Risque que la personne soit déduite du contenu d'une alerte
Dans un lancement d'alerte, même si le nom est caché, la personne peut être déduite du contenu.
De quel service parle le texte. Quelle réunion il connaît. Quel document il a vu. De quelle période datent les faits. Quelles formulations ne peuvent venir que d'une certaine position.
Les personnes à l'intérieur de l'organisation connaissent plus de contexte que les lecteurs externes.
Ainsi, plus le contenu de l'alerte est précis, plus les candidats peuvent se réduire.
Le contenu lui-même indique l'origine
Le contenu d'une alerte contient l'origine de l'information.
Une réunion précise, un document interne, une déclaration d'un responsable, une procédure connue seulement de certaines personnes, l'organisation d'un site. Ces informations montrent qui pouvait les connaître.
| Indice dans le contenu | Personnes soupçonnées |
|---|---|
| Détails d'une réunion | Participants, auteurs des documents, personne chargée du compte rendu |
| Échanges au sein d'un service | Membres du service, responsables |
| Écran d'un système précis | Personnes ayant les droits d'accès |
| Détails du travail sur site | Personnes sur place, superviseurs |
| Texte d'un e-mail interne | Destinataires, personnes ayant transféré, administrateurs |
Même envoyé anonymement, si le périmètre de l'information est étroit, les candidats deviennent peu nombreux.
L'organisation ne lit pas comme un lecteur externe. Un texte qui ressemble à une simple explication pour une personne extérieure peut signifier, pour quelqu'un de l'intérieur, que seules quelques personnes connaissent cette réunion ou que seul ce service peut voir cet écran. Il faut donc réfléchir à la manière dont un texte d'alerte sera vu non par le grand public, mais par les enquêteurs internes de l'organisation.
Dans un lancement d'alerte, la valeur de l'information et la protection de son origine entrent en tension. Sans précision, il est difficile de transmettre le problème. Mais avec trop de précision, l'information revient plus facilement à la personne lanceuse d'alerte. L'important est de tenir cet équilibre.
La chronologie resserre les candidats
La chronologie est un indice fort.
Lorsque « quand le document a été vu », « quand la réunion a eu lieu », « quand le problème a été connu » et « quand l'information est sortie » s'alignent, l'autre partie peut comparer avec les journaux.
| Information chronologique | Éléments comparés |
|---|---|
| Période de consultation du document | Journaux d'accès aux fichiers |
| Juste après une réunion | Participants et personne chargée du compte rendu |
| Période d'impression ou de prise de vue | Imprimante, entrées et sorties, caméras de surveillance |
| Heure d'envoi | Journaux réseau ou opérations sur l'appareil |
| Date de publication | Point de départ de l'enquête interne |
Même lorsqu'une chronologie est nécessaire dans le contenu, vérifiez qu'elle n'est pas d'une précision qui remonte à la source ou à la personne lanceuse d'alerte.
La chronologie se compare facilement avec les journaux d'une organisation. Heure d'ouverture d'un fichier, heure d'entrée dans une salle de réunion, heure d'utilisation d'une imprimante, heure de connexion à un système interne, heure de réception d'un e-mail. Selon l'organisation, ces éléments restent dans plusieurs journaux.
Une simple expression comme « juste après la réunion », « le lendemain de la distribution du document » ou « vendredi soir » peut suffire à réduire les candidats. Même lorsqu'une période exacte est nécessaire, vérifiez que la précision ne remonte pas à la personne lanceuse d'alerte.
Le style et l'émotion deviennent aussi des indices
Un texte d'alerte porte des traits de la personne qui l'a écrit.
Usage de la terminologie, vocabulaire interne, façon d'exprimer la colère, ponctuation, ordre d'explication, formulations habituelles. Plus une personne est souvent lue au sein de l'organisation, plus son style peut servir à la déduire.
| Caractéristique du texte | Risque |
|---|---|
| Terminologie spécialisée | Le métier ou le service devient visible |
| Appellations internes | L'appartenance ou la génération peut être déduite |
| Expression émotionnelle | Elle se relie à des propos ou frustrations passés |
| Ordre d'explication | La position professionnelle apparaît |
| Style d'écriture | Il peut être comparé aux e-mails ou documents habituels |
Il est important de transmettre le contenu avec exactitude.
Cependant, un texte qui porte fortement la signature personnelle affaiblit l'anonymat.
Les personnes qui écrivent régulièrement des e-mails, rapports, comptes rendus ou messages de chat dans l'organisation doivent être particulièrement prudentes. Les personnes autour connaissent leur manière d'écrire. Les tournures fréquentes, la ponctuation, la façon de construire les listes, le choix des termes spécialisés et la manière d'exprimer la colère deviennent des indices.
Pour modifier le style, il ne s'agit pas d'ajouter des ornements artificiels, mais de réduire les habitudes individuelles. Réduire les expressions émotionnelles. Éviter les formules propres à l'organisation. Ne pas ajouter plus de contexte personnel que nécessaire. Réduire les mots qui indiquent sa position. De cette façon, on atténue ce qui ressemble trop à une personne précise.
Trop flouter empêche de transmettre
Si l'on cherche à éviter toute déduction par le contenu en floutant tout, le sens de l'alerte s'affaiblit.
L'important est de conserver le noyau factuel tout en ajustant les détails qui remontent à la personne lanceuse d'alerte.
| Information à ajuster | Manière de réfléchir |
|---|---|
| Nom du service | Le remplacer par une catégorie plus large si cela suffit |
| Date | Indiquer une période si la date exacte n'est pas nécessaire |
| Citation | Préserver le sens tout en affaiblissant les tics de langage personnels |
| Nom du document | Utiliser le type de document si le nom précis n'est pas nécessaire |
| Fonction | Élargir le périmètre si elle réduit trop une personne |
Il peut être utile de consulter le destinataire ou un spécialiste pour décider du niveau de précision.
Lors de l'ajustement, séparez le noyau des faits et les détails qui mènent à l'identification. Le contenu du problème ou du danger, ses effets, les règles concernées et le type de preuve sont importants. En revanche, qui a entendu quoi, quand et à quelle place, sur quel appareil l'information a été vue ou de quel responsable elle a été reçue peut réduire la liste des personnes possibles.
Le niveau de précision nécessaire varie aussi selon le destinataire. Un média, un avocat, une autorité de contrôle ou une organisation de soutien n'ont pas les mêmes besoins d'information ni la même manière de protéger la source. Il est important de séparer ce qui sera publié et ce qui sera transmis en privé à une personne de confiance.
Les pièces de preuve conservent aussi leur origine
L'origine ne reste pas seulement dans le contenu de l'alerte, mais aussi dans les pièces de preuve.
Nom d'auteur dans un PDF, éditeur d'un fichier Office, filigrane à l'impression, nom de fichier, taille d'écran d'une capture, nom d'appareil, affichage d'un système interne, menu révélant les droits d'accès. Ces éléments peuvent être des indices plus directs que le contenu.
| Indice dans la pièce de preuve | Ce qui peut être déduit |
|---|---|
| Métadonnées du fichier | Auteur, nom d'organisation, historique d'édition |
| Capture d'écran | Appareil, droits, taille d'écran, notifications |
| Document imprimé | Imprimante, heure d'impression, périmètre de distribution |
| Écran d'un système interne | Droits d'accès, service, rôle |
| Nom du fichier | Nom d'affaire, date, nom de responsable |
Dans un lancement d'alerte, vérifiez non seulement le texte, mais l'ensemble des documents. Si nécessaire, consultez un spécialiste ou un destinataire fiable et réduisez les informations qui remontent à la personne lanceuse d'alerte avant de les utiliser.
Séparer informations publiques et non publiques
Dans un lancement d'alerte, tout n'a pas besoin d'être mis dans le texte public. Séparez les informations publiques destinées à informer largement et les informations non publiques destinées à une personne de confiance pour l'enquête ou la vérification.
Le texte public contient la vue d'ensemble du problème, son impact social, le périmètre vérifiable et le contexte nécessaire. En revanche, les détails que seule la personne lanceuse d'alerte pouvait connaître, les heures précises, les écrans de systèmes internes, les échanges entre peu de personnes et le chemin d'obtention des documents doivent être traités avec prudence avant publication.
| Type d'information | Manière de la traiter |
|---|---|
| Vue d'ensemble du problème | Organiser ce qui peut être rendu public |
| Existence de preuves | Indiquer seulement le type si nécessaire |
| Documents précis | Les limiter à un destinataire fiable |
| Chemin d'obtention | Ne pas le publier, car il remonte à la personne lanceuse d'alerte |
| Conversation en petit groupe | Baisser la granularité, car elle réduit les candidats |
Si cette séparation n'est pas faite, le texte destiné à informer les lecteurs peut contenir aussi des informations qui identifient la personne lanceuse d'alerte. Dans un lancement d'alerte, il faut penser en même temps à transmettre avec exactitude et à protéger l'origine.
Résumé
Dans un lancement d'alerte, même si le nom est caché, la personne peut être déduite du contenu.
Réunions, services, documents, chronologie, systèmes, lieux de travail et style d'écriture deviennent des indices sur la position de la personne lanceuse d'alerte.
Trop flouter le contenu affaiblit le sens de l'alerte.
Mais des informations trop précises resserrent les candidats.
Il est important de conserver le noyau factuel tout en ajustant les détails qui remontent à la personne lanceuse d'alerte.
Outils liés
Tor Project
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
SecureDrop
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://securedrop.org/
GlobaLeaks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://globaleaks.org/