SecureDrop : le système open source de contribution en ligne est devenu l'outil favori des lanceurs d'alerte
Pour communiquer avec les médias

Depuis le début des élections américaines l’année dernière, la demande pour SecureDrop a littéralement explosé. Il s’agit de l’une des plateformes majeures de chiffrement utilisées par les médias pour faciliter la communication avec les lanceurs d'alerte. Selon Trevor Timm, directeur de la Freedom of Press Foudation, l’organisation derrière l’outil, il est difficile d’imaginer une organisation médiatique qui ne s’est pas intéressée à l’outil durant les six derniers mois. La popularité grandissante de SecureDrop reflète une tendance et des changements profonds de la presse, avec les fuites et le journalisme d’enquête placés au premier plan.

C’est le regretté Aaron Swartz qui avait commencé ce projet dont le but avait été de faciliter la tâche aux lanceurs d’alertes tels que Snowden et leur permettre d’envoyer des données aux médias sans mettre en péril leur sécurité. Pour mener à bien sa mission, Aaron a collaboré avec un journaliste de Wired, mais après sa disparition, la FPF (Free Press Founadation) a pris le relais et a continué le développement du projet après l’avoir rebaptisé "SecureDrop".

Nom : capture.jpg
Affichages : 2848
Taille : 56,2 Ko

SecureDrop exploite l’anonymat du réseau Tor pour faciliter la communication entre les lanceurs d’alerte, les journalistes et les organisations médiatiques. De ce fait, les sites SecureDrop sont seulement accessibles en tant que services cachés du réseau Tor.

Dès qu’un lanceur d’alerte visite un site de SecureDrop, il reçoit une clé unique qu’il devra mémoriser. Cette clé est utilisée pour envoyer des informations à un certain auteur ou éditeur en uploadant les fichiers. Les journalistes sont en mesure de contacter les lanceurs d’alerte via un service de messagerie de SecureDrop.

Le système s’appuie sur des serveurs privés et isolés possédés par les organisations médiatiques. Les journalistes doivent utiliser deux clés USB et deux ordinateurs pour accéder aux données de SecureData. Sur le premier ordinateur, le journaliste se connecte sur son compte SecureDrop (aussi via Tor) et peut alors voir les messages et les fichiers reçus. Il peut communiquer et répondre aux messages sans connaitre l’identité de l’expéditeur. Il peut surtout télécharger les fichiers reçus et les copier sur une clé USB puis booter le second ordinateur pour déchiffrer les documents avec la seconde clé USB. Il faut savoir que cet ordinateur est généralement non connecté à internet et subit un effacement de la mémoire après chaque redémarrage.

Une fois les fichiers reçus, il faudra encore anonymiser le lot avec des outils comme MAT (Metadata Anonymization Toolkit). Le journaliste devra également analyser les informations pour s’assurer qu’aucune information permettant d’identifier le lanceur d’alerte ne sorte de l’ordinateur. Ensuite, une fois le tout scanné, le journaliste peut copier les fichiers à nouveau sur une clé avec un chiffrement.

Les organisations médiatiques doivent s’engager à ne pas enregistrer des informations du lanceur d’alerte comme l’adresse IP, son navigateur ou encore la marque de l’ordinateur utilisé. L’anonymat n’est pas garanti, mais les créateurs de la plateforme pensent qu’en segmentant les étapes de cette façon, la solution présente l’avantage d’être mieux sécurisée que le courrier électronique traditionnel.

Tout comme SecureDrop, d’autres plateformes ont vu leur nombre d’utilisateurs exploser après les révélations de Snowden et surtout après les élections présidentielles aux États-Unis. L’application de messagerie Signal qui s’appuie sur le chiffrement du bout en bout a vu sa base d’utilisateurs augmenter de 400 % depuis l’annonce de l’élection du président Trump. Un autre service d’email cette fois a connu aussi le même effet, ProtonMail a vu le nombre d’inscriptions exploser après l’annonce du piratage de Yahoo. Désormais, la plateforme a commencé à déployer à son tour ses services sur Tor pour anticiper d'éventuelles censures d'État.

Source : SecureDrop - CNBC

Et vous ?

Pensez-vous que la plateforme SecureDrop est parfaitement sécurisée ?