Piratages informatiques : comment les journalistes peuvent-ils protéger leurs données ?
Luc Chemla
Alors que le numérique est désormais indissociable du journalisme, les attaques informatiques envers les médias se font plus nombreuses. Les conséquences graves (perte de données, fuite de sources…) sont devenues un enjeu essentiel de la pratique journalistique. Logiciels cryptés, applications, les parades existent.
Vous souvenez-vous de la cyberattaque qu’a connue la chaîne TV5 Monde en avril 2015 et qui a paralysé l’intégralité de ses programmes ? Si cette dernière a été particulièrement médiatisée, la plupart d’entre elles ont pourtant lieu dans le plus grand anonymat. Les médias doivent aujourd’hui lutter en permanence contre des attaques qui sont de plus en plus difficiles à détecter. Ainsi, l’APT, « Advanced Persistent Threat » (menace persistante avancée) est un piratage qui consiste à placer un code malveillant sur un ou plusieurs ordinateurs pour voler des données et rester inaperçu le plus longtemps possible. Il est donc très difficile à détecter. Les journalistes peuvent néanmoins compter sur de nombreux logiciels de sécurité, pour certains encore peu connus, pour se protéger.
Des programmes sécurisés pour limiter les risques
C’est le cas du VPN (Virtual Private Network) qui permet de créer un lien sécurisé entre des ordinateurs distants, en isolant le trafic dans un canal sécurisé. Toutes les données échangées entre eux sont cryptées et protégées, et les adresses IP anonymisées. Autre solution, TrueCrypt, logiciel de chiffrement qui rend un fichier inaccessible aux personnes non autorisées. En cas de perte ou de vol de l’ordinateur, il est impossible d’accéder aux données sans connaître le mot de passe. Plus récent, Tails est un système d’exploitation complet qui permet de surfer anonymement sur la toile, sans laisser de trace.
Outil indispensable au journaliste, le mail est, malgré les apparences, particulièrement vulnérable : interception de données, surveillance de boîte mail, les dangers sont nombreux, mais des logiciels comme PGP (Pretty Good Privacy) et Mailenvelop permettent de les protéger. Enfin, alors que les journalistes sont de plus en plus surveillés, DETEKT, les prévient s’ils sont espionnés à leur insu.
Une nouvelle application smartphone, anti-attaque « physique »
Les journalistes sont également susceptibles de subir un piratage « physique » sur leur smartphone en le laissant sans surveillance ne serait-ce qu’un instant. Le célèbre lanceur d’alerte Edward Snowden a ainsi développé pour eux, fin 2017, l’application Haven, « afin de créer un nouveau type d’immunité collective ». Elle transforme n’importe quel smartphone en système de surveillance en se servant des micros, caméras, capteurs de lumière pour détecter bruits, vibrations, changement de pression dans l’air et contrer ainsi toute intrusion. Une fois pris en main par un inconnu, le smartphone envoie une notification sur un autre téléphone pour alerter, voire même prendre des photos de l’individu pour l’identifier.
Preuve que les smartphones sont également la cible des hackers, la société de sécurité informatique Kaspersky a découvert, en janvier 2018, un logiciel espion baptisé Skygofree qui permet notamment l’enregistrement audio.
La meilleure solution reste néanmoins la vigilance
Si les attaques sont extrêmement difficiles à prévoir, il existe des précautions simples à prendre. Marco Calamari, consultant italien en confidentialité informatique, et fondateur du projet Winston Smith, conseille: « d’abord, utiliser un ordinateur de dernière génération qui n’a jamais été connecté à un réseau local ou à internet et avec lequel vous travaillez, mais sans jamais le connecter, car il suffit d’une fois pour que s’installe un logiciel malveillant ». Les chambres d’hôtel sont des lieux particulièrement risqués car « les pirates ont aujourd’hui des méthodes très sophistiquées d’infection sur le réseau », prévient Marco Calamari qui rappelle que « la meilleure protection est d’être très méfiant, et notamment vis-à-vis des réseaux sociaux ».
Cette vigilance est également préconisée par Monica Gobbato, avocate italienne, spécialiste des questions de sécurité informatique. Mais selon elle, les journalistes « n’ont pas conscience des risques, ils ne se sentent pas assez concernés. Il est tout à fait possible de hacker des données avec une clé usb, ou de piéger les documents d’un mail. »
La création du « data officer » dans les rédactions
Pour pallier ce problème, certaines rédactions comme The New York Times ou le Financial Times, ont mis en place des « data protection officers » chargés d’informer et de sensibiliser les journalistes à ces risques, et de faire du profilage. En Italie par exemple, l’autorité garante de la protection des données personnelles devrait bientôt davantage axer ses efforts sur la data protection des journalistes. L’objectif est de développer la mise en place de ce type de postes dans les rédactions et de donner aux journalistes les clés des bons gestes à adopter.
Pour aller plus loin :
- Le kit de sécurité numérique de Reporters Sans Frontières;
- Outils proposés par la Fédération Européenne des Journalistes.