Au fil de ce texte, nous allons discuter des pratiques et des outils pour pouvoir publier des textes de manière sécurisée sur Vallées en Lutte. Comme en manif, il n’existe pas sur internet de sécurité garantie à 100%, mais des niveaux de protection différents. Par conséquent, avant de mettre en place une politique de sécurité ultra-lourde à tout instant, ou au contraire de baisser les bras, la première chose à faire est d’évaluer son niveau de risque. Pour ce faire, vous pouvez consulter le chapitre Choisir des réponses adaptées du Guide d’autodéfense numérique.
Sommaire
- Ce que fait VeL pour la sécurité des personnes qui consultent le site ou proposent des articles
- Un mot sur l’ajout de photos et les métadonnées
- Ce que vous devez faire pour votre sécurité lorsque vous écrivez sur VeL
- Ce que vous pouvez faire pour augmenter votre sécurité lorsque vous écrivez sur VeL
La sécurité informatique est toujours une affaire de « compromis convenable entre la facilité d’utilisation et le niveau de protection souhaité . » [1] La publication d’articles sur Vallées en Lutte ne fait pas exception. Le site offre un compromis de sécurité par défaut, qui peut se révéler suffisant ou non en fonction du type de contenu que vous souhaitez publier et du niveau d’anonymat que vous souhaitez maintenir.
Ce que fait VeL pour la sécurité des personnes qui consultent le site ou proposent des articles
Un site et un serveur sécurisé :
- Dès le passage dans l’interface de publication, toute connexion est automatiquement chiffrée (le s de https) : si quelqu’un·e écoute votre ligne ou demande vos logs, on saura que vous vous êtes allé·e sur Vallées en Lutte, pas ce que vous avez lu ou écrit. Le https est également disponible sur l’interface publique (le site lui-même).
- le site est mis à jour dans les plus brefs délais (quelques heures au maximum) dès qu’une faille de sécurité est annoncée sur Spip, le logiciel qui le fait tourner, idem pour le serveur ;
- le site est hébergé aux Etats-Unis, où il n’y a pas d’obligation de conservation des logs (les informations de connexion des utilisateurs·trices au site) ;
- un soin particulier est apporté à la sécurité du serveur, dont on maîtrise la configuration, pour prévenir tout piratage ;
- le serveur est chiffré ;
- il est hébergé dans un data-center avec d’autres serveurs militants.
Un logiciel de publication opacifié :
Nous avons apporté quelques modifications à Spip afin de limiter les renseignements disponibles qui permettraient d’obtenir des informations sur un pseudo :
- un plugin maison efface automatiquement les métadonnées des photos ajoutées aux articles (voir plus bas) ;
- la liste des auteur·es n’est pas accessible aux rédacteurs et rédactrices.
- les rédacteurs et rédactrices ne peuvent pas facilement voir les informations associées à un·e auteur·e, c’est-à-dire ni le nombre et le titre des articles qu’ille a publié, ni le mail associé à son compte ;
- enfin, comme sur tous les sites Spip, les mots de passe de connexion au site sont automatiquement chiffrés. C’est-à-dire qu’ils sont illisibles pour un·e humain·e, y compris les admins.
Un mot sur l’ajout de photos et les métadonnées
Le fait d’avoir de belles images enrichie énormément un article, mais les photos peuvent aussi être de gros mouchards, sur la personne qui les prend, celle qui les diffuse, et bien sur les personnes qui sont sur la photo ! C’est pourquoi :
- nous avons un plugin qui efface les métadonnées des photos que vous téléversez sur le site ;
- nous vous demandons de réfléchir à la pertinence de publier telle ou telle image avant de le faire, et de flouter les visages des personnes, même si elles ne sont pas en train de commettre une action illégale ou "répréhensible" (à moins que cette photo ait déjà été publiée ailleurs ou que vous ayiez le consentement de la ou les personnes).
Les métadonnés
En plus des informations contenues dans un fichier, il existe des informations accompagnant celui-ci, qui ne sont pas forcément visibles de prime abord : date de création, nom du logiciel, de l’ordinateur, etc. Ces « données sur les données » s’appellent communément des « méta-données ». [4]
Dans le cas de photos, ces métadonnées contenue dans le fichier peuvent contenir : le modèle de l’appareil, l’heure et la localisation de la prise de la photo, et même une miniature de l’image originale (rendant l’éventuel floutage ultérieur inutile) ! Tout un tas d’informations dont il est bon de se débarrasser. MIA le fait automatiquement, mais si vous avez une image particulièrement sensible il peut être de bon de le faire soi-même auparavant (voir ci-dessous).
Ce que vous devez faire pour votre sécurité lorsque vous écrivez sur VeL
Lorsqu’on crée un compte sur Vallées en Lutte pour pouvoir proposer des articles à la publication, il nous est demandé un pseudo et une adresse email. Ceci répond à deux besoins. Sur VeL les publications passent en modération partagée dans l’espace collaboratif du site avant d’être visibles sur le site public. C’est pour permettre cette modération et des discussions sur le texte proposé (demande de précisions, d’ajout, etc.) que les auteur·es sont invité·es à laisser un email de contact. L’usage régulier d’un même pseudo permet aussi au collectif de savoir que les infos viennent d’une personne ou d’un collectif de confiance.
Par conséquent, nous vous conseillons de :
- Utiliser un pseudo qui ne permette pas de vous identifier facilement.
- Utiliser une adresse email sécurisée (Riseup, Autistici, Protonmail...), et qui soit différente de votre adresse mail que vous utilisez de manière "officielle". Il peut être préférable de créer une adresse email spécialement dédiée à votre compte sur VeL.
- Faire attention à ce que vous écrivez dans les forums sous les articles (ne laissez pas votre numéro de téléphone, évitez de faire des confidences).
Pour qu’un pseudo protège efficacement votre identité, il est important de maintenir différentes identités contextuelles. Par exemple l’usage d’un même pseudo pour relayer les activités de trois collectifs différents laisse à penser que la personne derrière ce pseudo est impliquée dans ces trois collectifs... ce qui n’est sûrement pas le cas de plus d’une poignée de personnes ! Pour plus d’infos sur les identités contextuelles, consultez le guide d’autodéfense numérique.
Ce que vous pouvez faire pour augmenter votre sécurité lorsque vous écrivez sur VeL
Le site propose un ensemble d’outils pour sécuriser les rédacteurs et rédactrices. Néanmoins, si l’information que vous souhaitez partager peut vous mettre en danger, il peut être souhaitable de les doubler de différentes pratiques.
Sur le site
Utilisez un mail à usage unique pour créer un compte. De préférence soit une adresse classique créée pour l’occasion, ou un alias de votre boîte mail Riseup [6]. Vous pouvez aussi utiliser des services email antispam jetables, tel que Yopmail ou Guerrilla Mail, mais ce n’est pas idéal. [7] Dans tous les cas utilisez une connexion ne permettant pas de vous identifier (via Tor, un VPN ou un point d’accès public, voir ci-dessous).
Par contre, supprimer son pseudo après proposition à la publication est une fausse sécurité : le pseudo de l’auteur·e d’un article, même après suppression de son association à un article, est accessible aux admins (ou à une intrusion malveillante qui réussirait à obtenir un mot de passe admin ou à récupérer la base de données). Dans le cas où l’auteur·e supprime son pseudo avant même de proposer son article, il ne peut plus ensuite ni le proposer à la publication, ni le modifier.
Votre connexion internet
Masquez votre adresse IP ! De cette manière il sera plus difficile de relier votre identité et votre navigation internet.
- Depuis chez vous, utilisez Tor Browser, ou un VPN, tel que le VPN de Riseup. Attention, l’utilisation de Tor ou d’un VPN n’est pas une solution magique ! Prenez le temps de vous renseigner sur la protection que ces services offrent et n’offrent pas. [8]
- Depuis un cybercafé ou un autre lieu où vous pouvez avoir accès à un ordinateur de manière anonyme. Cette méthode est susceptible d’être interceptée et peut laisser des traces physiques (caméras de vidéosurveillance, etc.). De plus, cela implique de ne pas faire un usage autre d’internet sur le même ordinateur qui pourrait vous identifier (se connecter à son compte Facebook par exemple).
Accédez au site via notre adresse en .onion : ADRESSE EN ONION. Il suffit d’installer Tor Browser pour y accéder. Cela permet de publier et d’échanger de la manière la plus sécurisée possible sur le site. Cela rend impossible techniquement de savoir que vous vous rendez sur Marseille Infos Autonomes si on écoute votre connexion (avec tout de même les même réserves évoquée ci-dessus dans le "pas de solution magique"). A noter que l’accès au site en .onion est obligatoirement chiffré, à la différence d’une simple connexion avec Tor sans https.
Votre ordinateur
On a beau vouloir anonymiser sa navigation en ligne, la plus grosse faille de sécurité reste souvent son propre ordinateur. Pour plus d’information à ce sujet vous pouvez consulter le Guide d’autoféfense numérique. Une première chose à faire peut être de chiffrer son disque dur, afin que tout ce vous avez fait sur votre ordinateur ne soit pas facilement accessible à la première perquisition. [9]
Utilisez Tails. Tails est un système d’exploitation live [10] amnésique que l’on peut facilement installer sur une clé usb. Lorsque vous utilisez Tails, vous ne laissez pas de trace sur l’ordinateur que vous utilisez, et une fois la clé usb retirée elle "oublie" tout ce que vous avez fait. De plus, un ensemble de logiciels permettant de naviguer internet de manière anonyme, de chiffrer ses emails etc. sont déjà installés. Voici un tutoriel sur l’utilisation de Tails.
Les fichiers que vous téléversez
Bien que Vallées en Lutte soit doté d’un plugin effaçant les métadonnées, il est facile de le faire soi-même. Vous pouvez utiliser les logiciels Exiftools sur Windows et Mac, et MAT sur Linux. MAT est déjà installé dans Tails.
En attendant de vous lire sur Vallées en Lutte !