Nos conseils de cybersécurité pour les journalistes

Dans le monde numérique d'aujourd'hui, la sécurité n'est pas seulement une préoccupation physique pour les journalistes. De plus en plus, les e-mails, les comptes de réseaux sociaux et les sources sont menacés par des agents malveillants opérant sur Internet.

Lors d'un récent webinaire du Forum de reportage sur la crise sanitaire mondiale de l'ICFJ, Harlo Holmes, directrice de l'information et de la cybersécurité à la Freedom of the Press Foundation, a partagé ses conseils clefs de sécurité numérique pour les journalistes.

Nous vous présentons ci-dessous les principaux conseils donnés lors de la session.

Évaluez votre niveau de risque

Selon le sujet sur lequel vous travaillez, différents types d'acteurs peuvent être intéressés par l'accès à vos courriels, à vos sources ou d'autres données. Lorsque vous envisagez de mettre à niveau votre sécurité numérique, M^me Holmes suggère d'abord d'évaluer vos risques personnels : "Qui est l'adversaire qui vous préoccupe ?"

Les adversaires, c'est-à-dire les organisations et individus qui ont l'intention de vous pirater, se présentent sous différentes formes. Certains sont connus sous la dénomination "front door" : les services de police ou de renseignement, qui ont souvent besoin d'assignations ou de mandats pour effectuer une surveillance numérique ou des tentatives d'accès. D'autres sont dits "back door", comme les hackers solitaires qui tentent de voler l'identité d'une personne ou les détails de ses comptes. Certains, comme les entreprises, utilisent les deux méthodes.

Lorsque vous vous demandez qui est le plus susceptible de vous cibler, il est important de tenir compte du temps, des ressources et de l'expertise dont cet acteur dispose et de vous préparer en conséquence. Les forces de l'ordre, par exemple, disposent souvent de beaucoup de temps et de ressources, mais n'ont pas toujours le plus haut niveau d'expertise technique. Un pirate solitaire, quant à lui, peut avoir des connaissances techniques approfondies, mais décider d'arrêter les frais s'il lui faut trop de temps et de ressources pour mener à bien une intrusion.

M^me Holmes a rappelé que tout le monde ne doit pas se considérer comme une cible des services de police ou de renseignement. Si la sécurité numérique est importante pour tous les journalistes, il est souvent inutile de consacrer du temps et de l'argent à des mesures de sécurité plus strictes s'il est peu probable que vous soyez visé en premier lieu.

Faites l'inventaire de vos actifs et informations sensibles

Il est tout aussi important d'identifier les actifs que vous possédez et auxquels quelqu'un pourrait vouloir accéder que de savoir qui pourrait essayer de vous pirater. Pour M^me Holmes, le fait de structurer ces actifs en plusieurs niveaux facilite ce processus. Des informations telles que vos contacts occasionnels, vos publications sur les réseaux sociaux ou votre historique de navigation ne sont peut-être pas aussi importantes que vos mots de passe, vos communications sécurisées avec vos sources ou vos documents sensibles.

Pour déterminer à quel niveau se situent vos actifs, M^me Holmes conseille de vous poser une série de questions qui peuvent vous aider à évaluer ceux qui nécessitent plus de sécurité que d'autres :

• Qu'est-ce qui est important pour votre propre travail par rapport à ce qui est important pour le travail collaboratif en groupe ?
• Quels sont les biens avec lesquels il est sûr et/ou nécessaire de voyager ?
• Qu'est-ce qui est important pour vous personnellement par opposition à ce qui est important pour votre travail ?

Par-dessus tout, ajoute M^me Holmes, les journalistes doivent se demander : Qu'est-ce qui présenterait le plus grand problème si vous le perdiez à jamais, et quel serait le coup dur pour vous si cela devait arriver ?

Avec ces informations en tête, vous pouvez commencer à mettre en place des précautions contre les cyberattaques.

Les outils pour sécuriser vos comptes et crypter vos données

Si tous les piratages ou actes de surveillance numérique ne peuvent pas être évités, les journalistes disposent de divers outils pour rendre la tâche plus difficile pour leurs adversaires. Les deux plus efficaces sont les gestionnaires de mots de passe et l'authentification à deux facteurs.

Les gestionnaires de mots de passe stockent les mots de passe pour une utilisation ultérieure et une synchronisation entre les appareils. Ils sont mieux protégés par une longue phrase de passe composée de plusieurs mots sans lien entre eux. La raison en est simple : alors qu'un mot de passe de base à huit chiffres utilisant des lettres et des chiffres peut être compromis en quelques heures, il faudrait des décennies, voire des siècles, pour pirater une phrase de passe de huit mots. Les phrases de passe peuvent souvent être mieux mémorisées que les mots de passe et ont l'avantage d'être entièrement uniques.

L'authentification à deux facteurs, quant à elle, permet de mettre en place une autre couche de sécurité. Elle peut se présenter sous différentes formes, depuis les applications et les codes SMS jusqu'au matériel externe. M^me Holmes conseille d'éviter la vérification par SMS, une méthode fréquemment utilisée qui peut néanmoins être contournée par quelqu'un qui se fait passer pour vous. Par exemple, il peut remplacer votre numéro de vérification par le sien et retourner votre authentification à deux facteurs contre vous.

La méthode la plus sûre, selon M^me Holmes, est le jeton matériel. Insérés directement dans un port USB de votre ordinateur, ces jetons empêchent quiconque d'accéder à vos comptes sur cet appareil ou virtuellement, à moins qu'il ne dispose du jeton physique.

Si vous utilisez une clef logicielle telle que Google Authenticator, M^me Holmes vous conseille d'enregistrer le “seed” ou le code de sauvegarde dans votre gestionnaire de mots de passe. Vous éviterez ainsi d'être définitivement exclu de vos comptes si vous perdez l'accès à l'authentificateur, par exemple si vous perdez un appareil, ce qui peut être un problème tout aussi important que le verrouillage de vos comptes par un adversaire.

Enfin, pour les journalistes qui souhaitent éviter que leurs communications ne soient surveillées, M^me Holmes recommande de n'utiliser que des sites Web cryptés, signalés par https:// ou le symbole du cadenas sur le navigateur. Si les adversaires qui vous surveillent peuvent toujours voir les métadonnées, comme les sites Web que vous visitez, ils ne peuvent pas accéder au contenu réel que vous envoyez par courrier électronique, SMS ou d'autres moyens sur ces réseaux, lorsqu'ils sont correctement cryptés.

Bien que le cryptage des sites web soit désormais courant dans les pays occidentaux, dans d'autres régions, comme de nombreux pays d'Afrique ou le Japon, les sites sont encore largement non cryptés. Les journalistes de ces pays doivent surveiller de près les sites web qu'ils utilisent pour communiquer.

Faites vos recherches

En guise de conclusion, M^me Holmes donne une chose à faire à tous les journalistes : s'inscrire sur https://haveibeenpwned.com/, un site qui vous avertit par e-mail si les données d'un logiciel ou d'un site web que vous avez utilisé ont été compromises. Bien que cela puisse faire peur, c'est aussi l'un des meilleurs systèmes d'alerte précoce pour savoir si vos données ont été divulguées, permettant ainsi d'agir en conséquence.

Si une violation de données se produit sur les sites web que vous utilisez, M^me Holmes insiste toutefois sur le fait que c'est la faute de l'entreprise, et non la vôtre.

Un hacker qui a accès à votre mot de passe pourrait, à partir de là, accéder à votre compte bancaire ou Twitter, surtout si vous utilisez des mots de passe similaires. Recevoir une notification vous permet d'agir en premier et d'éviter que des actifs de niveau supérieur ne soient compromis.

Avec ces informations en main, les journalistes devraient être d'autant mieux préparés à se protéger numériquement contre quiconque tenterait d'accéder à leurs informations, se protégeant eux-mêmes ainsi que leurs sources.

Photo de Christopher Gower sur Unsplash.