Ceci est une ancienne révision du document !
S’assurer de la confidentialité de ses communications et de ses données n’est pas chose aisée. De nombreux outils de chiffrement existent certes, cependant leur maniement et les précautions à prendre pour ne pas laisser échapper d’indices ou de traces permettant d’intercepter un message ou d’en identifier son auteur nécessitent un apprentissage assez long. Plutôt que de passer les trois prochaines années à vous former pour devenir expert en sécurité, [Jean-Marc Manach](http://jean-marc.manach.net/), journaliste spécialiste des questions de vie privée et de sécurité numérique, propose une alternative intéressante : comment se ménager un quart d’heure d’anonymat en ligne.
Le texte ci-dessous est issu d’un [article rédigé originellement pour l’INA](http://www.ina-expert.com/e-dossier-de-l-audiovisuel-journalisme-internet-libertes/comment-proteger-ses-sources.html), actualisé et republié sur le blog de Jean-Marc Manach sous le titre [Comment (ne pas) être (cyber)espionné ?](http://bugbrother.blog.lemonde.fr/2013/01/31/comment-ne-pas-etre-espionne/). L’article original a été rédigé pendant l’été 2012. Sur Internet ce qui était valable la veille ne l’est plus forcément le lendemain. Cet article a pour objectif de donner des pistes pour se ménager une fenêtre d’anonymat en ligne. Ce n’est pas un guide exhaustif. Les lecteurs sont donc invités à vérifier la validité des sites et services mentionnés dans cet article.
J'ai traduit et rédigé plusieurs modes d'emploi pour expliquer aux internautes comment sécuriser leurs communications sur le Net, depuis que, en 1999, j'ai commencé à chercher comment, en tant que journaliste, je pouvais [protéger mes sources](http://bugbrother.blog.lemonde.fr/2010/10/27/journalistes-protegez-vos-sources/). Et si je suis parvenu au constat qu'il est impossible à un non-professionnel de sécuriser son ordinateur de façon à empêcher un professionnel motivé d'y pénétrer, il est par contre tout à fait possible de créer des fenêtres de confidentialité, de disparaître le temps d'une connexion, d'apprendre à communiquer de façon furtive, discrète et sécurisée, et à échanger des fichiers sans se faire repérer.
Le KGB n'a pas empêché les espions de la CIA (et et vice versa) de communiquer avec leurs sources, pas plus que le FBI n'a empêché Daniel Ellsberg de rendre public les [Pentagon papers](http://fr.wikipedia.org/wiki/Pentagon_Papers), ou la NSA d'empêcher WikiLeaks d'oeuvrer pour plus de transparence dans la diplomatie américaine, et mondiale. Pour paraphraser Andy Warhol, la question, aujourd'hui, est de se donner la possibilité d'avoir son [quart d'heure d'anonymat](http://www.internetactu.net/2010/03/09/dans-le-futur-chacun-aura-droit-a-son-quart-dheure-danonymat/). C'est non seulement possible mais également vital pour notre métier, et nos démocraties, et pas forcément très compliqué.
Quel que soit le type d'ordinateur, de système d'exploitation ou de logiciels que vous utiliserez, il est également possible de sécuriser ses communications - et donc ses sources - via le web. Les techniques et services qui suivent ne sont pas aussi sécurisés que l'utilisation de [GnuPG](https://web.archive.org/web/20130828052707/https://www.wefightcensorship.org/fr/article/assurer-confidentialite-ses-emails-thunderbird-et-pgphtml.html), mais peuvent s'avérer utiles dès lors que l'on recherche une fenêtre, ou un quart d'heure, d'anonymat. Leur point commun est de chiffrer les données au niveau du navigateur, avant de les envoyer sur le site web où elles seront partagées avec le ou les interlocuteurs à qui vous voulez les transmettre.
Plusieurs chercheurs en sécurité informatique ont récemment [pointé du doigt](http://paranoia.dubfire.net/2012/07/tech-journalists-stop-hyping-unproven.html) les [limites de tels systèmes](http://www.wired.com/threatlevel/2012/08/wired_opinion_patrick_ball/all/), qui reposent sur le concept de [Zero-knowledge proof](http://en.wikipedia.org/wiki/Zero-knowledge_proof) (ou, en français, [preuve à divulgation nulle de connaissance](http://fr.wikipedia.org/wiki/Preuve_%C3%A0_divulgation_nulle_de_connaissance)), et dont la sécurité repose [notamment](http://news.ycombinator.com/item?id=3871383) sur le fait que le site web tout comme le ou les ordinateurs utilisés n'aient pas été piratés. Au vu des connaissances techniques qu'il faut accumuler pour parvenir à proprement sécuriser un ordinateur, on pourra cela dit se contenter de ces services lorsque l'on a besoin de communiquer (un message, mot de passe temporaire, texte ou article, image, etc.) de façon “furtive”. Mieux : on prendra également soin, dans la mesure du possible, d'utiliser pour cela un ordinateur tout spécialement dédié (on trouve des netbooks à 200€) et qui ne sera connecté au Net que pour cela, afin de le décorreler de vos autres activités, et d'éviter toute insertion d'un cheval de Troie, ou autre logiciel malveillant.
[CryptoCat](https://crypto.cat/), le plus connu de ces services web, a ainsi été conçu pour permettre de “chatter” et donc discuter en direct -mais également d'envoyer des fichiers, .zip ou image ne dépassant pas 600 ko- à la manière des messageries instantanées, mais de façon sécurisée. Afin de répondre à la [polémique](http://www.wired.com/threatlevel/2012/08/security-researchers/all/) suscitée, son développeur a [décidé](https://blog.crypto.cat/2012/08/moving-to-a-browser-app-model/) de rajouter une couche de sécurité supplémentaire, en proposant d'installer CryptoCat sous forme d'extension dans son navigateur ([Chrome](https://www.google.com/intl/fr/chrome/browser/) et [Firefox](https://www.mozilla.org/firefox/)).
Vous voulez envoyez (ou recevoir) un fichier de façon anonyme et sécurisée ?
La technique de la “boîte aux lettres mortes” consiste à utiliser un service mail en ligne (webmail) dont le nom d'utilisateur et le mot de passe sont connus d'au moins deux personnes. Cela permet ainsi d'échanger des messages dans le dossier *brouillons* de la boîte sans avoir à les envoyer à votre interlocuteur.
Vous pouvez utiliser [SpiderOak](https://spideroak.com/) ou [Wuala](https://www.wuala.com/), deux plateformes de stockage “dans les nuages” (le “cloud”, en VO) qui chiffrent les données au niveau du navigateur, avant que vous ne les leur envoyez. Il vous faudra cela dit pour cela vous y créer un compte, associé à une adresse e-mail sécurisée.
[hushmail.com](http://www.hushmail.com/) est un service gratuit d'email chiffré qui met l'accent sur la facilité d'utilisation. Il existe aussi [des dizaines de fournisseurs](http://fr.wikipedia.org/wiki/Messagerie_%C3%A9lectronique_temporaire) d'adresses e-mail “jetables” et temporaires -tel qu'[AnonBox](https://anonbox.net/), créé par les célèbres hackers allemands du [Chaos Computer Club](http://owni.fr/2011/11/03/30-ans-de-bidouille/) (CCC)- auxquels on prendra soin de se connecter en https, et via Tor.
[RiseUp](https://mail.riseup.net) est un service de mails maintenu par une communauté militante. [L'originalité de ce service](https://help.riseup.net/fr/%C3%A0-propos) repose sur le fait qu'il n'enregistre aucun log et ne garde donc aucune trace adresse IP se connectant aux serveurs ma. RiseUp stocke également l'intégralité des messages de manière chiffrée.
Vous pouvez également utiliser le service de partage de fichier de [Hide My Ass](http://www.hidemyass.com/upload/), un des nombreux [proxys web (ou anonymiseurs)](http://fr.flossmanuals.net/comment-contourner-la-censure-sur-internet/ch012_les-proxys-web) utilisés pour contourner la censure sur le Net, ou surfer de façon anonyme (voir, à ce sujet, [Comment Contourner la Censure sur Internet ?](http://bugbrother.blog.lemonde.fr/2011/10/06/comment-contourner-la-censure-sur-internet-2/) et [Comment contourner la cybersurveillance ?](http://bugbrother.blog.lemonde.fr/2011/10/06/comment-contourner-la-censure-sur-internet-2/)).
[NoPlainText](https://noplaintext.com/) et [PrivNote](https://privnote.com/) (accessibles tous deux en https et donc de façon sécurisée) proposent de leur côté de créer de petits mémos qui s'“auto-détruiront” dès qu'ils ont été lus (ainsi que, pour PrivNote, d'être alerté par mail quand la note a été lue). Pratique pour envoyer un mot de passe (forcément temporaire : il faut toujours changer un mot de passe qui vous a été envoyé par un pair, parce qu'on ne partage jamais ses mots de passe avec un tiers), ou n'importe quel petit message à caractère confidentiel sans pour autant avoir besoin d'utiliser GnuPG. Ils n'empêcheront pas, par contre, un tiers non autorisé d'intercepter le lien - et donc le mémo - avant que son destinataire n'en prenne connaissance… mais peuvent permettre, a contrario, de savoir si votre canal de communication est espionné (il suffit en effet d'envoyer un premier message anodin, et de voir si c'est bien votre source qui le reçoit, #oupas, pour savoir si ce canal de communication est sécurisé, ou compromis).
Sur le même principe, [ZeroBin](http://sebsauvage.net/paste/) propose en sus de programmer l'effacement du mémo (dans 10 minutes, une heure, un jour, un mois, un an, ou jamais) et de pouvoir le commenter. [CryptoBin](https://cryptobin.org/) propose de son côté de protéger le mémo par un mot de passe, ce qui rajoute une couche de sécurité, mais vous oblige à devoir partager un mot de passe avec votre interlocuteur… de quoi utiliser CryptoCat ou PrivNote. Dans la mesure du possible, et pour rajouter une couche supplémentaire de sécurité, on n'hésitera pas à chaîner ces services, en accédant à ces sites depuis [Tor](https://web.archive.org/web/20130828060847/https://www.wefightcensorship.org/fr/article/ameliorer-votre-confidentialite-internet-torhtml.html) par exemple…
Il n'existe pas encore de solutions véritablement fiables pour communiquer avec un téléphone mobile en toute confidentialité. Pour être tout à fait clair : ne téléphonez JAMAIS à la source que vous êtes censé protéger depuis votre téléphone portable sur son téléphone portable -cf [l'affaire des fadettes](http://www.lemonde.fr/societe/article/2011/12/05/on-trouve-de-tout-dans-les-fadettes_1613356_3224.html). Au pire, passez par une cabine téléphonique sise loin de vos bureaux, le portable ou le fixe de quelqu'un qui n'a aucun contact direct avec vous, pour l'appeler sur son portable ou, mieux, sur une n° de téléphone fixe qui n'a aucun contact direct avec lui. Ou bien optez pour l'une des techniques expliquées plus avant. On suivra cela dit de près l'évolution des logiciels de [Whisper Systems](http://www.whispersys.com/) (qui ne fonctionnent pas sur tous les portables, et sont encore en version Beta).
De plus en plus utilisé, le logiciel de téléphonie internet Skype est lui aussi à proscrire, dans la mesure du possible. En juillet 2012, une dépêche AFP expliquant que l'AFP avait interviewé un dissident syrien via Skype a ainsi [fait scandale](http://reflets.info/afp-existerait-il-des-choses-que-les-journalistes-ne-savent-pas/) : la soi-disant “sécurité” de Skype a en effet moult fois été battue en brêche depuis que les autorités françaises ont déconseillé son utilisation en 2005. On a découvert depuis que Skype aidait non seulement certaines forces de l'ordre ou services de renseignement à espionner certains de leurs utilisateurs, mais également que des versions piégées de Skype avaient été créées pour identifier leurs utilisateurs.
Vous voulez pouvoir téléphoner, via Internet, à vos sources ? Pas de problème : mais utilisez [Jitsi](http://fr.wikipedia.org/wiki/Jitsi), le “Skype du libre” [recommandé](http://www.democracynow.org/2012/4/23/more_secrets_on_growing_state_surveillance) par [Jacob Appelbaum](http://fr.wikipedia.org/wiki/Jacob_Appelbaum), hacker développeur de Tor, proche de WikiLeaks et donc particulièrement au fait des questions de protection des sources, ou bien [Mumble](http://mumble.sourceforge.net/FAQ#Is_Mumble_encrypted.3F), essentiellement utilisé par les internautes adeptes de jeux vidéos mais qui, lui aussi, chiffre par défaut les télécommunications. Les hackers de Telecomix, qui se sont particulièrement illustrés en aidant les internautes & cyberdissidents des Printemps arabes à [sécuriser leurs télécommunications](https://resources.telecomix.ceops.eu/syria/index.2.en.html), ont ainsi ouverts deux [serveurs sécurisés](http://broadcast.telecomix.org/syria/news/eSUl3AtAG7/) pour communiquer via Mumble.
La sécurité informatique est un métier. Si ce n'est pas le vôtre, partez du principe que vous êtes, non seulement surveillables -voire surveillés (les FAI gardent la trace de toutes les fois où vous vous connectez, voire de ce que vous faites sur Internet, les opérateurs téléphoniques stockant de leur côté, dans leurs fadettes, tous les numéros de ceux que vous appelez, ou qui vous appellent)-, mais également que vous pouvez plus ou moins facilement être espionnés. Dit autrement : privilégiez les rendez-vous “IRL” (In Real Life, “dans la vraie vie”, et donc physiques, dans des lieux publics ou des arrières-salles de café, à la manière des espions du XXe siècle)… sachant que s'ils ont été fixés par téléphone ou bien par mail, ils peuvent donc être compromis. Ironie de l'histoire, en ce XXIe siècle hyper-technologiquement-connecté : on n'a rien inventé de mieux, en terme de protection des sources et de secret professionnel que… le courrier papier qui -a priori- est bien moins surveillé, et espionné, que les communications téléphoniques ou Internet.
Depuis près de 10 ans, Jean-Marc Manach travaille sur la montée en puissance de la “société de surveillance”, en tant que journaliste, mais également en tant que défenseur des libertés, des droits de l’homme et de la vie privée. Il a ainsi participé entre autres :
Cette œuvre est mise à disposition selon les termes de la Licence [Creative Commons Attribution – Pas d’Utilisation Commerciale 3.0 non transposé](http://creativecommons.org/licenses/by-nc/3.0/deed.fr).