“Sur Internet, il arrive souvent que nous fassions des choses sans avoir la moindre idée du danger auquel nous sommes confrontés, par pure ignorance”, déclare Luis Assardo, formateur en sécurité numérique et journaliste d'investigation spécialisé dans les données à LatAm Journalism Review (LJR). “En Amérique latine en particulier, nous manquons des connaissances nécessaires, et cette compétence ou cet instinct ne sont donc pas encore développés.”
M. Assardo est l'instructeur du nouveau cours “Sécurité numérique pour les journalistes en temps de crise”, proposé par le Knight Center for Journalism in the Americas et le Global Investigative Journalism Network (GIJN). Ce cours gratuit est dispensé en ligne du 7 juillet au 3 août.
Lors d'un entretien avec LJR, M. Assardo a énuméré les erreurs les plus courantes qu'il observe chez les journalistes et qu'ils devraient éviter pour préserver leur sécurité numérique. Les risques seront toujours présents, déclare-t-il, mais il est important de les identifier pour les atténuer.
(1) L’utilisation du Wi-Fi dans les lieux publics
L'Amérique latine continue de connaître une fracture numérique. Selon GSMA Intelligence, 28 % des Latino-Américains vivent dans des zones à faible couverture mobile haut débit. C'est pourquoi, explique M. Assardo, les journalistes ont tendance à prendre plus de risques et à se connecter aux réseaux publics des restaurants, des places, des hôtels ou des aéroports.
Idéalement, les réseaux publics ne devraient pas être utilisés, mais s'il n'y a pas d'autre option, M. Assardo recommande d'utiliser un VPN - un réseau privé virtuel qui crée une connexion cryptée entre l'appareil et un serveur distant, masquant ainsi l'adresse IP et acheminant le trafic Internet via ce serveur.
Il est également important d'éviter les achats en ligne lorsque vous utilisez un réseau Wi-Fi inconnu et, une fois l'utilisation d'Internet terminée, supprimez immédiatement la connexion Wi-Fi de l'appareil.
“C'est peut-être l'un des plus gros problèmes que je rencontre lorsque j'accède au Wi-Fi d'un journaliste. Je trouve des centaines d'anciennes connexions Wi-Fi qui ne sont plus utiles”, explique M. Assardo. “Ainsi, n'importe qui peut savoir que vous êtes allé au restaurant Pepito et cloner les informations de ce Wi-Fi.”
(2) Ne pas protéger la confidentialité des données
Dans les médias latino-américains, l’utilisation de WhatsApp est très répandue, non seulement comme moyen pour les journalistes de se connecter avec leur public mais aussi avec leurs sources.
WhatsApp utilise un chiffrement de bout en bout, de sorte que seuls l'expéditeur initial et le destinataire final peuvent voir le message. Cependant, les pratiques de confidentialité de WhatsApp et de sa société mère, Meta, sont inquiétantes, selon le guide “Surveillance Self-Defense (SSD)” de l'Electronic Frontier Foundation.
M. Assardo explique qu'il existe une différence entre sécurité et confidentialité. Et si WhatsApp est sécurisé, il n'est pas nécessairement privé, car il est possible de savoir à qui vous avez parlé même sans avoir accès à la conversation.
“Meta, Google, Amazon et tous les grands empires technologiques sont des courtiers en données. Leur objectif est d'obtenir des données, car c'est essentiellement ce qu'ils utilisent pour leurs échanges ; cela fait partie de leur modèle économique”, déclare M. Assardo. “Nous ne pouvons pas leur faire entièrement confiance.”
Selon lui, les rédactions devraient idéalement utiliser d’autres applications plus sécurisées telles que Signal, Threema, Session ou Wire.
(3) Ignorer les mises à jour de l'appareil
Les mises à jour logicielles sont essentielles pour maintenir la sécurité et les performances des appareils et des applications. Elles offrent une protection contre les cybermenaces, améliorent l'expérience utilisateur et garantissent la compatibilité avec d'autres logiciels et matériels.
Ne pas mettre à jour laisse une fenêtre ouverte aux vulnérabilités.
“J'ai rencontré des journalistes qui possédaient un appareil depuis deux ou trois ans et ne l'avaient jamais mis à jour”, déclaré M. Assardo. “Même avec un mot de passe très robuste, si l'on néglige les mises à jour logicielles, un agresseur pourrait facilement infiltrer l’appareil, extraire ou modifier ce qu'il souhaite, puis repartir sans être détecté.”
(4) Ne pas sauvegarder les données
L'une des missions d'un journaliste est de se déplacer pour recueillir des informations ou réaliser un reportage. Ce faisant, notamment dans les pays où la sécurité ou la liberté d'expression sont en jeu, les appareils des journalistes peuvent être compromis par le vol ou le contrôle des autorités.
M. Assardo affirme que la sauvegarde (création d’une copie de sécurité) est une solution simple qui permet aux journalistes de contourner les menaces et de réduire l’impact des vulnérabilités.
“Combien de temps me faudra-t-il pour faire une sauvegarde ? Une heure, d'accord, je la laisse faire et je vais déjeuner”, déclare M. Assardo. “Il existe des solutions. On peut tout planifier à l'avance, même si on a peu de ressources.”
(5) Tomber dans le piège des distractions des agresseurs
Le harcèlement en ligne est un phénomène utilisé de manière coordonnée contre les journalistes et peut inclure des confrontations et des campagnes de diffamation sur les réseaux sociaux.
M. Assardo déclare que ces types d'attaques ne servent pas seulement à discréditer le journaliste, mais aussi à le distraire d'autres problèmes qui peuvent survenir parallèlement, comme le harcèlement judiciaire, la surveillance ou le harcèlement financier. Il est donc important d'éviter d'agir ou de réagir de manière impulsive face aux agresseurs.
“Aujourd'hui, les attaques contre les journalistes se manifestent non seulement par du harcèlement en ligne, mais aussi par du harcèlement judiciaire”, déclare M. Assardo. “Ils peuvent intenter une ou plusieurs poursuites et avoir besoin que le journaliste soit distrait, piégé par un troll, et non sans contact avec son avocat ou la défense dont il aurait besoin pour régler ses problèmes judiciaires.”
(6) Télécharger ou cliquer sans discernement
Selon Microsoft, l'hameçonnage (le phishing) est une méthode visant à inciter les internautes à divulguer des informations personnelles ou financières par e-mail ou sur un site web. Une arnaque courante par hameçonnage commence par un e-mail ressemblant à une notification officielle provenant d'une source fiable, comme une banque ou une société de carte de crédit. Dans cet e-mail, les destinataires sont redirigés vers un site web frauduleux où on leur demande des informations personnelles, comme un numéro de compte ou un mot de passe. Ces informations sont généralement utilisées pour usurper l'identité.
L'hameçonnage peut également être utilisé dans le but d'infecter un appareil avec un logiciel malveillant. Un journaliste victime d'hameçonnage peut perdre des informations confidentielles sur ses reportages ou ses sources.
M. Assardo affirme que les journalistes devraient également être prudents lorsqu'ils utilisent des clés USB fournies par des sources sur leurs appareils, car elles pourraient contenir des codes malveillants.
“Dans une rédaction, il devrait y avoir un ordinateur qui n'est pas connecté à Internet et qui sert uniquement à télécharger des informations dans ce genre de situations”, déclare M. Assardo.
(7) Écrire les mots de passe sur papier
Les post-its sont l'un des objets les plus redoutés par les experts en sécurité numérique. Certains ont l'habitude d'écrire leurs mots de passe sur papier et de les laisser accessibles à tous.
Pour M. Assardo, il est absolument interdit d’écrire mot de passe sur support papier.
“Lors de ces ateliers, je demande toujours aux participants s'ils connaissent par cœur la clé qui leur permet d'entrer chez eux, s'ils peuvent la dessiner de mémoire”, explique M. Assardo. “Tous me disent qu'ils ne la reconnaissent même pas. C'est parce qu'elle fait partie d'un porte-clés. Ce dont le journaliste a besoin, c'est de son porte-clés, un gestionnaire de mots de passe qui lui permet d'ouvrir facilement toutes les portes.”
Il existe des gestionnaires de mots de passe gratuits et payants, comme LastPass, 1Password ou NordPass.
(8) Le stockage d'informations sensibles auprès de grandes entreprises technologiques
La dernière recommandation de M. Assardo était d'essayer de ne pas conserver d'informations sensibles sur des plateformes appartenant à de grandes entreprises technologiques, car, bien qu'elles offrent un cryptage des données, il existe une probabilité plus élevée que les données soient compromises.
“Imaginez que je mène une enquête sur des membres de gangs et que je détienne des informations très sensibles provenant de certaines sources. Je ne les mettrais jamais sur ce drive”, déclare M. Assardo. “J'utiliserais plutôt d'autres outils comme Cryptee ou Tresorit, qui me permettraient de chiffrer les informations et empêcherait toute autre personne d'y accéder.”
M. Assardo conclut en soulignant que la littératie numérique et la sécurité ne sont pas l’apanage d’une élite. Ces compétences peuvent - et doivent - être adaptées à différents contextes culturels, niveaux de connaissance et ressources disponibles, afin d’être accessibles à tous.
Image de Pete Linforth de Pixabay.
Cet article a été initialement publié sur LatAm Journalism Review et est republié sur IJNet sous Creative Commons CC BY-NC-ND 4.0.