Mediapart: Boîte à outils pour apprenti Lanceur d'alerte- Whistleblower’s toolkit

A Jean, Olivier, James, Véronique, Laurent Cuenca, Jacques Lecoq, Archange David, Philippe et les autres...

1ère partie

Introduction

Comment préserver un minimum d'anonymat dans sa relation avec Mediapart (ou d'autres sites...). Ce billet n'est pas une incitation au whistleblowing c'est-à-dire au lancement d'alertes (i.e dénonciation de dysfonctionnements graves constatés par un ou plusieurs individus n'exerçant pas la fonction de journaliste...). Mais étant donné l'énormité des risques encourus par ces personnes, ce billet est une tentative forcément imparfaite mais qui pourrait permettre d’éviter de grosses bévues.

Lancer une alerte n’est pas un acte banal. Les personnes qui entreprennent de le faire devraient savoir qu’elles risquent gros. Elles risquent TOUT. Leurs proches aussi. La question est: le « jeu » vaut-il la chandelle ?

A titre personnel, je ne le ferai jamais. Je m’expliquerai une autre fois…Pour faire court, je dirai que  « Donner à boire un grand vin (la fuite d’information) à des buveurs de bière invétérés (l’opinion publique) » c’est un risque… on peut toujours le faire… il y en a qui le font : ils ont payé, payent…et en payeront le prix. 

Bradley Manning, Julian Assange, JamesInParis, Olivier Thérondel pour  ne citer que ceux-là…

Mais pour eux (elles) il est nécessaire qu’ils prennent des précautions draconiennes…

Wikileaks Vs Mediapart

Suite à l’affaire « La Fouine » rendue publique par le Canard Enchaîné, M.Edwy Plenel s’est fendu de la déclaration que vous trouverez plus bas.Ayant contribué à populariser les Lanceurs d’alerte en France allant jusqu’à créer un site Frenchleaks ayant pour ambition d’être le Wikileaks français….

Le fait de ne pas avoir tenté(?) de résister à la réquisition d'Olivier Thérondel (affaireTracfin) Mediapart a créé d’un coup chez nombre de ses abonnés et même au-delà un malaise.

Récemment une rencontre organisée par Mediapart sur La Liberté de la Presse à Paris avait comme invité Julian Assange himself  en vidéo-conférence. Pour ceux qui connaissent un peu l’histoire d’Assange et de Wikileaks le site qu’il a créé en dehors des accusations de narcissisme et autres traits psychologiques négatifs qu’on lui prête, il y a une chose qu’il a que nous ne trouverons pas sur Mediapart : l’idéalisme.

Cet idéalisme « juvénile » qui est une différence fondamentale : Mediapart est une entreprise lucrative, Wikileaks un projet idéaliste non lucratif…

Il n’est pas question de les opposer mais de bien comprendre la différence. Poster un leak sur Wikileaks vous garantit l’anonymat presqu’à 100%  car il a été conçu comme ça.

Mediapart quant à lui est développé avec une solution CMS appelée Drupal qui n’est pas sécurisée comme l’est Wikileaks…Ses failles sont réelles…même si elles sont corrigées au fil des découvertes… Mais là n’est pas mon propos.

Revenons à la déclaration de M.Edwy Plenel qui a inspiré ce billet :

« "Derrière le cas de “La Fouine”, explique Edwy Plenel, il y a une double question : celle du statut d’un blog participatif et celle du statut des lanceurs d’alerte.

  1. Un blogueur ne peut bénéficier du secret qui protège la source d’un journaliste. Tout simplement parce qu’il a choisi d’écrire lui-même et, à ce titre, est donc responsable de ce qu’il affirme dans l’espace public. Nous n’avions donc pas d’autre choix que de répondre à la réquisition judiciaire. En revanche, nous nous battons pour que les citoyens qui, sans passer par l’intermédiaire d’une rédaction, décident eux-mêmes de diffuser des informations d’intérêt public, bénéficient de protections judiciaires, inspirées de celles applicables aux journalistes : prouver la vérité des faits, démontrer leur bonne foi, exciper de la légitimité du but poursuivi, etc.
  2. Autrement dit, le citoyen lanceur d’alerte doit pouvoir assumer publiquement les actes qu’il revendique.
  3. Mais, dans tous les cas, il ne peut se cacher derrière l’anonymat qui est réservé aux sources protégées des journalistes, lesquels assument dès lors la responsabilité publique des informations qui leur ont été confiés.

«Bref, se battre pour l’extension du droit de savoir ne peut, en aucun cas, signifier l’instauration d’une société de dénonciations anonymes


Par cette déclaration M. Plenel semble réduire le Lanceur d’alerte qui désire garder son anonymat à un vulgaire dénonciateur anonyme : c’est le paradoxe médiapartien…

Comment, quand et où commence l’acte de lancement d’alerte ?

M.Plenel n’aurait jamais pu lancer Wikileaks : c’est clair. 

Les questions qui se posent qui espèrent une réponse de sa part sont:

  • Mediapart pourrait ’il défendre un Julian Assange Français ?
  • Mediapart pourrait ’il refuser de livrer les informations d’un abonné mediapartien qui aurait fait ce qu’a fait Bradley Manning ?
  • Mediapart pourrait’ il accorder une protection à un Snowden français ?

Les réponses pourraient être compliquées à justifier…

Le ton est donné : Mediapart n'est pas Wikileaks.

En cas de problème vos informations seront livrées.

Anonymisation

Il faut donc se poser la question de savoir quelles informations sait Mediapart (et d’autres sites) de vous. Qu’est ce qui est exploitable et comment réduire le risque de mettre en péril votre anonymat. 

Les plus importantes sont

  1. nom/prénom
  2. adresse postale
  3. adresse ip
  4. informations bancaires
  5. heures de connexion
  6. historique de navigation sur Mediapart ou ailleurs
  7. liste incomplète (tout rajout sera le bienvenu)

Réduire le risque pas l’annuler… (Car il peut exister d'autres moyens malgré la relative sécurité que les méthodes exposées  peuvent vous procurer, de remonter jusqu’à vous. Le risque zéro n’existe pas)

Si tout cela ne dissuade pas « l’apprenti » lanceur d’alerte, il y a 3 possibilités, aucune n'est garantie à 100%:

  • French leaks : sous-site de Mediapart dont les règles d'utilisation sont expliquées ici: http://frenchleaks.fr (Mediapart s’engage à garantir la non-divulgation de vos informations)
  • Prise de contact avec la Rédaction de Mediapart via Message Personnel : là vous êtes sous la protection des sources si votre leak est accepté.

Si ces deux solutions ne conviennent pas, alors voici une méthode qui pourrait vous éviter de mettre complètement en péril votre anonymat.

1ere Etape: Préparation technique

  1. Achetez en espèces :
    1. un téléphone anonymisé : C'est le point de départ.Cela permettra d'accéder un certain nombre de services détaillés plus bas.
    2. une carte bleue prépayée  + une recharge
    3. une carte de connexion à Internet prépayée
    4. un pc d'occasion dans une farfouille/brocante ou autre. Ce sera votre ordinateur d’anonymisation

Tout ça dans les tabacs ou autres… de préférence non-vidéosurveillés et pas tout au même endroitLes petites boutiques parisiennes de Barbès sont adaptées à cela...

  1. Formatez et réinstallez le système d'exploitation de ordinateur d’anonymisation: pour l'exemple on gardera Windows (mais si vous êtes un familier de Linux il y a des distributions très sécurisées: c'est préférable mais demande que vous connaissiez Linux)
  2. Téléchargez  sur votre PC/Mac actuel,
  • Technitium MAC Address Changer pour Windows 
  • Il faut penser l'exécuter chaque fois avant de vous connecter à l'Internet. un pare-feu en open-source comme SmoothWall Express
  • un anti-virus open source comme Clamwin.
  • Copiez tous ces programmes sur une clé usb
  1. Installez tous ces programmes sur l’ordinateur d’anonymisation
  2. Connectez votre ordinateur d’anonymisation à internet dans un endroit où le wifi est gratuit…(Fast food etc…) loin de chez vous…
  3. Activez via votre nouveau téléphone mobile (*), la carte bleue prépayée
  4. Chargez votre compte de carte virtuel avec la recharge

(*)téléphone mobile : que vous ne devez absolument pas utiliser pour appeler vos contacts :interdit !

2eme étape : Création de votre profil social virtuel

Avertissement interdisez-vous d’entrer en contact avec les gens que vous connaissez par le biais des comptes que vous allez maintenant créer…

Toujours sur un hotspot gratuit :

  1. Choisissez un fournisseur gratuit de mail type gmail, yahoo, hotmail etc…
  2. Créez un compte de messagerie : choisissez un nom très différent de ceux que vous utilisez habituellement. N’écrivez à aucun de vos contacts normaux !
  3. Créez un compte twitter, facebook etc… Evitez absolument d’entrer en contact avec vos contacts habituels sur ces réseaux. Même si cela vous fait vous sentir … seul(e) :o) Ils serviront pour relayer votre message..

3eme étape : Mediapart, Nouvel obs et les autres

  1. Connectez-vous sur Mediapart (pub, gratuite ;-) )
  2. Choisissez le paiement par carte en utilisant votre carte bleue prépayée
  3. Choisissez un pseudo différent de ceux que vous utilisez habituellement sur les forums (si vous les utilisez…)
  4. Créez votre blog

4eme étape : le quotidien

Utilisez ailleurs que chez vous la carte de connexion prépayée pour poster vos infos en prenant soin de passer par des serveurs proxies… de préférence chaînés.

 (à complèter/corriger)

Il y a forcément une faille dans le protocole que je décris… Alors si des amoureux de la déesse Liberté et de sa sœur la Justice veulent bien le perfectionner… :o)

Ceci encore une fois, n’est pas une incitation au lancement d’alerte, encore moins à la délation calomnieuse anonyme mais une modeste contribution pour tenter d’éviter le pire aux lanceurs d’alerte sincères.

Mais avant tout posez vous la question mille fois, autant de fois qu'il le faut : est ce que vous êtes prêt à TOUT subir, tout perdre, détruire votre vie actuelle si jamais vous êtes démasqué?

Posez vous la question, au moins une fois: franchement. :o)

 

Un Lanceur d'alerte... par Isis Sangaré

chevalier-dragon.jpg

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.