Modèle de menace pour protéger les sources
Dans la protection des sources, on commence par établir un modèle de menace.
Un modèle de menace est une façon d'organiser « contre qui protéger, quoi protéger et jusqu'à quel niveau ».
Le risque change selon que la source est salariée, fonctionnaire, activiste ou lanceuse d'alerte. Les mesures nécessaires changent aussi selon que l'adversaire est une personne qui harcèle, un service d'enquête d'entreprise ou une agence étatique.
Si l'on choisit seulement des outils sans modèle de menace, on risque de protéger le mauvais endroit.
Contre qui protéger
Il faut d'abord penser aux personnes ou organisations qui pourraient tenter d'identifier la source.
Selon l'adversaire, les informations visibles, les moyens utilisables et la capacité d'enquête diffèrent.
| Adversaire | Ce qu'il peut faire |
|---|---|
| Supérieur ou collègue au travail | Déduire à partir des horaires de travail, des informations du service et des personnes qui savaient |
| Entreprise ou organisation | Utiliser les journaux d'accès, l'historique de consultation des documents et les enquêtes internes |
| Partie adverse dans un litige | Demander la communication de dossiers, exercer une pression sur les personnes concernées et rassembler des preuves |
| Agence étatique | Utiliser les enregistrements de communication, la saisie d'appareils et des enquêtes larges |
| Attaquant en ligne | Collecter l'historique de publication, les réseaux sociaux, les images et les informations publiques |
Une même mesure ne permet pas de résister à tous les adversaires.
Définir d'abord les menaces réalistes permet d'éviter à la fois les mesures excessives et les mesures insuffisantes.
Ce qu'il faut protéger
Ensuite, il faut distinguer les éléments à protéger.
Il ne suffit pas de protéger « le nom de la source ». Le fait d'avoir pris contact, le fait d'avoir consulté un document, le fait d'appartenir à un service précis, le lieu d'une prise de vue, le style d'écriture et l'heure sont aussi des éléments à protéger.
| Élément à protéger | Exemples concrets |
|---|---|
| Identité | Nom, visage, affiliation, coordonnées |
| Fait du contact | Quand et avec qui la personne a été en contact |
| Origine du document | Auteur, lecteur, droits d'accès |
| Heure d'action | Heure d'envoi, heure de prise de vue, heure de connexion |
| Caractéristiques dans l'article | Circonstances internes, formulations propres, position |
Une source peut être soupçonnée même si son nom n'apparaît pas.
Si seules quelques personnes peuvent consulter ce document, le type de document lui-même devient un indice fort.
Par quels chemins l'information fuit
Il existe plusieurs chemins de fuite.
Communication, fichiers, contenu de l'article, partage dans la rédaction, réactions après publication. Chacun peut rapprocher de la source.
| Chemin | Information qui fuit |
|---|---|
| Moyen de contact | E-mails, DM, historique d'appels, IP, heure |
| Fichier | Métadonnées, auteur, historique de modification, informations de prise de vue |
| Cloud | Propriétaire, journaux de consultation, historique de partage, commentaires |
| Texte de l'article | Service, chronologie, contenu du témoignage, circonstances internes |
| Après publication | Qui réagit, qui se tait, enquête interne de l'organisation |
Les mesures doivent être pensées pour chaque chemin de fuite.
Même avec ou SecureDrop, cela ne sert à rien si le texte de l'article révèle la source.
L'erreur fréquente ici est de croire qu'il suffit de protéger le canal de communication pour protéger la source.
Un moyen de contact sûr est important. Mais il ne représente qu'une partie de la protection des sources.
Par exemple, même si une source envoie un document via un formulaire anonyme, si le document contient un nom d'auteur, un nom de service, un historique de modification ou un filigrane de destinataire, l'origine peut être resserrée.
Si l'article dit « selon une personne qui a participé à cette réunion », l'organisation peut parfois réduire les candidats à partir de la liste des participants.
| Endroit que l'on croit avoir protégé | Danger restant |
|---|---|
| Formulaire anonyme | Les métadonnées ou le contenu du document envoyé peuvent révéler l'origine |
| Message chiffré | Les notifications sur l'appareil, l'heure de contact et les journaux côté destinataire restent |
| E-mail sous pseudonyme | Le style, le fichier joint et l'environnement de création peuvent révéler l'origine |
| Mention anonyme dans l'article | Le contenu du témoignage ou la position peut réduire les candidats |
Dans la protection des sources, il faut regarder ensemble le canal de contact, les documents, le texte et les réactions après publication.
Distinguer l'intensité du risque
Tous les reportages n'exigent pas le même niveau de protection.
Un sujet local léger n'a pas le même risque qu'un reportage sur le crime organisé, la corruption, la sécurité nationale ou un signalement interne.
| Risque | Situation | Manière de penser nécessaire |
|---|---|---|
| Faible | Reportage fondé sur des informations publiques | Vérification de base et accord |
| Moyen | Témoignage sous anonymat | Gestion du canal de contact, des citations et des attributs |
| Élevé | Documents internes ou signalement d'abus | Canal dédié, gestion des documents, prévention de la déduction depuis l'article |
| Très élevé | État ou organisation puissante impliqués | Conseil spécialisé, séparation des environnements, décision de publication prudente |
Dans les reportages à risque élevé, il est aussi important de ne pas avancer seul.
Il faut un dispositif permettant de consulter la rédaction, des spécialistes, un conseil juridique ou une personne chargée de la sécurité.
Ce qu'il faut décider avant le reportage
Le modèle de menace se construit avant le reportage, pas après.
Une fois que le contact a été pris par e-mail sous vrai nom ou par DM sur les réseaux sociaux, cette trace ne peut pas être effacée après coup. Si les documents ont été déposés dans le cloud habituel, les journaux et l'historique de partage restent.
| Ce qu'il faut décider avant le reportage | Raison |
|---|---|
| Moyen de contact | Le premier contact devient très facilement une trace |
| Méthode de réception des documents | Gérer les métadonnées et l'historique de partage |
| Lieu de stockage | Limiter le périmètre d'accès dans la rédaction |
| Traitement des citations | Éviter que le témoin soit déduit |
| Moment de publication | Éviter la corrélation avec une enquête interne |
Avant de dire à une source « envoyez-le pour l'instant », il faut décider comment recevoir les documents.
Ce qu'il faut penser au moment d'écrire
Le travail de protection de la source ne s'arrête pas au moment où l'information est reçue.
Au stade de l'écriture, il faut décider jusqu'où conserver les détails qui indiquent la source. Il faut séparer les informations nécessaires aux lecteurs des informations qui mettent la source en danger.
Par exemple, pour expliquer le contenu d'un signalement interne, il peut être nécessaire d'indiquer un secteur comme « établissement de santé », « collectivité locale » ou « entreprise de logistique ». Mais il n'est pas toujours nécessaire de donner le nom précis d'une agence, la date d'une réunion, le titre exact d'un poste, le nombre de personnes ou une appellation comprise seulement en interne.
| Information dans l'article | Ce qu'il faut vérifier |
|---|---|
| Poste ou service | Les candidats ne sont-ils pas réduits à quelques personnes ? |
| Date ou heure | Ne peut-elle pas être recoupée avec des journaux d'accès ou des comptes rendus de réunion ? |
| Aspect du document | Un filigrane ou une version propre à un destinataire est-il visible ? |
| Citation | Une formulation propre à la personne reste-t-elle ? |
| Moment de publication | Ne coïncide-t-il pas trop avec une enquête ou un événement interne ? |
Généraliser l'information pour protéger une source peut parfois diminuer la force de conviction de l'article. Dans ce cas, il faut traiter ce choix comme une décision éditoriale : ce qu'il faut garder et ce qu'il faut retirer.
Écrire « sous couvert d'anonymat » ne suffit pas. Il faut rendre l'article tel que les lecteurs ou les personnes concernées ne puissent pas déduire qui est cette personne.
Expliquer aussi à la source
La protection des sources ne peut pas être assurée seulement par le journaliste ou la rédaction.
Si la source elle-même utilise un moyen de contact dangereux, réagit sur les réseaux sociaux après publication ou en parle autour d'elle, la protection s'affaiblit. C'est pourquoi, pour les reportages à risque élevé, il faut aussi expliquer à la source les précautions minimales.
| Ce qu'il faut expliquer | Raison |
|---|---|
| Éviter l'appareil habituel et la connexion du travail | Ils laissent des traces dans les journaux internes et la gestion des appareils |
| Ne pas envoyer les documents tels quels | Des métadonnées ou des filigranes peuvent rester |
| Ne pas réagir excessivement après publication | La personne peut être soupçonnée comme partie concernée |
| Ne pas en parler autour de soi | L'information peut se diffuser par les personnes consultées |
| Ne pas changer de canal de contact | Sortir du canal sûr augmente les traces |
Pour protéger une source, il faut partager avec elle ce qui rend certaines actions dangereuses.
Conclusion
Pour protéger une source, un modèle de menace est nécessaire.
Il organise contre qui protéger, quoi protéger, par quels chemins l'information peut fuir et quel est le niveau de risque.
Une source peut être soupçonnée même si son nom n'apparaît pas.
L'heure de contact, le type de document, les détails dans l'article et le moment de publication peuvent réduire le nombre de candidats.
Définir les adversaires et les informations à protéger avant de choisir des outils est le point de départ de la protection des sources.
Outils liés
SecureDrop
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://securedrop.org/
GlobaLeaks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://globaleaks.org/