Sécurité : pourquoi ça ne marche pas

Oksana, Erol et Yeshe sont tous trois journalistes, respectivement en Ukraine, en Turquie et au Tibet. Jeudi 26 juin,  ils étaient à Paris pour raconter à un public de hackers et bidouilleurs leur travail quotidien face aux menaces, à la censure et à la surveillance en ligne.

Fin 2013 Oksana a été victime d’un piratage de son ordinateur. Le marché était simple, si elle continuait son travail tous ses mails et toute sa vie privée seraient publiés en ligne. Et ils l’ont été. Au Tibet, le simple fait d’envoyer un email contenant des informations à Yeshe et au Tibet Post International peut coûter un aller simple pour la prison. Quant  à la Turquie,  elle a voté début 2014  une loi autorisant le blocage administratif de sites pour des raisons aussi vagues que la publication de contenus « discriminatoires ou insultants à l’égard de certains membres de la société ».  C’est aussi l’un des rares pays à avoir bloqué Twitter, Facebook et Youtube. En Turquie, en Ukraine, au Tibet et ailleurs, les journalistes ont besoin d’outils pour protéger leurs communications, leurs informations, leurs sources. Yeshe Oksana et Erol ont rappelé avec des exemples très concrets que ce besoin n’était pas superflu.

La conférence se déroulant  pendant Pas sage en Seine, Amaelle, qui animait la table ronde, a profité de l’occasion de voir réunis dans une même salle des journalistes pour qui le clic droit constitue une véritable acrobatie technologique et des geeks ultra compétents qui montent trois tunnels ssh avant de récupérer leurs emails auto-hébergés pour poser une question simple :

Il y a de nombreuses solutions techniques [permettant de contourner la censure ou de se protéger la surveillance]. Existe t-il des obstacles spécifiques qui empêchent les journalistes de s’en emparer ?

Dans le cadre de mon activité chez Reporters sans frontières, je forme des journalistes, en France et ailleurs, à l’utilisation de ces outils justement. C’est à ce titre que je participai à cette table ronde et c’est à ce titre que je répondais :

Le principal obstacle – je suis désolé d’avoir à le dire ici – c’est la communauté des développeurs et des experts en sécurité. Cette communauté doit comprendre que les journalistes ne sont pas des administrateurs systèmes et ne le deviendront jamais, même s’ils en ont besoin. Ca n’arrivera pas, ça n’arrivera jamais.

Journaliste c’est un métier, administrateur système, un autre. Le métier d’un journaliste est de récupérer des informations, de les vérifier et de les rendre intelligibles. Ce n’est pas de savoir comment fonctionne un ordinateur, un serveur ou même Internet. La communauté des geeks et hackers doit comprendre ça. Jamais un journaliste, à part quelques exceptions – il en faut toujours pour confirmer la règle – ne lira une RFC ou n’essaiera de comprendre les avantages comparés de la cryptographie asymétrique et de la cryptographie elliptique. Ils veulent – et ont besoin – d’outils qui protègent leurs données et leurs communications qui juste marchent. Tu cliques, ça marche. Comme chez Apple. Sauf que Apple, on les aime pas trop.

Il y a un chantier énorme pour la communauté des développeurs et des experts en sécurité : l’interface utilisateur. C’est ce qu’a déjà  compris l’équipe de cryptocat, ce sur quoi travaille activement l’équipe de Tails, et ce sur quoi devraient travailler tous les développeurs qui créent des outils pour les journalistes ou les défenseurs des droits de l’homme.

Hacktivistes, développeurs et libristes, si vous voulez être utiles, vraiment utiles, pensez aux utilisateurs.

Réagissez

Si ce billet vous a plu ou si vous voulez apporter des précisions, ou si vous n’êtes pas d’accord avec ce que je raconte, c’est ici qu’il faut vous manifester. Je me réserve toutefois le droit de supprimer toute contribution insultante ou qui n’aurait rien à voir avec la choucroute.

  1. « comprendre les avantages comparés de la cryptographie asymétrique et de la cryptographie elliptique ». La cryptographie utilisant des courbes elliptiques est une forme de cryptographie asymétrique. Il faudrait plutôt comparer RSA à l’ECC

  2. > Hacktivistes, développeurs et libristes, si vous voulez être utiles, vraiment utiles, pensez aux utilisateurs.

    Les « Hacktivistes, développeurs et libristes » sont traités comme des extrémistes paranoïaques en marge de la société depuis les années 80, époque où ils ont commencé à critiquer les dérives du système et proposer des alternatives.

    Que faisiez vous à cette époque ?

    Les journalistes récoltent ce qu’ils ont semé. Si au lieu de broder autour de dépêches AFP vous faisiez votre travail le monde n’en serait peut être pas là.

    Journalistes, reporters et sociologues, si vous voulez être utiles, vraiment utiles, attaquez vous à vos bourreaux pas à ceux qui sont des victimes depuis 30ans.

  3. Sécuriser son travail/ses sources/sa vie fait partie du métier de journaliste. Oui c’est pas facile, mais c’est indispensable.

    C’est comme un artisan dans un domaine quelconque qui doit faire sa comptabilité ou un développeur qui doit comprendre le métier de son client. C’est peut-être chiant, mais faut s’y coller.

  4. « un journaliste est de récupérer des informations, de les vérifier et de les rendre intelligibles … »

    Et ne sais par lire une RFC ?

    le journaliste qui prétends rendre intelligibles des informations ne fait que se la péter !
    Il vulgarise , tout au plus …

    Pour conduire une voiture , il faut apprendre et avoir un permis …
    Pour utiliser le chiffrement, apprendre suffit.

    C’est presque normal que les journaleux les plus cons soient ceux qui se retrouvent en galère ( ou en prison).

    L’argument du faire simple est du même ordre que celui du « je n’ai rien à cacher » , on rejette toujours le problème sur les autres …

  5. @Bertrand >> dans les années 80, je préférais de loin jouer aux billes ou lire Tistou les pouces verts que de dénoncer les dérives de la société et de proposer des alternatives. J’avais une petite dizaine d’années à la fin des années 80, tu me pardonneras mes erreurs de jeunesse.
    Ensuite, je ne suis pas vraiment journaliste, mais plutôt geek et libriste. Quand j’écris Hacktivistes, développeurs et libristes, si vous voulez être utiles, vraiment utiles, pensez aux utilisateurs, je m’inclus dans le lot. J’essaye à mon niveau de justement changer cet état de fait tous les jours que dieu – s’il existe – fait.

    @alex >> le coup du permis on me l’a sorti sur Twitter. Or, jusqu’à preuve du contraire, on a pas besoin d’un permis pour utiliser un ordinateur, dieu – s’il existe – merci. Le problème ce n’est pas que les journalistes soient idiots, c’est que dans les formations journalistiques il n’y a pas ou peu de cours sur la sécurité numérique. C’est dommage voire dommageable à l’heure où quasiment tous les journalistes utilisent un ordinateur pour faire leur travail.
    Quant à ta dernière réflexion sur « C’est presque normal que les journaleux les plus cons soient ceux qui se retrouvent en galère ( ou en prison) », je tiens à te préciser que lorsqu’un journaliste se retrouve en prison, c’est très rarement parce que ses communications ont été interceptées. Beaucoup de pays n’ont pas besoin de ça pour enfermer leurs journalistes. Quant à trouver normal qu’un type se retrouve en prison parce qu’il fait son métier, qu’il soit idiot ou pas, je ne pense pas moi que ce soit vraiment normal. Si on enfermait les cons, les rues seraient probablement désertes.

  6. « des raisons aussi vagues que la publication de contenus « discriminatoires ou insultants à l’égard de certains membres de la société ». »

    C’est pas en fRance qu’on aurait des lois aussi vagues…

  7. @barry
    j’ai fais de la provoc … pas exprimé ma pensée .
    Il y a beaucoup de gens , dont des journalistes, qui se plaignent sans réaliser que c’est eux qui ont la solution …
    Votre remarque sur les cours de sécurité est bonne , mais avez vous fait le tour des écoles de journalisme pour proposer un module « sécurité » ?

    Il y a pas mal de gens qui sont près à faire ces cours , demandez à JM Manach , il vous en trouvera.

    et si tous les les cons étaient enfermées, qui les garderai ?

  8. « Les journalistes récoltent ce qu’ils ont semé. Si au lieu de broder autour de dépêches AFP vous faisiez votre travail le monde n’en serait peut être pas là. »

    Il y a beaucoup de vrai dans cette colère de Bertrand. Son constat est assez clair : les journalistes ne sont pas – en France – un composant du système démocratique mais un simple rouage du pouvoir.

    Les sauver ? Pour quoi faire ? Ne devrait-on pas donner priorité aux petits chats ou aux abeilles, qui eux, servent à quelque chose ? (je force le trait, mais je pense être assez clair sur le fond)

  9. le mec y dit : « les journalistes sont trop cons pour comprendre les problèmes de sécurité » ..

    D’accord pour les journalistes sportifs , ils arrivent à dire plus de conneries que de mots qu’ils prononcent … Mais les autres ?

    Faut pas généraliser comme ça !

    quand à cet article qui renvoie les arguments dos-à-dos : http://www.hackersrepublic.org/culture-du-hacking/une-histoire-de-privileges
    Celui qui dit « nous les privilégiés » me fait penser à la grenouille de la fable ….

  10. Même si je pense qu’améliorer les interfaces utilisateurs est nécessaire, il ne faut pas se leurrer non plus, aucun outil de sécurité ne marchera jamais en 1 clic.
    La sécurité informatique passe aussi par un ensemble de connaissances et de bonnes pratiques, un ordinateur est un outil complexe, et on ne pourra jamais assurer une bonne confidentialité sans connaitre un minimum le fonctionnement des outils qu’on utilise.

    « Le problème ce n’est pas que les journalistes soient idiots, c’est que dans les formations journalistiques il n’y a pas ou peu de cours sur la sécurité numérique.  »
    Le problème c’est qu’ils ne semblent pas vouloir apprendre non plus. Et si, cela fait parti de leur métier de savoir utiliser ces outils. Il me parrait normal de devoir apprendre le fonctionnement des outils qu’on utilise, même si ca ne fait pas partie des besoins de bases.

  11. Je suis assez d’accord avec Xerd mais, comme j’étais à l’étroit dans le formulaire des commentaires du blog, je me suis permis de répondre à cet article un peu plus longuement chez moi : http://www.bortzmeyer.org/securite-facilite.html

  12. @fabrice >> tous les journalistes ne sont pas proches du pouvoir ou partie intégrante du pouvoir. Entre un Michel Apathie et un Mediapart ou arrêt sur image, le spectre est assez large il me semble. De plus, il n’y a pas que les journalistes professionnels qui font de l’information. P.S. tu n’as pas été toi même journaliste dans une vie antérieure ?

    @alex_uper >> excellente question. RSF a proposé des formations à la sécurité numérique dans quelques écoles de journalisme. Les écoles sollicitées ont accepté. Comme je le disais plus haut, c’est en train de changer. On a sollicité Jean Marc Manach, qui nous a donné quelques coups de main également.

    @Stéphane Bortzmeyer >> (réponse ici car pas d’espace de commentaire sur ton blog) Qu’un journaliste – ou n’importe quel utilisateur d’Internet d’ailleurs – aie quelques notions de ce qu’est Internet et comment ça fonctionne, c’est important. En ceci, je suis d’accord avec ton billet. L’éducation est primordial. Cependant, tous les journalistes (et je ne parle pas que de la situation dans l’hexagone) n’ont pas le temps, les moyens ou les ressources pour accéder à cette éducation. Dans ces cas là, des outils bien fichus peuvent palier une partie du problème. Et là, je cite à nouveau l’exemple de cryptocat, un outil pensé pour des non informaticiens, fiable et qui juste marche.
    Pour répondre à ton analogie, dire qu’il n’est pas nécessaire d’apprendre l’Internet en 2014, c’est comme dire en 1450 qu’il n’est pas nécessaire d’apprendre à lire si on n’est pas un professionnel de l’édition, je rappelle simplement qu’en 1450 on ne se procurait pas aussi facilement une imprimerie qu’aujourd’hui un ordinateur.

  13. […] to a political and social problem.” This is a theme taken up by Barbayellow in “Sécurité: pourquois ça ne marche pas”ix and by Numendil in “Chers nous…”x and also by Tris Acatrinei in “Une […]

  14. […] Barbayellow sortait un (bon) billet de blog qui a démarré un bon « débat » dans la « twittosphère » : pourquoi, la sécurité, […]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *