Sécurité informatique : les bonnes pratiques valent mieux que les outils

Vous souhaitez rentrer dans une maison. Elle est dotée d’une porte blindée mais la fenêtre à côté est ouverte. Que faites-vous ? Vous allez probablement passer par la fenêtre et non vous acharner sur la porte. Vous entrerez alors chez la personne aussi facilement que si elle n’avait dépensé aucune énergie à s’équiper d’une technologie sécurisée.

On a installé une porte blindée, mais toutes les fenêtres sont-elles bien fermées ?

 

Toute organisation traitant avec des sources ou lanceurs d’alertes doit, pour les protéger, se soucier de la sécurité de son système d’information (c’est à dire l’ensemble des ressources informatiques qui contiennent les informations lui permettant de travailler).

La mésaventure de Terry Alburry témoigne des risques encourus. En 2017, cet ancien agent du FBI communique à un journal des documents confidentiels prouvant des pratiques illégales du FBI. Pour trouver la source de la fuite, plutôt que s’attaquer au système de communication très sophistiqué du journal, les enquêteurs se contentent de perquisitionner son domicile et y trouvent une clé USB contenant des documents sensibles dans une enveloppe portant le numéro de téléphone d’un journaliste.

Il est tentant de surestimer sa protection (et celle de ses sources) en se reposant sur des outils sophistiqués mais sans prendre en compte les faiblesses des pratiques qui les entourent soit au contraire de baisser les bras et de se sentir impuissant face aux efforts que cela demande. Heureusement, il y a une voie simple entre les deux.

Attention au maillon le plus vulnérable de la chaîne

La stratégie d’un adversaire (État, entreprise,…) est toujours de s’attaquer au maillon le plus faible de la chaîne de communication. Autrement dit avoir les outils les plus sécurisés au monde pour échanger avec des sources importe peu si, en parallèle, d’autres formes de communications internes (avec des collègues, partenaires, administrateurs, bénévoles…) ne sont pas elles aussi sécurisées.

Imaginons : John Doe envoie des documents à un média par courriel non chiffré. Le journaliste qui les reçoit en informe son rédacteur en chef par téléphone ou whatsapp en mentionnant le nom de John Doe et lui partage les documents par GoogleDrive. Il les télécharge sur son ordinateur personnel, pour pouvoir les analyser tranquillement chez lui, puis part en pause déjeuner sans fermer la porte de son bureau ni verrouiller sa session. Au déjeuner, il en parle avec un de ses collègues, chacun d’eux ayant son téléphone portable en poche.

Un scenario assez courant qui va à l’encontre des pratiques nécessaires à la confidentialité des sources ou documents :

      • Verrouiller sa porte ou sa session dès qu’on sort du bureau
      • Ne communiquer aucune information par téléphone ou Whatsapp,
      • Ne pas discuter à proximité d’un téléphone portable
      • Utiliser le courriel chiffré pour tout échange
      • Ne pas télécharger de document sur son ordinateur personnel (et non chiffré)

Imaginons maintenant que John Doe envoie ces mêmes documents à la même personne via SecureDrop. On peut penser que le niveau de sécurité est meilleur mais c’est trompeur. Pour intercepter les documents ou connaître l’identité de la source, l’adversaire va avoir le choix entre tous les autres points vulnérables avant d’envisager s’attaquer à SecureDrop : le téléphone, le bureau, le courriel, le GoogleDrive…

Se contenter d’installer un outil sans assurer un environnement où chaque maillon de la chaîne de transmission des informations n’est pas sécurisé est inefficace. Au contraire, cela peut donner une fausse impression de sécurité. L’anonymat peut être préservé au moment où un document est reçu mais compromis l’instant d’après.

La sécurité est un sport d’endurance

Pour améliorer la situation on peut commencer par faire l’inventaire des outils en place et documenter la façon dont ils sont utilisés dans le traitement de l’information. Par exemple on identifie que le courriel non chiffré est vulnérable et on constate que c’est un moyen d’échange courant avec les lanceurs d’alerte. Après avoir analysé ainsi les maillons les uns après les autres,on trie la liste par ordre de priorité. A partir de là on peut progresser par petites étapes, chacune améliorant un peu plus la sécurité. On ne sécurise pas un système d’information du jour au lendemain, il faut y passer du temps.

Voici quelques exemples :

Cette approche incrémentale a le mérite d’éviter d’associer des outils sophistiqués (SecureDrop par exemple) à des pratiques qui ne leur correspondent pas, au risque de projeter une illusion de sécurité. En choisissant avec soin des outils plus simples mais mieux compris de tous les acteurs de la chaîne, on obtient souvent un ensemble plus sécurisé parce que cohérent et utilisé à bon escient.

Le chemin n’est pas balisé, il faut être accompagné

Progresser à petits pas présente cependant une difficulté importante : il faut faire les bons choix, tout au long du chemin, et ne pas perdre de vue l’objectif à long terme. Or, chacun de ces choix demande une expertise technique qui est le plus souvent hors de portée d’une organisation de petit taille. Elle doit donc se faire accompagner :

      • En suivant des formations régulières destinées à faire le point sur l’adéquation entre les outils et les pratiques
      • En dialoguant avec des organisations amies pour bénéficier de leur expérience et en tirer des leçons
      • En sollicitant des collectifs techniques bénévoles pour valider les choix d’outils et s’affranchir des discours commerciaux

Ce programme peut paraître chargé mais il est réalisable en y consacrant une heure par semaine, et on peut penser que les personnes travaillant avec des sources consentiraient à cet investissement pour se former aux outils et pratiques garantissant la confidentialité de leurs échanges. Cela peut prendre la forme d’un rendez-vous hebdomadaire individuel pour faire des exercices tels que simuler une prise de contact avec un lanceur d’alerte ou comprendre et maîtriser le chiffrement. À l’échelle de l’organisation, il est possible d’organiser un rendez-vous collectif mensuel pour réfléchir à tête reposée et hors situation de crise aux différents types de menaces et imaginer des moyens pragmatiques de s’en prémunir. Ces rendez-vous sont très efficaces pour améliorer, en continu, la sécurité des échanges.

 

 

 

 

Crédits photo : privecstasy

Faire un don