Strongbox
Strongbox © Radio France

Mai 2013 : le magazine The New-Yorker lance Strongbox, traduction : “boîte forte”. L’idée consiste à proposer aux journalistes et à toutes personnes désirant communiquer des documents “sensibles”, un service en ligne sécurisé permettant de respecter l’anonymat des sources.

Mai 2013 : le magazine The New-Yorker lance Strongbox, traduction : “boîte forte”. L’idée consiste à proposer aux journalistes et à toutes personnes désirant communiquer des documents “sensibles”, un service en ligne sécurisé permettant de respecter l’anonymat des sources.

Strongbox, c’est le résultat du dernier combat pour la libre circulation des données de l’activiste et programmeur informatique américain Aaron Swartz. Aaron Swartz s’est suicidé en janvier 2013, trois mois avant son procès. Le procureur du Massachusetts avait retenu contre lui treize chefs d’accusation dont le vol, la fraude informatique et l’accès illégal à des informations protégées. Il risquait 35 ans de prison et un million de dollars d’amende pour avoir téléchargé et diffusé gratuitement des documents payants et protégés du MIT.

Libérer les données publiques, partager gratuitement le savoir, empêcher les obstacles à la propagation des données , c’est dans cette philosophie, le “Datalove” qu’est né Strongbox.

Les clefs du coffre-fort

Il y a deux ans, Kevin Poulsen, un journaliste du magazine américain Wired, demande à Aaron Swartz de créer un coffre-fort anonyme et open-source autrement dit un système d’envoi et de stockage de documents protégés dont les mécanismes peuvent être vus et utilisés par tous. Aaron Swartz code alors Deaddrop , une boîte de réception de documents en ligne.

Dès le deuxième paragraphe de la note d’intention du projet, les créateurs de Deaddrop affirment une évidence : l’outil est à la disposition de tous mais aucun coffre-fort numérique n’est inviolable.

Deaddrop1
Deaddrop1 © Radio France

Un peu plus loin, ils donnent les clefs du système : “Deaddrop est un logiciel libre régi par les règle de la licences GNU”, voilà comment ça marche :

Deaddrop2
Deaddrop2 © Radio France

Comme tous les coffre-forts numériques, DeadDrop utilise au moins deux espaces de stockage : un serveur public qui permet de stocker les fichiers disponibles à partir de l’interface en ligne et un second serveur sur lequel les documents sensibles sont temporairement conservés. Les échanges sont chiffrés avec des clefs PGP . L’’accès au serveur de contribution n’est possible que sur un ordinateur unique lancé à partir d’un support externe lui aussi unique (CD ou clef USB).

Reporters Sans Frontières travaille depuis deux ans sur WeFightCensorship, un “coffre-fort numérique sécurisé” conçu avec Lin Agora , un éditeur de logiciels open-source. Le DeadDrop du Newyorker, c’est le “Linshare” de RSF. Là aussi, toute la technologie est open source et le fonctionnement est complètement transparent.

> Télécharger le schéma du fonctionnement de WeFC

Pour comprendre comment ça marche, les explications de Grégoire Pouget, informaticien au pôle nouveau média de RSF :

Dans cette explication, Grégoire soulève deux problèmes liés à l’environnement du contributeur :

Pour des raisons juridiques, on a dû héberger notre serveur en Islande parce que là-bas, on ne conserve pas de traces, pas de logs, pas d’adresses IP, pas de systèmes d’exploitation. On a aucune information sur la personne qui nous envoie.

Un peu plus loin :

Pour des problèmes juridiques, il fallait que nous seuls ayons la clef pour déchiffrer ce fichier (supposé sensible)

Pourquoi l’Islande, quels sont ces problèmes légaux et juridiques ? Réponse :

Les failles du coffre-fort

Pour la protection des données, les systèmes de RSF et du Newyorker sont efficaces : chiffrement, cryptage, multiplication des serveurs. La protection est suffisamment dissuasive pour éviter une grande majorité d’attaques. Le coffre-fort est hermétique.

Début 2011, le site d’information en ligne Mediapart installe son coffre-fort numérique, Frenchleaks. Nicolas Silberman a dirigé la mise en place technique de Frenchleaks.

Le mot est lâché : “Prism et toutes les écoutes qu’il peut y avoir en France.” Depuis les révélations d’Edward Snowden, jamais la protection des données n’a eu autant d’écho dans le débat public. Faut-il désormais protéger toutes ses données ? Les services secrets américains ou français ont-ils la capacité d’ouvrir les coffre-forts ? La réponse de Jean-Marc Bourguignon, alias . Il travaille au sein du groupe d’activistes Telecomix. Il a notamment contribué à la mise en place de WeFightCensorship :

Les coffres-forts numériques sont faillibles à condition d’y mettre d’importants moyens et de bien cibler. En revanche, des logiciels malveillants peuvent être installés à votre insu sur votre ordinateur, vous pouvez être trompé sur l’authenticité du site sur lequel vous naviguez … et vous laissez des traces.

WeFightCensorship propose des recommandations pour limiter ces traces dont l’utilisation du logiciel Tor. Tor c’est une des portes du “Deep web”. Un réseau maillé qui propose plusieurs couches de cryptage pour garantir l’anonymat des connexions. Derrière les .onion, le cousin caché des .com .fr .de .etc … naviguent des pervers et des vendeurs d’armes, ils croisent des activistes, des journalistes et des policiers. Strongbox vous emmène dans l’Internet qu’on ne voit pas sur les moteurs de recherche, le chemin nécessaire selon les journalistes et les hackers du Newyorker pour naviguer dans l’environnement le plus sûr.

Strongbox /
Strongbox / © Radio France

Imposer Tor ou le proposer ? Prendre en considération l’environnement de l’utilisateur ou se concentrer sur les cadenas du coffre-fort. Mediapart ne peut pas faire « grand chose » , RSF propose des recommandations et Strongbox impose l’utilsation de Tor. Trois visions de la responsabilité de la sécurité des contributeurs qui se concentrent sur les principales failles de ce type de système : l’utilisateur, son environnement, et le manque d’éducation à la science informatique.

Pour mettre en place un environnement informatique sain, ça commence par là :

> Vérifier la sécurité de votre connexion

> Kit de survie numérique de RSF

lien image Antibuzz
lien image Antibuzz © Radio France
Mots-clés :
Ce contenu n'est pas ouvert aux commentaires.