Ce que les lanceurs d'alerte doivent vérifier avant d'utiliser un outil de signalement
Des outils comme SecureDrop, GlobaLeaks ou OnionShare peuvent être utiles pour une alerte ou une transmission anonyme d'information.
Mais il y a des choses à vérifier avant d'ouvrir l'outil.
Le destinataire est-il fiable ? Les documents contiennent-ils encore des métadonnées ? Le contenu permet-il de déduire qui vous êtes ? N'utilisez-vous pas un appareil professionnel ou un réseau de travail ? Comment vérifierez-vous les réponses après l'envoi ?
Avant de choisir un outil, organisez les risques.
L'outil ne protège que l'entrée
Les outils de signalement anonyme servent à protéger le point d'entrée du contact ou de la remise.
Ils n'effacent toutefois ni l'origine des documents, ni les journaux internes, ni les métadonnées des documents, ni les déductions à partir du contenu.
| Ce que l'outil aide à faire | Risque qui reste |
|---|---|
| Éviter un e-mail en nom réel | Le nom du créateur reste dans le document |
| Éviter un cloud ordinaire | L'historique d'accès aux fichiers reste |
| Rendre l'origine de connexion moins visible | Le contenu réduit le nombre de personnes susceptibles d'être soupçonnées |
| Séparer le canal de remise | Une mauvaise exploitation côté destinataire est dangereuse |
Les outils sont importants.
Mais dans une alerte, "ce que l'on envoie" et "à qui on l'envoie" pèsent parfois encore plus lourd.
Voir des noms comme SecureDrop, GlobaLeaks ou OnionShare et penser "si j'utilise ça, je deviens anonyme" est dangereux.
Selon la situation, ces outils peuvent aider à une remise plus sûre qu'un e-mail ordinaire, un DM sur réseau social ou un partage cloud. Mais ils n'effacent pas automatiquement les erreurs de comportement de la personne qui les utilise.
Si vous y accédez depuis un appareil professionnel, cela reste dans les journaux de gestion de l'appareil. Si vous y accédez depuis un réseau de travail, des enregistrements de proxy ou de DNS peuvent rester. Si les documents contiennent un nom de service ou un nom de créateur, l'origine reste visible même avec un canal de remise sûr.
| Malentendu | Réalité |
|---|---|
| Un outil anonyme rend sûr | Il faut aussi vérifier appareil, réseau, documents et contenu |
| suffit | Les fichiers envoyés et le comportement après l'envoi peuvent révéler des choses |
| Un formulaire chiffré suffit | L'exploitation et les méthodes de conservation du destinataire comptent aussi |
| Ne pas écrire son nom suffit pour être en sécurité | Le contenu et l'heure réduisent le nombre de personnes susceptibles d'être soupçonnées |
Vérifier le destinataire
Choisissez le destinataire avec soin.
Rédaction, avocat, point de signalement d'intérêt public, organisme d'audit, ONG, canal externe : selon le choix, la protection, la réponse et le risque changent.
| Point à vérifier | Raison |
|---|---|
| Opérateur | Qui administre le point de contact |
| Traitement de l'information | Qui peut voir les documents et le contenu du signalement |
| Méthode de réponse | Vérifier que les contacts suivis n'augmentent pas les traces |
| Protection juridique | Vérifier le rapport avec les alertes d'intérêt public et les obligations de confidentialité |
| Expérience et explications | Existence d'explications sur les risques et d'une politique de protection des sources |
Il est important de ne pas faire confiance à un destinataire seulement parce qu'il existe un formulaire anonyme.
Regardez l'attitude et les explications de l'opérateur.
Vérifier les documents à envoyer
Les documents doivent être vérifiés avant l'envoi.
Regardez le texte, le nom de fichier, les métadonnées, le créateur, l'historique d'édition, la version, le périmètre de diffusion, ainsi que les notifications ou informations d'écran dans les captures.
| Point à vérifier | Pourquoi le regarder |
|---|---|
| Nom de fichier | Le vrai nom, le service ou le nom du dossier peuvent s'y trouver |
| Informations sur le créateur | Un nom réel ou le nom de l'organisation reste |
| Historique des modifications | Des éditeurs ou commentaires restent |
| Version et périmètre de diffusion | Les personnes ayant accès sont réduites |
| Informations spécifiques dans le texte | On comprend qui connaît l'information |
Modifier les documents peut aussi affecter leur valeur probante.
Dans une situation à haut risque, envisagez de ne pas les traiter seul et de consulter un spécialiste du droit ou du journalisme.
Vérifier l'environnement d'utilisation
Accéder à un outil de signalement depuis un appareil professionnel ou un réseau de travail est dangereux.
Gestion d'appareil, proxy, DNS, pare-feu, journaux et logiciels de surveillance peuvent laisser des traces.
| Point à vérifier | Raison |
|---|---|
| Appareil | Vérifier qu'il ne s'agit pas d'un appareil géré par le travail |
| Réseau | Vérifier qu'il ne s'agit pas du Wi-Fi professionnel ou d'une ligne interne |
| État de connexion | Vérifier que vous n'êtes pas connecté à un compte en nom réel |
| Synchronisation de fichiers | Vérifier que rien n'est enregistré automatiquement dans le cloud ou une sauvegarde |
| Notifications | Vérifier que des informations n'apparaissent pas dans un partage d'écran ou une capture |
La séparation de l'environnement est une condition préalable à l'outil.
Si vous ne pouvez pas séparer l'environnement, il n'est peut-être pas encore temps d'envoyer.
Réduire le contenu au minimum nécessaire
Dans un signalement, plus il y a d'informations, plus la force de conviction augmente, mais le risque d'identification augmente aussi.
Avant d'envoyer tous les documents ensemble, demandez-vous ce qui est vraiment nécessaire pour que l'autre partie puisse juger. En particulier au premier contact, il est plus sûr de ne pas révéler plus que nécessaire votre identité ou votre position interne.
| Information | Risque d'en dire trop au premier contact |
|---|---|
| Nom du service | Le nombre de personnes susceptibles d'être soupçonnées se réduit d'un coup |
| Jours de travail détaillés | Comparaison avec les plannings ou journaux d'entrée et de sortie |
| Fichier original | Créateur, historique d'édition et filigrane restent |
| Termes internes | Le service d'appartenance ou les années d'expérience apparaissent |
| Émotions personnelles | Le style et la relation donnent une impression personnelle |
Bien sûr, signaler une faute importante exige de la précision. Le problème est de tout donner dès le début.
Il peut être plus sûr de transmettre les informations par étapes, après avoir vérifié que le destinataire est fiable, que le canal de contact est en place et que le traitement des documents est clair.
Dans un signalement, envoyer trop vite par sens de la justice laisse des traces qu'il sera impossible de reprendre ensuite.
En cas de doute, ne pas envoyer dans la précipitation
Plus l'alerte est dangereuse, plus l'envie de prévenir vite devient forte. Mais un envoi précipité augmente les erreurs.
Ne pas vérifier les fichiers. Utiliser le réseau du travail. Travailler en restant connecté à un compte en nom réel. Ne pas lire le fonctionnement du destinataire.
Ces erreurs deviennent, après l'envoi, des traces difficiles à annuler.
| Situation où s'arrêter | Raison |
|---|---|
| Les explications du destinataire n'ont pas été lues | Le traitement de l'information est inconnu |
| Les métadonnées des documents n'ont pas été vérifiées | Le créateur ou l'historique d'édition reste |
| Seul un appareil professionnel est disponible | Cela reste dans les journaux de gestion |
| Vous êtes pressé sous le coup de l'émotion | Il devient plus facile de donner des informations inutiles |
| Les conséquences juridiques sont importantes | Une consultation spécialisée devient nécessaire |
Décider de ne pas envoyer fait aussi partie de la sécurité. Si la préparation est insuffisante, commencez par organiser l'environnement et le destinataire.
Penser aussi à l'après-envoi
Après l'envoi, le risque continue.
Vérification des réponses, envoi de documents supplémentaires, enquête interne après publication, échanges avec une rédaction, réactions sur les réseaux sociaux. À chaque étape, une corrélation peut apparaître.
| Comportement après l'envoi | Point d'attention |
|---|---|
| Vérification des réponses | Ne pas accéder plusieurs fois depuis le même environnement |
| Documents supplémentaires | De nouvelles métadonnées ou corrélations temporelles augmentent |
| Réaction dans l'organisation | Éviter d'être soupçonné par un comportement inhabituel |
| Déclarations après publication | Ne pas trop réagir sur les réseaux sociaux ou au travail |
| Poursuite de la consultation | Maintenir un canal de contact sûr |
Une alerte ne s'arrête pas au bouton d'envoi.
Pensez aussi au comportement après publication.
Résumé
Avant qu'un lanceur d'alerte utilise un outil de transmission d'information, il vérifie le destinataire, les documents, l'environnement et le comportement après l'envoi.
Des outils comme SecureDrop, GlobaLeaks ou OnionShare sont utiles, mais ils n'effacent pas automatiquement l'origine des documents, les journaux internes, les métadonnées ni les déductions à partir du contenu.
Ne concluez pas à la sécurité au seul motif qu'un formulaire anonyme existe.
Vérifiez qui l'exploite, ce qui est enregistré, qui voit les documents et comment communiquer après l'envoi.
Les vérifications faites avant d'utiliser l'outil influencent fortement la sécurité d'une alerte.
Outils liés
Tor Project
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
ExifTool
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://exiftool.org/
MAT2
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
SecureDrop
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://securedrop.org/
GlobaLeaks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://globaleaks.org/
OnionShare
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://onionshare.org/