Se protéger

Pour les journalistes, les militants et toute personne manipulant des sources sensibles, la sécurité numérique n'est pas une préoccupation abstraite mais une partie pratique du travail. Les enjeux sont plus élevés que pour un utilisateur ordinaire : une liste de contacts fuitée peut exposer une source, et un compte compromis peut défaire des mois d'enquête ou d'organisation soigneuses. Ce guide est un cadre de départ, pas un substitut à une formation adaptée lorsque le risque est sérieux.

Commencez par le threat modelling

Tout ce qui est utile commence par la modélisation des menaces — décider, honnêtement, qui pourrait vouloir vos informations et ce qu'il pourrait réellement faire pour les obtenir. Un reporter local, un correspondant international et un organisateur communautaire font face à des adversaires très différents, et les bonnes précautions découlent de ce tableau plutôt que d'une liste générique. Se préparer à l'excès pour la mauvaise menace gaspille l'effort ; se préparer insuffisamment pour la vraie est dangereux.

Les fondamentaux, en plus exigeant

Les mêmes fondamentaux qui protègent les utilisateurs ordinaires vous protègent aussi, seulement ils comptent davantage. Un gestionnaire de mots de passe avec des mots de passe uniques pour chaque compte, l'authentification à deux facteurs partout où elle est proposée et un compte email bien sécurisé constituent la base. Comme l'email est la clé de récupération de la plupart des autres services, le verrouiller avec un mot de passe fort et un second facteur est souvent la mesure unique la plus utile que vous puissiez prendre.

• Commencez par la modélisation des menaces : qui est l'adversaire réaliste ?
• Préférez une clé matérielle ou une application d'authentification au 2FA par SMS
• Utilisez la messagerie et l'email chiffrés de bout en bout par défaut
• Attention aux métadonnées — qui a contacté qui peut exposer une source
• Chiffrez les appareils, cloisonnez les comptes et méfiez-vous du hameçonnage
• La sécurité est collective : protégez sources et collègues, et trouvez une aide experte si le risque est élevé

Pour l'authentification à deux facteurs en particulier, préférez une clé de sécurité matérielle ou une application d'authentification aux codes envoyés par SMS. Les codes par SMS peuvent être interceptés ou redirigés via des attaques sur le réseau téléphonique ou via le SIM-swapping, où un attaquant persuade un opérateur de transférer votre numéro vers son appareil. Une clé physique est nettement plus difficile à vaincre à distance et vaut son faible coût pour les comptes à haut risque.

Chiffrez les communications et surveillez les métadonnées

Protégez vos communications avec le chiffrement de bout en bout par défaut. La messagerie chiffrée de bout en bout signifie que seuls vous et votre interlocuteur pouvez lire ce que vous envoyez, et utiliser les messages éphémères lorsque c'est approprié limite la quantité d'historique sensible qui s'accumule sur chaque appareil. Pour l'email, un fournisseur chiffré de bout en bout ou à accès zéro garde la correspondance stockée privée vis-à-vis du fournisseur, ce qui compte lorsqu'une seule injonction pourrait sinon l'exposer.

Pensez soigneusement aux métadonnées, car le chiffrement du contenu ne les masque pas. Même quand le corps d'un message est chiffré, le relevé de qui a contacté qui, quand et depuis où peut exposer une source à lui seul. Réduire les métadonnées signifie choisir des outils qui les minimisent, être délibéré quant aux comptes et numéros que vous reliez entre eux, et reconnaître que le motif de vos communications peut être aussi révélateur que leur contenu.

Sécurisez les appareils et cloisonnez

Sécurisez les appareils eux-mêmes, pas seulement les comptes. Le chiffrement intégral du disque protège ce qui se trouve sur un ordinateur portable ou un téléphone s'il est perdu ou saisi, un code d'accès fort vaut bien mieux qu'un PIN court ou un déverrouillage facial qu'on peut vous contraindre à utiliser, et des mises à jour logicielles rapides referment les vulnérabilités connues sur lesquelles s'appuient les vraies attaques. Un appareil laissé déverrouillé ou non corrigé sape chaque choix prudent fait sur les comptes.

Cloisonnez pour limiter les dégâts quand quelque chose tourne mal. Séparer le travail sensible des comptes personnels, utiliser des identités ou des appareils différents pour des projets différents et garder isolé le matériel lié aux sources font qu'une compromission ne se transforme pas en exposition totale. Cette discipline est fastidieuse, ce qui est précisément pourquoi il vaut la peine de l'intégrer à une routine plutôt que d'improviser sous pression.

Le maillon humain, et la sécurité comme effort collectif

Rappelez-vous que le maillon le plus faible est souvent humain, pas technique. Le hameçonnage — un message convaincant qui vous incite à saisir un mot de passe ou à approuver une connexion — déjoue le chiffrement fort en le contournant. Ralentir avant de cliquer, vérifier les demandes inattendues par un second canal et traiter l'urgence elle-même comme un signal d'alerte vous protègent contre les attaques qui, en réalité, réussissent le plus souvent.

Enfin, traitez la sécurité comme collective plutôt qu'individuelle. Vos protections ne valent que celles des personnes avec qui vous communiquez, donc partager les bonnes pratiques avec sources et collègues élève la sécurité de tous à la fois. Quand le risque est élevé, cherchez des organisations et des formateurs dédiés, spécialisés dans la protection des journalistes et des militants ; ce guide indique la bonne direction, mais les situations sérieuses méritent une aide experte et adaptée au contexte.