Qu'est-ce que SecureDrop ?
SecureDrop est un système qui permet aux rédactions et aux organisations de recevoir des informations anonymes.
Ce n'est pas un simple service d'envoi de fichiers. C'est un système de protection des sources qui suppose que les sources y accèdent avec Browser et que la rédaction, côté réception, prépare un environnement de réception sûr.
SecureDrop est une base pratique permettant aux rédactions et aux organisations de recevoir des informations anonymes. Il est présenté ici parce qu'il ne s'agit pas d'un simple formulaire de dépôt, mais d'un système qui suppose l'usage de Tor Browser côté source et une exploitation pensée pour la protection des sources côté réception.
URL : https://securedrop.org/
Cet article présente SecureDrop non comme un "formulaire de dépôt pratique", mais comme une pratique opérationnelle de protection des sources.
Bases de SecureDrop
SecureDrop est un système de transmission d'informations qui permet d'envoyer anonymement des documents et des messages.
Dans de nombreux cas, la partie réceptrice, par exemple une rédaction ou une ONG, exploite un environnement SecureDrop, et la source accède à la page SecureDrop de cette organisation depuis Tor Browser.
| Position | Rôle |
|---|---|
| Source | Utilise Tor Browser pour envoyer des documents et des messages |
| Rédaction | Exploite l'environnement SecureDrop et reçoit les dépôts |
| Journaliste | Vérifie les documents reçus et les traite en tenant compte de la protection des sources |
| SecureDrop | Sert d'infrastructure de transmission pour les informations anonymes |
SecureDrop est utilisé pour protéger le premier contact entre une source et une rédaction.
Cependant, son utilisation ne fait pas automatiquement disparaître tous les risques.
Les sources qui utilisent SecureDrop y accèdent normalement depuis Tor Browser. Cela vise à rendre plus difficile, pour la partie réceptrice, de voir directement l'adresse IP d'origine habituelle.
Cependant, même avec un accès depuis Tor Browser, l'utilisation d'un appareil professionnel ou d'un réseau professionnel laisse d'autres journaux. De plus, si les documents envoyés contiennent des informations qui désignent la personne, le danger demeure même si le trajet de communication est masqué.
SecureDrop est un système qui crée une "entrée anonyme". Ce n'est pas un système qui anonymise aussi le contenu des documents.
Ce que le système vise à protéger
SecureDrop cherche principalement à protéger le canal de contact entre la source et la partie réceptrice.
Avec un e-mail ordinaire ou des messages privés sur les réseaux sociaux, le compte expéditeur, l'adresse IP, l'heure d'envoi, les pièces jointes et les enregistrements du fournisseur de service deviennent problématiques. SecureDrop suppose l'utilisation de Tor et permet d'envoyer des informations sous une forme où l'origine de la connexion de la source est plus difficile à voir directement.
| Ce qui est plus facile à protéger | Explication |
|---|---|
| IP source de connexion | Comme l'accès passe par Tor, elle est plus difficile à voir directement pour la partie réceptrice |
| Compte au nom réel | L'envoi est possible sans compte e-mail ni compte de réseau social |
| Premier contact | Il est possible de transmettre des informations sans utiliser immédiatement ses coordonnées ordinaires |
| Messages suivis | Il est possible d'échanger avec un nom de code |
SecureDrop est puissant comme point d'entrée pour les informations anonymes.
Cependant, il reste séparément un risque que la source soit déduite du contenu des fichiers, des métadonnées, des caractéristiques du texte ou de la substance des informations.
Risques qui subsistent même avec SecureDrop
Utiliser SecureDrop ne suffit pas à achever la protection des sources.
La source a accédé au système depuis un appareil professionnel. Le nom de l'auteur est resté dans le document. Le corps du texte décrivait des circonstances que seule cette personne pouvait connaître. Juste après l'envoi, des journaux de consultation de fichiers sont restés dans l'organisation. Dans ces cas, la source peut être soupçonnée par un autre chemin.
| Risque restant | Explication |
|---|---|
| Métadonnées de fichier | L'auteur, le nom de l'organisation, le lieu de prise de vue et l'historique de modification restent présents |
| Déduction à partir du contenu | Si peu de personnes connaissent l'information, le nombre de candidats se réduit |
| Appareil et environnement | L'utilisation depuis un appareil professionnel ou un réseau surveillé est dangereuse |
| Moment de l'envoi | Peut être comparé à des journaux internes ou à des événements |
| Exploitation côté réception | Fuites liées à la façon dont les journalistes stockent, consultent et partagent les documents |
SecureDrop est un système qui protège une partie du trajet de communication.
Pour protéger les sources, il faut aussi vérifier les documents, faire preuve de prudence lors de la publication et assurer une exploitation correcte côté réception.
Ce que les sources doivent vérifier
Les sources doivent aussi vérifier certains points avant l'envoi.
Il est particulièrement important de ne pas accéder au système depuis un appareil professionnel ou scolaire, de ne pas utiliser un réseau professionnel et de ne pas travailler en étant connecté à un compte au nom réel.
| Point à vérifier | Raison |
|---|---|
| Appareil | Les appareils administrés laissent des journaux d'utilisation |
| Réseau | Les connexions du travail ou de l'école laissent des enregistrements de connexion |
| Documents | L'auteur, l'historique de modification et les filigranes restent présents |
| Texte | Ne pas écrire trop de circonstances que vous seul connaissez |
| Consultation des réponses | Ne pas accéder à plusieurs reprises depuis le même environnement |
SecureDrop a du sens lorsque la rédaction a préparé un canal de réception plus sûr. Cependant, si l'environnement de la source elle-même est défaillant, la seule protection de l'entrée ne suffit pas.
Pour les transmissions à haut risque, il faut prendre du temps avant l'envoi et vérifier les documents ainsi que l'environnement.
Responsabilités de la partie réceptrice
Installer SecureDrop ne suffit pas.
La rédaction doit disposer d'une organisation opérationnelle. Elle décide qui vérifie les dépôts, sur quels appareils ils sont traités, où les documents sont stockés, comment ils sont partagés au sein de la rédaction et comment les métadonnées sont vérifiées avant publication.
| Point opérationnel | Raison |
|---|---|
| Responsable de vérification | Limiter les personnes pouvant accéder aux dépôts |
| Environnement dédié | Ne pas mélanger avec les appareils de travail ordinaires |
| Stockage des documents | Éviter les partages et copies inutiles |
| Vérification des métadonnées | Vérifier avant publication les informations pouvant mener aux sources |
| Décision de publication | Éviter que la source puisse être déduite du contenu |
Dans la protection des sources, les erreurs de la partie réceptrice mettent la source en danger.
"La personne l'a envoyé anonymement, donc tout va bien" ne suffit pas.
La partie réceptrice doit aussi expliquer clairement l'existence de SecureDrop. Elle indique comment y accéder, ce qui peut être envoyé, quels risques subsistent et comment vérifier les réponses.
Un guichet aux explications floues peut conduire les sources à prendre des décisions dangereuses. Un système sûr repose non seulement sur la technique, mais aussi sur des explications compréhensibles pour les utilisateurs.
Situations auxquelles SecureDrop convient
SecureDrop convient aux situations où une personne veut transmettre des documents ou des informations à une rédaction ou à une enquête d'intérêt public tout en protégeant son identité.
En revanche, il peut ne pas convenir aux simples demandes, aux consultations générales, aux signalements d'urgence ou aux échanges nécessitant une réponse immédiate. SecureDrop ne remplace pas un chat ou un e-mail ordinaire.
| Situations adaptées | Situations non adaptées |
|---|---|
| Transmission de documents internes d'intérêt public | Contact d'urgence nécessitant une aide immédiate |
| Contact nécessitant une protection des sources | Demande générale |
| Premier contact où l'e-mail au nom réel doit être évité | Consultation nécessitant des échanges rapides |
| Transmission d'informations à haut risque | Guichet dont l'exploitation côté destinataire est inconnue |
Avant de l'utiliser, vérifiez ce que ce guichet accepte et comment il répond.
Résumé
SecureDrop est un système qui permet aux rédactions et aux organisations de recevoir des informations anonymes.
Si vous envisagez SecureDrop, consultez le site officiel pour vérifier les explications destinées aux sources, la documentation pour les opérateurs et les prérequis de déploiement.
URL : https://securedrop.org/
SecureDrop suppose l'utilisation de Tor et permet de recevoir des informations sous une forme où l'origine de connexion d'une source et son compte au nom réel sont plus difficiles à voir qu'avec un e-mail ordinaire ou des messages privés sur les réseaux sociaux.
Cependant, SecureDrop seul ne suffit pas à compléter la protection des sources.
Les métadonnées de fichiers, les déductions à partir du contenu, le moment de l'envoi, l'environnement de l'appareil et l'exploitation côté réception doivent être gérés séparément.
SecureDrop est un outil, et la protection des sources est une pratique opérationnelle.
Outils liés
Tor Project
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
SecureDrop
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://securedrop.org/
GlobaLeaks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://globaleaks.org/