Carte Blanche

Aux sources du secret des sources

13 Avril 2018 Par Pascal Steichen (Securitymadein.lu)
Pascal Steichen
«Lorsqu’on est en négociation d’accords commerciaux sensibles avec des partenaires chinois ou américains, utiliser des technologies fabriquées par ces pays, c’est comme donner une copie des clés de son appartement à son propriétaire», avertit Pascal Steichen. (Photo: Sebastien Goossens / Archives)

Le secret des sources est le principe le plus précieux aux yeux des journalistes, et surtout des journalistes d’investigation. Il leur permet de pouvoir collecter des informations importantes sans être intimidés par des autorités. S’ils étaient obligés de livrer leurs sources sur requête du pouvoir judiciaire, ou de tout autre acteur, ces sources se tariraient immédiatement.

Avec la digitalisation, la question du secret des sources a pris une nouvelle dimension, car il s’agit maintenant d’éviter que les sources soient divulguées à cause d’une faille technique ou d’une attaque informatique.

Les journalistes exploitent parfois des informations issues de «leaks» ou toute autre forme de sources non autorisées. Ils n’ont souvent pas d’autre choix que d’agir ainsi pour révéler des scandales financiers ou pour lancer des alertes. Mais ils doivent ensuite redoubler de vigilance pour ne pas subir les attaques de ceux qui veulent les empêcher de divulguer des informations sensibles. 

Vu l’actualité, en particulier en lien avec les discussions autour des ChamberLeaks, un retour structuré sur le Cybersecurity Breakfast du 22 février s’impose. Cette table ronde titrée «Les médias face à la protection du secret et la confidentialité» a permis de mettre en lumière de manière très concrète la réalité et les difficultés des professionnels de l’information, avec les témoignages de quatre journalistes d’investigation qui ont raconté leur combat quotidien pour protéger leurs sources et leurs données.

Ces derniers ont accepté de partager quelques-unes de leurs astuces pour éviter la divulgation de leurs informations les plus précieuses. Par exemple, dans le cas des Panama Papers, c’est un collectif de quelques centaines de journalistes qui a travaillé sur le dossier durant plusieurs mois. Une collaboration qui n’impliquait qu’un partage limité de données. Seul un minimum d’informations permettant à chacun de travailler sur sa part du dossier était distribué. Les sources n’ont été communiquées à personne, étant seulement connues du journal à la source de cette fuite.

Quatre astuces de journaliste

Par ailleurs, quelques conseils concernant les situations les plus courantes ont été donnés:

  1. S’équiper d’un PC «blanc» lors des voyages;
  2. Utiliser des cartes SIM dédiées et vides pour tout déplacement à risque;
  3. Éteindre le téléphone en cas de menace imminente;
  4. Certaines informations ne peuvent pas être transmises par des moyens électroniques: il faut organiser une rencontre dans un lieu sûr et dépourvu de tout dispositif potentiellement «espion».

Au niveau législatif, l’équilibre entre la protection du secret des affaires et celle des lanceurs d’alerte est difficile à trouver.

Pascal Steichen, CEO de Securitymadein.lu

L’utilisation de messageries cryptées est vivement conseillée pour éviter de se faire espionner. Il faut cependant être attentif à la puissance du chiffrement utilisé, car certains pays réglementent l’utilisation de la cryptographie. D’autres pays l’interdisent complètement… Lors des voyages, il faut donc adapter les mesures de protection envisagées aux législations locales.

Il faut aussi se rappeler que les messageries cryptées ne sont pas cassables au moment de la transmission, mais, si un «espion» a accès au laptop ou au smartphone sur lequel les messages sont stockés, il aura accès à tout. La solution ultime serait l’utilisation de téléphones chiffrés. Cette «solution» a cependant quelques désavantages: elle est coûteuse et compliquée à mettre en œuvre. Mais surtout, elle nécessite de ne communiquer qu’avec des téléphones qui sont également cryptés. Or, le métier de journaliste, c’est de pouvoir parler à tout le monde, donc l’utilisation de ce genre de moyens est très peu pratique, a expliqué Philippe Vasset, directeur de la rédaction chez Indigo Publications.

Toujours selon Philippe Vasset, les menaces contre la liberté de la presse viennent beaucoup plus de groupes privés que des gouvernements. «Les avocats d’affaires sont très créatifs pour inventer des charges de plus en plus originales», a-t-il affirmé.

Droit à l’information et au secret des affaires: un mariage impossible?

Au niveau législatif, l’équilibre entre la protection du secret des affaires et celle des lanceurs d’alerte est difficile à trouver et il faut encore évaluer l’impact des législations récentes à ce sujet comme la loi Sapin 2 en France. Il y a des discussions pour étendre la protection des lanceurs d’alerte au niveau européen, afin d’harmoniser le cadre européen. 

Au final, le métier de journaliste d’investigation est un métier dont les cyber-risques sont très élevés… sans parler des risques juridiques et physiques. Leurs techniques d’investigation et leurs tactiques de protection sont riches d’enseignements pour les entreprises qui doivent protéger leurs données. Journalistes comme entreprises doivent trouver le bon mix de mesures techniques et organisationnelles, et trouver le bon compromis entre protection maximale idéale et ce qu’il est raisonnablement possible de mettre en place, sans rendre la vie impossible aux utilisateurs.

Sans vouloir semer la panique, les technologies sont là.

Pascal Steichen, CEO de Securitymadein.lu

Pour Frans Imbert-Vier, CEO de Ubcom (sponsor du Cybersecurity Breakfast), nous sommes dans un environnement «Big Brother». Sans vouloir semer la panique, les technologies sont là. Les entreprises doivent assurer leur souveraineté économique. C’est d’abord une question d’usage et d’organisation. Lorsqu’on est en négociation d’accords commerciaux sensibles avec des partenaires chinois ou américains, utiliser des technologies fabriquées par ces pays, c’est comme donner une copie des clés de son appartement à son propriétaire. À bon entendeur…

La mission du C3 est justement de donner les clés aux entreprises et aux citoyens pour mieux protéger leurs «coffres-forts» numériques.