Anonymat pour les lanceurs d'alerte
L'erreur la plus dangereuse dans une alerte interne est de penser : « tant que je ne donne pas mon nom, je suis anonyme ».
Documents internes, droits d'accès, périmètre de distribution, informations sur le créateur, historique de modification, vocabulaire interne, heure de publication, canal de contact. Tous ces éléments peuvent servir à réduire le nombre de candidats possibles au rôle de lanceur d'alerte.
Dans une alerte interne, l'autre partie n'est pas forcément un simple lecteur ordinaire.
Certaines personnes peuvent être en mesure de consulter les journaux internes de l'organisation, les systèmes de gestion documentaire, l'historique des e-mails, les registres d'entrée et de sortie, la gestion des appareils et les droits d'accès. Il faut penser non seulement aux informations publiques, mais aussi à leur recoupement possible avec les enregistrements internes de l'organisation.
Cet article organise le périmètre à examiner quand un lanceur d'alerte réfléchit à son anonymat.
Dans les situations où une décision juridique ou de sécurité est nécessaire, ne décidez pas de vos actes uniquement à partir de cet article. Il est important d'utiliser un interlocuteur adapté à la situation, par exemple un avocat, un service de conseil du travail, une rédaction fiable ou une organisation de soutien.
Dans l'anonymat d'un lanceur d'alerte, l'autre partie est forte
Dans une publication anonyme ordinaire, l'autre partie cherche souvent des informations publiques ou des indices sur le Web.
Dans une alerte interne, des informations internes à l'organisation s'ajoutent à cela.
Qui pouvait accéder à ce document ? Qui était présent à cette réunion ? Qui appartient au service qui utilise cette expression ? Qui utilisait un appareil à ce moment-là ? Même si ces informations ne sont pas visibles de l'extérieur, elles peuvent parfois être vérifiées à l'intérieur de l'organisation.
| Information corrélée | Ce que l'on peut comprendre |
|---|---|
| Périmètre de distribution du document | Le nombre de personnes qui ont pu voir le document se réduit |
| Journaux d'accès | On peut parfois voir qui a ouvert le document et quand |
| Vocabulaire interne | Le service, la fonction ou le projet peuvent être déduits |
| Informations sur le créateur | L'appareil ou le compte qui a créé le fichier peut rester |
| Heure de publication | Comparée aux heures de travail, aux pauses et aux actions après le départ du travail |
| Canal de contact | Des journaux d'e-mail, de cloud, de réseaux sociaux et d'appareil restent |
Pour l'anonymat d'un lanceur d'alerte, il est important de ne pas sous-estimer les capacités de l'autre partie.
« Ce n'est pas visible de l'extérieur » ne signifie pas que ce n'est pas visible depuis l'intérieur de l'organisation.
Ne pas transmettre l'original tel quel
Quand on manipule des documents internes, envoyer l'original tel quel représente un risque important.
Les fichiers Office, PDF, images et captures d'écran conservent des informations en dehors du corps du texte. Cela inclut le nom du créateur, l'historique de modification, les commentaires, les chemins de fichier, les noms de modèle, la date de création, les informations d'impression, les identifiants internes, les filigranes et les numéros de distribution.
| Indice | Explication |
|---|---|
| Nom du créateur | Des noms d'utilisateur, d'organisation ou d'appareil peuvent rester dans Office ou PDF |
| Historique des modifications | Qui a modifié quelle partie peut rester |
| Commentaires | Les relecteurs, noms de service et conversations internes deviennent visibles |
| Nom de fichier | Des noms de dossier, noms de responsable, dates ou numéros de gestion peuvent être inclus |
| Filigranes et identifiants | Dans les documents distribués individuellement, ils peuvent indiquer le destinataire |
| d'image | La date de prise de vue, l'appareil et le GPS peuvent rester |
Avant publication ou dépôt, on sépare l'original de la copie de travail.
L'original peut devoir être conservé comme preuve. En revanche, pour ce qui est transmis à l'extérieur, on vérifie les métadonnées, les expressions spécifiques, les identifiants, les noms de fichier et les éléments visibles dans les images.
Cependant, quand la valeur probante est en jeu, modifier sans prudence peut créer un autre problème.
Pour une procédure juridique, un litige du travail, une affaire pénale ou une alerte grave d'intérêt public, vérifiez avec un spécialiste ce qui doit être modifié et ce qui doit rester comme original.
Choisir un canal de réception plus sûr
Dans une alerte interne, le destinataire et le canal d'envoi sont très importants.
Si l'on envoie les documents tels quels à un compte personnel de réseau social, par e-mail ordinaire, via un partage cloud, sur un forum anonyme ou un canal similaire, des journaux de communication et des informations de compte restent. Même si le destinataire est de bonne foi, l'information peut fuiter si ses pratiques opérationnelles sont faibles.
Certaines rédactions et ONG prévoient des mécanismes pour recevoir des informations anonymes.
SecureDrop est un système open source qui permet aux rédactions et ONG de recevoir des informations anonymes. Il est conçu sur l'hypothèse d'un accès par , d'une réduction des métadonnées et d'un dépôt chiffré. Il est important de suivre les consignes de la page officielle de l'organisation qui l'a déployé.
URL : https://securedrop.org/
GlobaLeaks est un logiciel libre et open source pour construire des plateformes de lancement d'alerte. Des rédactions, organisations, institutions publiques, entreprises et acteurs similaires peuvent l'utiliser comme mécanisme de réception des signalements.
URL : https://globaleaks.org/
Tor Browser est utilisé pour rendre l'adresse IP de l'utilisateur plus difficile à voir directement par la destination. Dans des systèmes de dépôt anonyme comme SecureDrop, l'utilisation de Tor peut être présupposée.
URL : https://www.torproject.org/
Ces mécanismes sont présentés parce qu'ils sont réellement utilisés comme points d'entrée dans les alertes internes.
Cependant, utiliser des outils ne suffit pas à rendre l'anonymat complet. Accéder depuis un appareil professionnel, faire des recherches avec un compte en nom réel, utiliser le Wi-Fi de l'entreprise, envoyer les fichiers originaux tels quels, adopter un comportement inhabituel juste après le dépôt. Ce type d'erreur affaiblit l'effet des outils.
Ne pas surestimer les appareils et réseaux du travail
Ce qu'il faut le plus éviter dans une alerte interne, c'est d'utiliser sans y penser des appareils ou réseaux gérés par l'organisation.
Sur les PC d'entreprise ou d'école, smartphones professionnels, Wi-Fi interne, , appareils gérés par MDM, comptes e-mail et stockage cloud, des journaux et informations d'administration restent.
| Environnement | Information qui reste | Attention |
|---|---|---|
| PC professionnel | Connexion, opérations sur les fichiers, impression, USB, historique du navigateur | Un administrateur peut parfois les vérifier |
| Wi-Fi interne | Appareil connecté, heure de connexion, destination | Les connexions à Tor ou à des services externes peuvent se remarquer |
| E-mail professionnel | Envoi et réception, transfert, pièces jointes, historique de recherche | Peut être audité plus tard |
| Stockage cloud | Historique de consultation, partage et téléchargement | Qui a ouvert quoi et quand reste |
| Imprimante | Personne qui imprime, heure, nombre d'exemplaires, nom du document | Des journaux peuvent rester même pour des documents papier |
Un environnement géré par l'organisation n'est pas nécessairement de votre côté.
Quand on réfléchit à l'anonymat, on sépare les appareils, les trajets de communication, les comptes et le traitement des fichiers. Jusqu'où les séparer dépend de l'ampleur du risque.
En cas de risque élevé, il faut suivre les procédures de spécialistes ou de points d'entrée fiables.
Le contenu peut réduire le nombre de candidats
Même si les métadonnées sont supprimées, le corps du texte peut réduire le nombre de candidats.
Le contenu d'une alerte interne contient des informations connues d'un nombre limité de personnes. Noms de réunion, noms de service, dates et heures, numéros de dossier, formulations du document, expressions des personnes concernées, circonstances sur le terrain. Si ces éléments apparaissent tels quels, le raisonnement commence : « qui pouvait accéder à cette information ? »
| Indice dans le texte | Pourquoi les candidats se réduisent | Manière de traiter le point |
|---|---|---|
| Date et heure de réunion | Les participants et lecteurs sont limités | Généraliser la période dans la mesure nécessaire |
| Nom de service | Les appartenances possibles se réduisent | Penser à la granularité nécessaire pour l'intérêt public |
| Vocabulaire interne | Un service ou projet précis devient visible | Remplacer par des expressions générales |
| Numéro de document | Comparé aux destinataires et systèmes de gestion | Examiner s'il faut le masquer avant publication |
| Ton et ordre d'explication | Le métier ou la position de la personne qui écrit apparaît | Faire lire par un tiers et vérifier les corrélations |
Cependant, si l'on généralise trop le contenu, la crédibilité de l'alerte diminue.
Ce qu'il faut masquer et ce qu'il faut garder dépend de l'objectif. Intérêt public, valeur probante, destinataire ou canal journalistique, procédure juridique et sécurité doivent être pensés en même temps.
Sur ce point, il vaut mieux consulter un spécialiste ou une rédaction fiable que continuer à hésiter seul.
Résumé
Pour l'anonymat d'un lanceur d'alerte, il faut envisager que l'autre partie puisse voir les journaux internes de l'organisation et les informations de gestion documentaire.
Même sans donner son nom, le nombre de candidats se réduit à partir des métadonnées du document, des informations sur le créateur, du périmètre de distribution, de l'historique d'accès, du vocabulaire interne, de l'heure de publication et des canaux de communication.
N'envoyez pas les originaux tels quels. Vérifiez les informations en dehors du corps du fichier. Cependant, quand une valeur probante est nécessaire, ne modifiez pas les documents sans prudence ; consultez un spécialiste.
Des mécanismes comme SecureDrop, GlobaLeaks et Tor Browser sont utilisés pour les alertes internes et les transmissions anonymes d'information. Cependant, les outils seuls ne suffisent pas à établir la sécurité. Il faut gérer en même temps les corrélations entre appareils, réseaux, comptes, fichiers et comportements.
Une alerte interne est à haut risque.
Quand une appréciation juridique ou une décision de sécurité est en jeu, n'agissez pas seul. Consultez une rédaction fiable, un avocat, une organisation de soutien ou un spécialiste.
Outils liés
ExifTool
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://exiftool.org/
MAT2
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
qpdf
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
SecureDrop
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://securedrop.org/
GlobaLeaks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://globaleaks.org/