hypothèses de fonctionnement diffèrent.
SecureDrop
SecureDrop est un mécanisme permettant à des médias, des ONG et d'autres organisations de recevoir des signalements ou documents anonymes.
La personne qui transmet accède au service avec Tor Browser et envoie des documents ou des messages. Le côté réception prépare une structure de fonctionnement dédiée et vérifie les envois.
| Élément | Contenu |
|---|---|
| Usage adapté | Canal de transmission pour médias |
| Point fort | Conçu avec la protection des sources comme hypothèse |
| Attention | Nécessite une structure de fonctionnement côté réception |
| Questions restantes | Métadonnées des documents, déduction à partir du contenu, décision de publication |
SecureDrop est traité en détail dans un autre article.
GlobaLeaks
GlobaLeaks est une base open source pour créer des canaux de signalement interne et de transmission d'informations.
Il est utilisé non seulement dans le journalisme, mais aussi dans les contextes des ONG, des entreprises, des institutions publiques, de l'audit et de la conformité. C'est un mécanisme pensé pour des pratiques comme les personnes qui signalent, les destinataires chargés de recevoir et la gestion des dossiers.
| Élément | Contenu |
|---|---|
| Usage adapté | Réception de signalements, canaux de lancement d'alerte, transmissions organisées |
| Point fort | Facilite la gestion des flux de signalement et des destinataires chargés de recevoir |
| Attention | La politique de l'opérateur et sa fiabilité sont importantes |
| Questions restantes | Journaux côté réception, gestion des documents, explications aux personnes qui signalent |
Utiliser GlobaLeaks ne rend pas automatiquement quelque chose sûr.
L'organisation qui l'exploite, ce qui est enregistré et les personnes qui peuvent accéder aux données sont importants.
OnionShare
OnionShare est un outil de partage et de réception de fichiers avec Tor.
Il est relativement facile à utiliser par des personnes individuelles et convient aux transmissions temporaires. Plutôt qu'un canal permanent comme SecureDrop ou GlobaLeaks, il convient au partage avec des destinataires limités.
| Élément | Contenu |
|---|---|
| Usage adapté | Partage temporaire de fichiers, réception, transmission individuelle |
| Point fort | Facilite le partage sans compte cloud lié à une identité réelle |
| Attention | Nécessite un chemin pour transmettre l'adresse onion |
| Questions restantes | Métadonnées des fichiers, sécurité de l'appareil, gestion par le destinataire |
OnionShare est traité en détail dans un autre article.
Lequel choisir
Dans le choix d'un outil, on choisit par usage, pas par notoriété du nom.
| Situation | Candidat | Raison |
|---|---|---|
| Un média crée un canal de signalement anonyme | SecureDrop | Mécanisme attentif à la protection des sources |
| Une organisation exploite une réception de signalements | GlobaLeaks | Adapté aux flux de signalement et à la gestion des personnes chargées du traitement |
| Partager temporairement un fichier de manière individuelle | OnionShare | Plus facile à transmettre sans le placer dans le cloud |
| Recevoir un lancement d'alerte à haut risque | SecureDrop ou un canal spécialisé | La structure côté réception est importante |
Avec n'importe quel outil, les métadonnées des fichiers, les canaux de contact et les déductions à partir d'une publication ou du contenu d'un article demeurent.
Les outils protègent l'entrée, mais ils ne protègent pas automatiquement l'ensemble de la pratique.
Informations officielles à vérifier avant de choisir
Pour les outils de signalement anonyme et de transfert, il est important de ne pas juger seulement à partir de vieux articles d'introduction. Les fonctions, configurations recommandées, précautions et hypothèses de fonctionnement peuvent changer.
| Outil | Site officiel | À vérifier |
|---|---|---|
| SecureDrop | URL : https://securedrop.org/ | Hypothèses de protection des sources, explications destinées aux opérateurs |
| GlobaLeaks | URL : https://globaleaks.org/ | Structure du canal de signalement, informations de déploiement et d'exploitation |
| OnionShare | URL : https://onionshare.org/ | Utilisation des fonctions de partage de fichiers, de réception et de publication |
Ne jugez pas la sécurité au seul nom de l'outil. Vérifiez qui l'exploite, quelle version est utilisée et quelles explications sont fournies.
Les utilisateurs et les opérateurs ne regardent pas les mêmes points
Les personnes qui transmettent vérifient leur propre appareil, leur réseau, leurs documents et leur comportement après l'envoi. Les opérateurs vérifient l'environnement de réception, les permissions d'accès, le lieu de stockage, la méthode de réponse et la protection des sources au moment de la publication.
| Position | Points à regarder |
|---|---|
| Personne qui transmet | Appareil, chemin de communication, métadonnées des documents, déduction à partir du contenu |
| Côté réception | Structure de fonctionnement, stockage, droits de consultation, réponses, décision de publication |
| Lecteur | Vérifier l'entité opératrice, pas seulement le nom de l'outil |
Le signalement anonyme ne fonctionne ni par le seul côté qui envoie, ni par le seul côté qui reçoit. La sécurité augmente seulement lorsque les pratiques des deux côtés s'alignent.
Questions avant de choisir un outil
Avant de décider d'un nom d'outil précis, on vérifie les questions suivantes.
| Question | Raison |
|---|---|
| De qui la personne qui transmet doit-elle être protégée ? | Définir le modèle de menace |
| Des métadonnées restent-elles dans les documents ? | Prévenir les fuites hors de l'entrée |
| Qui verra les données côté réception ? | Vérifier la gestion des permissions et la responsabilité |
| Comment les réponses seront-elles traitées ? | Réduire les traces d'un contact continu |
| La source peut-elle être déduite lors de la publication ? | Examiner le risque lié à la transformation en article ou en rapport |
On choisit l'outil après avoir répondu à ces questions. Si l'on installe seulement l'outil sans pouvoir répondre aux questions, on se trompe sur les endroits à protéger.
Dans le signalement anonyme, l'entrée, les documents, le contact, le stockage et les effets après publication forment un seul flux.
Résumé
SecureDrop, GlobaLeaks et OnionShare sont des outils utilisés pour le signalement anonyme, la transmission d'informations et le transfert de fichiers.
SecureDrop convient aux canaux de signalement anonyme des médias et destinataires similaires.
GlobaLeaks convient à la réception de signalements et aux flux de transmission organisés.
OnionShare convient au partage et à la réception temporaires de fichiers avec Tor.
Ce qui compte, c'est la pratique, pas le nom de l'outil.
Vérifiez qui l'exploite, ce qui est enregistré, qui peut accéder aux données et comment les documents reçus sont traités.
Outils liés
Tor Project
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
ExifTool
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://exiftool.org/
SecureDrop
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://securedrop.org/
GlobaLeaks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://globaleaks.org/
OnionShare
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://onionshare.org/