Se passer de l’informatique ?

Rappelons d’abord qu’aucun moyen de protection n’est complètement sûr : ce qu’on peut faire de mieux en informatique, c’est de rendre la lecture de données sensibles tellement difficile et coûteuse que les flics ou les juges ne les mettront pas en œuvre. Évidemment, plus le jeu en vaut la chandelle politiquement, plus les moyens pourront être importants.

Il découle de cela qu’il est possible de classer la production de documents militants en plusieurs catégories selon leur poids politique. Des moyens sommaires seront suffisants pour les documents peu sensibles alors que la grosse artillerie devra être employée dans certains cas moins nombreux.

L’évaluation de ce risque et la connaissance des moyens de protection associés est source d’inégalités : le piège est que les personnes les moins au courant soient les plus durement sanctionnées en cas de saisie de matériel et de garde à vue. Il est donc important d’être vigilant si des militants s’exposent trop par méconnaissance des moyens de protection et des lois.

Pour les activités les plus sensibles, la question de se passer de l’informatique peut se poser, comme le fait la brochure L’informatique, se défendre et attaquer publiée par infokiosques en 2015 dans sa conclusion (§16.3). La même année, Julian Assange, le fondateur de wikileaks, donnait aux lanceurs d’alertes le conseil suivant :

Ma recommandation, pour les gens qui n’ont pas dix années d’expérience en cryptographie, est qu’ils reviennent à des méthodes anciennes : par exemple, utiliser la poste traditionnelle.

Quand la technique progresse, la loi l’amoindrit

Dix années d’expériences en cryptographie ne sont peut-être plus nécessaires en 2019 pour se protéger grâce à la démocratisation de moyens de protection de très bon niveau. A l’inverse, la course à l’armement fait rage et rend certains moyens de protection moins efficaces : alors que le chiffrement d’un disque dur est très difficile à casser sans mettre d’énormes moyens en œuvre, son utilisation est amoindrie par des textes de lois. Un article de loi adopté après les attentats du 11 septembre 2001 punit une personne en garde à vue de 3 à 5 ans de prison et 270000 à 450000€ d’amende si elle refuse de délivrer le mot de passe de chiffrement d’un document ayant servi à commettre un crime ou un délit.

Le 30 mars 2018, le conseil constitutionnel a d’ailleurs été saisi d’une question prioritaire de contistutionnalité au motif que cette loi porterait atteinte au droit au silence et au droit de ne pas contribuer à sa propre incrimination, droits garantis par la constitution, ainsi qu’à d’autres droits. Ce même conseil constitutionnel n’a pas abrogé la loi, argumentant que la prévention des infractions et la recherche des auteurs d’infractions faisaient aussi partie des droits garantis par la constitution.

Comment minimiser les risques en 2019 ? Une réponse en trois étapes

1. Utiliser Tails et Tor
La première étape pour se protéger est d’utiliser Tails, un système d’exploitation amnésique, que vous pouvez démarrer, sur quasiment n’importe quel ordinateur, depuis une clé USB ou un DVD. Le seul pré-requis technique est de savoir démarrer l’ordinateur sur la clé USB ou le DVD, une fois que l’on s’est fait aider pour le faire, on se retrouve sur un système d’exploitation classique. Le guide d’autodéfense numérique fournit plus d’explications et un guide de démarrage rapide (30 min-1h) sur Tails

Pour résumer, Tails est un système amnésique (il ne garde pas de trace de ce qu’il fait) mais il dispose d’une partie persistance qui permet de retrouver ses données après le redémarrage. Cette persistance est à utiliser avec précaution car en cas de saisie, les données contenues par cette persistance pourront être retrouvées et même si elles sont chiffrées, elles seront exposées à loi évoquée plus haut et nous obligeant à donner les mots de passe de chiffrement. Tails a la particularité de se connecter au Web par Tor, qui permet une bonne anonymisation en passant par plusieurs nœuds n’ayant connaissance que de leur plus proche voisin. Une bonne solution de stockage des données est par conséquent de ne pas utiliser la persistance de Tails et de stocker les données des projets en cours en ligne, en passant par Tor.

2. Héberger en ligne les donnés liées aux projets en cours, chez un hébergeur de confiance
L’idée est de ne pas disposer physiquement des données sensibles à tout moment mais de les stocker en ligne. Avec l’utilisation de Tails et de Tor, l’association de ces données avec une personne physique est très complexe car il n’y a pas de trace évidente entre les deux. En cas de saisie du matériel, les données ne seront pas présentes et le fournisseur d’accès n’aura pas non plus de trace grâce à Tor.

La difficulté ici est de trouver un hébergeur regroupant idéalement les éléments suivants :

  • de confiance, partageant une partie des idéaux liés au projet ;
  • chiffrant les données ;
  • hébergeant les données dans un pays différent de celui où des poursuites sont susceptibles d’être engagées.

Plusieurs pistes existent pour trouver ces hébergeurs :

  • Des associations mettent en place des serveurs Nextcloud, parmi elles on peut citer disroot qui semble réunir tous les critères cités précédemment.
  • Une page web de riseup.net liste les « serveurs radicaux », donc certains propose du stockage de fichiers (file hosting en anglais). On retrouve d’ailleurs Disroot dans cette liste.
  • D’autre organismes utilisant le logiciel Nextcloud sont listés sur leur page web, en revanche on n’a pas de précision sur leur orientation politique.

3. Archivage
L’hébergement en ligne ne pourra pas concerner des volumes importants de données. Par exemple, pour le collectif Disroot cité précédemment, la limite est de 2Go, même si ponctuellement il est possible d’augmenter cette limite. Etant donné qu’on utilise les services de collectifs bénévoles qui se financent sur les dons d’une partie des utilisateurs, il est préférable de limiter le volume de données au strict minimum pour les projets en cours. Il est donc nécessaire de stocker les données concernant les projets terminés sur un ou plusieurs supports physiques qui sont entreposés chez une personne de confiance mais n’ayant aucun lien avec l’activité sensible, ou mieux aucune connaissance de cette activité. Sur ce sujet également, le Guide d’autodéfense numérique décrit l’archivage de la sécurité des données archivées.

En bref
Utiliser Tails, un hébergeur en ligne et un archivage distant permet de travailler sur des projets militants en minimisant fortement les risques liés à la saisie de matériel informatique et à la garde à vue qui peut suivre. L’investissement en temps est conséquent mais l’ergonomie de tous ces outils s’est considérablement améliorée ces dernières années, tout comme le niveau technique requis pour les utiliser. La maîtrise de ces outils est cependant source d’inégalités et par ailleurs éviter ces outils peut être le meilleur choix, en attendant de les maîtriser suffisamment.