Traces de communication laissées par les contacts de reportage
Les contacts de reportage laissent des traces.
Envoyer un e-mail. Contacter quelqu'un par DM sur un réseau social. Passer un appel. Envoyer un lien cloud. Ouvrir une visioconférence. Ce sont des moyens de contact ordinaires, mais dans la protection des sources ils deviennent des enregistrements importants.
Le problème n'est pas seulement le contenu de la conversation.
Qui a contacté qui, quand et sur quel service. Ce seul fait peut servir à réduire les sources possibles.
Traces selon le moyen de contact
Dans un contact de reportage, les informations qui restent changent selon le moyen utilisé.
| Moyen de contact | Traces restantes |
|---|---|
| Expéditeur et destinataire, objet, heure, fichiers joints, en-têtes | |
| DM de réseaux sociaux | Comptes, historique de conversation, accusés de lecture, captures d'écran |
| Téléphone | Numéros de téléphone, heure des appels, historique d'appels |
| Application de messagerie | Comptes, notifications d'appareil, sauvegardes, participants |
| Partage cloud | Propriétaire, journaux de consultation, historique de modification, notifications |
| Visioconférence | Noms affichés, participants, enregistrements, arrière-plans, historique de participation |
Même avec des applications chiffrées, le fait du contact et les notifications sur les appareils restent des problèmes distincts.
Le chiffrement est important pour protéger le contenu d'une conversation. Mais dans la protection des sources, savoir « qui a été en contact avec qui » est également important. L'objet d'un e-mail, les heures d'envoi et de réception, les numéros de téléphone, l'historique de consultation d'un lien cloud et l'historique de participation à une visioconférence sont des traces séparées du texte de la conversation.
Par exemple, même si le contenu d'une discussion chiffrée n'est pas lu, une notification peut apparaître sur l'appareil de la source. Le simple fait de montrer le contenu d'un lien cloud peut laisser un nom de propriétaire ou une heure de consultation. Dans les contacts de reportage, il faut penser séparément au contenu et au fait du contact.
Le premier contact est particulièrement important
Dans la protection des sources, le premier contact peut devenir le moment le plus dangereux.
Une source écrit depuis son e-mail habituel. Un journaliste répond depuis un réseau social sous vrai nom. On demande à la source de téléverser les documents dans un cloud ordinaire. Ces premières actions ne peuvent pas être annulées après coup.
| Première action | Problème restant |
|---|---|
| Contact par e-mail sous vrai nom | L'expéditeur, l'adresse e-mail et l'heure restent |
| Contact par DM sur réseau social | La relation entre comptes et l'historique de conversation restent |
| Envoi depuis un appareil professionnel | Les journaux internes et la gestion de l'appareil gardent une trace |
| Dépôt de documents dans le cloud | Le nom du propriétaire, l'historique de partage et les journaux de consultation restent |
| Consultation par téléphone | L'historique d'appels et le numéro restent |
Pour un reportage à risque élevé, « commencer normalement puis passer à une méthode sûre » est dangereux.
Il faut prévoir dès le début une entrée adaptée au modèle de menace. Ici, une entrée sûre ne signifie pas un moyen qui efface toutes les traces, mais une entrée qui réduit les enregistrements après avoir décidé qui voit quoi et à qui l'on fait confiance.
Le premier contact ne peut pas être recommencé. Une demande envoyée depuis l'e-mail habituel, un DM depuis un réseau social sous vrai nom, un accès depuis un appareil professionnel ou un téléversement dans un cloud ordinaire restent comme premiers enregistrements. Même si la suite passe par une messagerie plus sûre, la ligne indiquant qui a pris contact en premier reste.
Le journaliste doit prévoir une entrée dans laquelle les lecteurs ou les sources ne se trompent pas au premier pas. S'il n'existe qu'un formulaire de contact ordinaire, la source y enverra son message. Si des informations à risque élevé peuvent être traitées, il faut clarifier le moyen de contact sûr, les avertissements et les informations à ne pas envoyer au premier contact.
Séparer les coordonnées de contact
Le journaliste doit lui aussi séparer les coordonnées habituelles des contacts de reportage à risque élevé.
Si l'on utilise tel quel un réseau social sous vrai nom, une adresse personnelle, un téléphone privé ou un compte cloud habituel, le contact avec la source se mélange à d'autres éléments de la vie et du travail.
| Élément à séparer | Raison |
|---|---|
| Adresse e-mail | Ne pas mélanger le contact avec les sources avec les échanges privés ou le travail courant |
| Appareil | Séparer notifications, historiques et fichiers |
| Cloud | Éviter les comptes sous vrai nom et les historiques de modification |
| Messagerie | Séparer les conversations de reportage et les conversations personnelles |
| Lieu de stockage | Limiter le périmètre d'accès aux documents |
La séparation ne protège pas seulement le journaliste.
C'est une organisation minimale pour protéger la source.
L'activité sous vrai nom du journaliste et la protection des sources ne peuvent pas toujours être complètement séparées. Les journalistes travaillent souvent sous leur vrai nom, et leurs coordonnées sont publiques. Mais si le contact avec une source à risque élevé est mélangé à l'environnement habituel, les traces de la source s'étendent.
Utiliser une adresse dédiée, un appareil dédié, un navigateur dédié, un lieu de stockage dédié et des réglages de notification dédiés permet de réduire le périmètre des traces. Le cloud synchronisé et les notifications demandent une attention particulière. Si le nom de la source ou d'un document apparaît sur l'appareil habituel du journaliste ou dans un écran partagé, cela suffit à créer un risque.
Le contenu du contact contient aussi des indices
Il faut faire attention non seulement au moyen de communication, mais aussi au contenu de la conversation.
Des échanges comme « au sujet de la réunion d'hier », « le document que seul votre service connaît » ou « envoyez-le à cette heure » réduisent la source si quelqu'un les consulte plus tard.
| Contenu de la conversation | Risque |
|---|---|
| Service ou poste | L'affiliation de la source devient visible |
| Nom ou date de réunion | Les participants sont réduits |
| Nom du document | Les personnes ayant les droits d'accès sont réduites |
| Instruction d'envoi | L'heure d'action peut être recoupée avec des journaux |
| Formulation propre | Les caractéristiques du témoin apparaissent |
Dans un contact sûr, il est aussi important de ne pas laisser plus d'informations internes précises que nécessaire dans la conversation.
Plus la source donne d'explications détaillées, plus les faits deviennent faciles à comprendre. Mais si les journaux de conversation conservent un service, une date, un nom de réunion, un nom de document, un poste ou une expression propre, ils deviennent des indices qui ramènent à la source. Au premier contact, il faut rester au minimum nécessaire et ne traiter les documents détaillés qu'après avoir décidé d'une méthode sûre.
Dire à la source « envoyez-le maintenant » demande aussi de la prudence. L'heure d'envoi peut être recoupée avec des journaux internes. Dans un reportage sûr, le problème n'est pas seulement ce qui est envoyé, mais aussi quand, d'où et depuis quel appareil.
Les traces restent aussi après le reportage
Les traces de contact deviennent aussi un problème après la publication de l'article. Après la sortie de l'article, l'organisation peut chercher « qui connaissait cette information ». À ce moment-là, les e-mails, l'historique d'appels, les consultations cloud, les accès aux documents internes, les impressions, l'utilisation d'USB et les journaux d'entrée et sortie de la source peuvent être examinés.
| Éléments examinés après publication | Effet sur la source |
|---|---|
| Accès aux documents internes | Réduit les personnes qui ont consulté le document |
| Heure d'envoi | Peut être recoupée avec l'heure de contact avec le journaliste |
| Historique téléphone ou e-mail | Rend visible le fait du contact |
| Historique cloud | Laisse les consultations et partages de documents |
| Précision de l'article | Limite les personnes qui pouvaient savoir |
La protection des sources n'est pas un problème limité à la période du contact. Il faut concevoir le premier contact et le traitement des documents en anticipant l'enquête après publication.
Préparer des indications avant le contact
Le journaliste doit préparer des indications qui aident la source à faire des choix sûrs. « N'envoyez pas d'informations à risque élevé depuis un appareil professionnel ou une adresse sous vrai nom. » « Avant d'envoyer des documents, commencez par consulter sur le contenu général. » « Les fichiers joints peuvent conserver des métadonnées. » De telles indications suffisent déjà à réduire les erreurs du premier contact.
Si les indications sont trop longues, elles ne seront pas lues. Il faut indiquer brièvement ce qu'il ne faut pas faire en premier, les moyens de contact disponibles et ce qu'il faut vérifier avant d'envoyer. Un contact de reportage sûr ne consiste pas à demander uniquement des efforts à la source : la personne qui reçoit doit concevoir l'entrée.
Conclusion
Dans les contacts de reportage, le fait du contact devient une trace, pas seulement le contenu de la conversation.
E-mail, DM de réseaux sociaux, téléphone, messagerie, partage cloud et visioconférence conservent chacun des journaux, des notifications et des informations de compte.
Pour les reportages à risque élevé, il faut prévoir une entrée sûre dès le premier contact.
Il est également important de ne pas mélanger les comptes et appareils habituels avec les contacts de reportage.
La protection des sources commence dès la phase de contact, avant l'écriture de l'article.
Outils liés
Have I Been Pwned
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
ExifTool
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://exiftool.org/
SecureDrop
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://securedrop.org/
GlobaLeaks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://globaleaks.org/
OnionShare
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://onionshare.org/