Les journalistes travaillent dans des conditions très différentes à travers le monde. Un reporter en Espagne n'a pas les mêmes problèmes de sécurité qu'une journaliste en Iran. Cependant, lorsqu'il s'agit de cybersécurité, tout le monde doit se mettre à la page pour protéger ses données, ses communications et ses sources.
La répression de la liberté de la presse au niveau mondial a engendré un durcissement des conditions de travail des journalistes, rendant la sécurisation des données encore plus nécessaire. Aujourd'hui, le nouveau contexte dû à la pandémie de COVID-19 nous a rendus d'autant plus dépendants d'Internet pour effectuer nos enquêtes et travailler ensemble de manière efficace. S'assurer de le faire sans risque pour nous, nos collègues ainsi que nos sources, nécessite qu'on soit à jour sur les derniers outils disponibles et les bonnes pratiques pour garantir notre cybersécurité.
Pendant le webinaire d'IJNet sur la cybersécurité, Rajan Kapoor, directeur de la sécurité chez Dropbox, et Sérgio Spagnuolo, ex-membre de l'ICFJ, ancien lauréat TruthBuzz et dirigeant de l'agence de conseil et de data-journalisme Volt Data Lab, ont partagé leurs conseils et outils que les journalistes peuvent utiliser pour se protéger, protéger leurs données et leurs scoops.
A faire
Utiliser l'authentification à deux facteurs
Ceci est un premier pas simple pour assurer la protection de ses données. Kapoor explique que se servir de l'authentification à deux facteurs permet d'empêcher les hackers d'accéder à vos comptes ou vos données même s'ils ont votre mot de passe. Il recommande également de mettre en place un protocole de récupération comme une authentification à deux facteurs de secours et d'enregistrer vos codes de récupération pour ne jamais être exclu.e de vos propres comptes.
Pour mettre en place l'authentification à deux facteurs, Kapoor conseille d'utiliser un autre outil d'authentification que le SMS. Il utilise Duo mais d'autres options existent également.
Se renseigner sur le chiffrement de vos données, tant fixes qu'en transit
"Le chiffrement consiste à prendre vos données et les brouiller avec une clef", explique Kapoor. Cela signifie que même si quelqu'un essaie d'accéder à vos données, elles seront illisibles sans la clef adéquate.
Pour garantir la sécurité de vos données, Kapoor donne deux critères à vérifier auprès de chaque prestataire : le chiffrement au repos et le chiffrement en transit. Le chiffrement en transit assure le cryptage des données de bout en bout, c'est-à-dire du moment où elles quittent votre terminal pour le cloud et durant tout son trajet sur Internet. Le chiffrement au repos fait référence au fait que le prestataire chiffre les données que vous stockez auprès de lui.
Installer un VPN (virtual private network)
Un VPN vous permet de surfer sur Internet de manière sécurisée grâce à un serveur intermédiaire. Tout le trafic de données venant d'Internet est dirigé vers un serveur de procuration, protégeant ainsi votre activité sur Internet de l'intrusion de personnes tentant de vous espionner et masquant également votre adresse IP, dans un souci de confidentialité.
Cette vidéo donne un aperçu du fonctionnement d'un VPN :
Les VPN fonctionnent généralement par abonnement et peuvent être installés sur smartphones également.
Même si les VPN sont utiles, ils ne garantissent pas la sécurité numérique à eux seuls. "Les VPN sont de bons outils pour masquer son adresse IP mais pas forcément pour garantir la confidentialité" selon Spagnuolo.
Kapoor souligne l'importance de faire ses recherches avant de choisir un fournisseur de VPN. Il faut s'assurer que le fournisseur n'enregistre pas et ne partage pas la liste des sites sur lesquels vous vous rendez.
"Il y a beaucoup de fournisseurs de VPN douteux qui ont conçu leur outil pour pouvoir fouiller dans l'ensemble de vos données", met en garde Kapoor. "Ce ne sont pas des outils infaillibles en termes de protection des données car si votre fournisseur est malhonnête ou cherche à vous tracer, il peut toujours le faire grâce aux cookies, par exemple."
Nous incluerons quelques recommandations de VPN à la fin de l'article.
Limiter le nombre de personnes et d'applications ayant accès à vos comptes
"Ce que vous ne devez vraiment pas faire est partager des comptes ou en ouvrir un seul pour plusieurs personnes", prévient Kapoor, "car il est ensuite impossible de savoir si ce compte est compromis ou si quelqu'un d'inconnu s'y connecte."
De nombreux services se connectent avec d'autres applications, comme votre calendrier, votre mail, les réseaux sociaux, entre autres. Contraignez-vous à maintenir une liste limitée d'applications connectées et soyez conscients des données que vous partagez avec des services tierces. Passez en revue les applis connectées à vos services au moins une fois par an et supprimez celles dont vous ne vous servez pas.
A ne pas faire
Ne pas partager des liens ouverts, surtout si les documents contiennent des données sensibles
Les journalistes ont besoin de partager des documents avec leurs collègues et leurs supérieurs. Il est important toutefois de garder un œil sur les personnes qui ont accès aux documents et sur le volume de données auxquelles elles peuvent accéder. Spagnuolo et Kapoor déconseillent tous deux de partager des documents sans mot de passe quand ceux-ci contiennent des données sensibles et invitent à ne les partager qu'à un nombre limité de contributeurs. Ceci évitera que le document soit diffusé trop largement.
Spagnuolo souligne également que le partage d'un Google Doc donne aux lecteurs accès non seulement aux informations contenues dans le document mais également aux anciennes versions et métadonnées, qui peuvent contenir des coordonnées, des noms de sources ou des lieux. Avant de partager un document, via Google ou un autre outil, assurez-vous alors d'avoir nettoyé les métadonnées avec l'aide d'un outil ou d'avoir copié la version finale dans un nouveau document et partagez le nouveau fichier.
Kapoor a montré comment un utilisateur de Dropbox pouvait notamment ajouter des barrières de protection lors du partage d'un document en y adjoignant un mot de passe et une date limite d'accès spécifique à un utilisateur.
Ne pas se servir d'un même mot de passe sur plusieurs sites
Pour éviter que des hackers puissent obtenir vos mots de passe pour plusieurs plateformes, évitez d'utiliser les mêmes.
"Si un hacker arrive à craquer un site et accède aux identifiants et mots de passe, il se rend immédiatement sur tous les fournisseurs de cloud principaux et essaie d'utiliser les identifiants et mots de passe qu'il possède", raconte Kapoor.
Spagnuolo explique que créer des mots de passes uniques et complexes de 10 caractères les fait gagner en sécurité. Il conseille de créer des "phrases de passe" en juxtaposant des mots ensemble de manière aléatoire et de les personnaliser ensuite avec des caractères spéciaux et des majuscules. "Les paroles de chansons sont efficaces pour cela", ajoute-t-il.
Se souvenir de tous ses mots de passe est un casse-tête mais Spagnuolo préfère ne pas les sauvegarder dans son navigateur. Kapoor et Spagnuolo préconise plutôt l'utilisation d'un logiciel de sauvegarde de mot de passe comme 1Password ou un fichier crypté.
Ne pas traiter toutes les données de la même façon
Si vous animez un webinaire ouvert au public ou discutez avec des collègues de sujets quotidiens, ces données ne nécessitent pas une sécurisation complexe. Pour ces usages, l'utilisation de services téléphoniques, outils de visioconférence ou de chat standards feront l'affaire. Soyez tout de même conscient.e que votre connexion n'y est pas toujours 100 % sécurisée.
Si vous parlez à l’une de vos sources ou travaillez sur un article comprenant des informations sensibles, prenez garde aux outils que vous utilisez. Spagnuolo et Kapoor proposent Signal pour des conversations sécurisées, en messagerie texte comme en audio.
Vous devrez également chiffrer par vous-même certains dossiers ou certaines données enregistrées en local sur votre ordinateur.
"Ainsi, si quelqu'un accédait à votre ordinateur portable ou disque dur, il ne pourrait pas lire les données stockées", remarque Kapoor.
Pour parer à cette éventualité, Kapoor et Spagnuolo recommandent tous deux le chiffrement complet du disque, qui peut être directement inclus dans vos appareils.
"Faites simplement attention à ne pas perdre votre mot de passe, sinon vous vous verrez dans l'impossibilité de récupérer les données" rappelle Spaguolo.
Outils
Spagnuolo a créé une boîte à outils organisée en trois catégories : sécurité et confidentialité, navigateurs et recherche, documents et données. Ceci inclut des options de VPN, de fournisseurs de chiffrement de données, des outils collaboratifs, entre autres.