Guide de sécurisation en ligne pour militants / Jilian C. York

8 Août
Guide de sécurisation en ligne pour militants
Jilian C. York – The Electronic Intifada – 2 août 2016

images

Face à l’accroissement des menaces numériques de la part d’Israël et d’autres gouvernements, les militants et les organisations peuvent prendre des mesures pratiques pour se protéger eux et leur entourage.

L’année dernière a vu se produire un bond dans les menaces numériques sur des individus et des organisations dans le monde entier, et ceux qui sont sur la question de la Palestine ne font pas exception.

Au cours des derniers mois, des attaques ont été menées sur des sites du mouvement de boycott, désinvestissement, sanctions (BDS), de même que des mails menaçants adressés aux militants et de nouvelles informations ont été données sur les capacités de contrôle d’Israël.

« Les dernières cyber attaques contre BDS semblent faire partie d’une guerre totale d’Israël contre le mouvement, dotée d’un appareil de répression juridique maccarthiste, du recours aux services de renseignement et de davantage de financement pour faire la propagande de la ‘marque Israël’ » a dit Mahmoud Nawajaa, le coordinateur général du Comité National Palestinien de Boycott, Désinvestissement, Sanctions (BNC). « Ces attaques sont le signe du désespoir d’Israël face à l’isolement grandissant qui est le sien dans le monde, après avoir échoué depuis des années à endiguer la croissance du soutien au mouvement non-violent BDS, qui est un outil stratégique et efficace pour que les Palestiniens jouissent de leurs droits dans le cadre du droit international ».

Après plusieurs nouveaux incidents comportant des menaces numériques envers des militants de BDS et de la solidarité, je me suis mise à en parler avec différentes personnes dans le mouvement, afin d’en savoir plus sur les problèmes spécifiques qu’elles posent à chacun.

Les problèmes qu’ils ont évoqués sont divers, comme le sont les menaces qu’ils ressentent sur leur action et sur celles des autres, mais chaque personne à laquelle j’ai parlé a convenu que les menaces numériques sont en hausse.

Omar Barghouti, un militant palestinien de défense des droits humains et cofondateur de BDS m’a dit que la réponse ordinaire à de telles menaces a été de « renforcer encore notre sécurité électronique mais sans paniquer ni adopter des mesures strictes à cet égard ». 

Barghouti dit qu’un « effet inattendu » de telles attaques se produit couramment, qui « a donné le moral aux militants parce qu’ils se sentent après coup rassurés sur l’efficacité des campagnes pour les droits humains que nous menons ».

Bien que de telles attaques puissent apporter ce type de confirmation, elles sont néanmoins une gêne dans un travail qui est important.

Cet article peut être une ressource concise pour faire face aux problèmes les plus couramment cités. Il n’est en rien exhaustif mais peut apporter aux militants et aux organisations les premiers éléments d’une amélioration de la sécurité numériques.

Problème : Les sites internet subissent régulièrement des attaques de déni de service (DDoS)

As eQualit.ie – une organisation qui fournit gratuitement et en open source une sécurité numériques pour la société civile – a fait état en juin de six incidents contre bdsmovement.net, le site très réputé du BNC, entre février et mars 2016.

Ali Abunimah de l’Electronic Intifada, qui a aussi subi des attaques DDoS, a observé qu’elles « semblent s’ajouter aux efforts de plus en plus agressifs d’Israël pour faire taire le mouvement BDS par tous les moyens ».

Le rapport technique de eQualit.ie « apporte des preuves évidentes que les attaques de déni de service (DDoS) menées contre le site principal du BNC et contre des sites d’autres critiques de l’occupation israélienne et des violations des droits humains, sont complexes et hautement coordonnées » a dit Barghouti. Nous encourageons tous nos partenaires à recourir aux services anti-DDoS tel le service Deflect fourni par eQualit.ie et de crypter leurs communications autant que possible.

Une attaque DDoS peut empêcher le fonctionnement correct d’un site, temporairement ou définitivement.

La manifestation typique est une saturation de la cible par des requêtes au serveur conçues pour noyer sa bande passante, ce qui met le serveur dans l’incapacité de répondre au trafic légitime. Pour l’utilisateur, l’accès au site en question est impossible.

Bien qu’une attaque DDoS puisse être menée contre n’importe quel site, les journalistes et les militants en sont des cibles fréquentes. Et là où une grande entreprise ou un gouvernement peuvent avoir les moyens de se défendre contre de telles attaques, beaucoup de plus petites organisations ou d’individus ne savent pas quoi faire quand cela leur arrive.

Ce que vous pouvez faire :

  • Le service Deflect de eQualit.ie – qui a été utilisé pour protéger bdsmovement.net offre une protection DDoS à des organisations admissibles.

  • Le Cloudfare du projet Galileo fournit une protection DDoS pour des sites d’intérêt public à risque.

  • Il est important de faire des sauvegardes régulières de votre site ; cela peut assurer que, même si une attaque DDoS le met hors ligne, le contenu reste intact.

  • Créer un site miroir est une autre bonne option pour s’assurer que votre contenu reste en ligne pendant une attaque.

Problème : des gouvernements surveillent et interceptent des communications, avec la possibilité de les utiliser contre des militants.

Il y a trois ans, Edward Snowden, qui a organisé une fuite de l’information de l’Agence Nationale de la Sécurité, a démontré la capacité des États Unis et d’autres gouvernements à espionner leurs citoyens.

Cela précise des soupçons et des informations préalables selon lesquels des gouvernements avaient surveillé les communications numériques de leurs propres citoyens et de gens d’autres pays.

« L’armée israélienne et les services de renseignement agissent en toute impunité. Il semble hautement probable qu’Israël se sert de ces moyens dans sa surveillance des communications électroniques et des appels téléphoniques des militants de BDS dans les pays occidentaux, en contrevenant aux lois de ces pays » a dit Barghouti. « Les gouvernements doivent agir pour protéger leurs citoyens de la surveillance intrusive des services de renseignement d’Israël ».

Beaucoup d’organisations et d’institutions travaillent pour combattre la surveillance en défiant le système par des moyens juridiques et législatifs.

En même temps, il est important que les individus et les communautés se protègent en changeant leurs habitudes et/ou en adoptant de nouvelles technologies qui offrent une protection supplémentaire contre l’espionnage.

Barghouti est d’accord. « Nous avons intérêt à élever le niveau de conscience de l’importance de prendre des mesures de base pour la sécurité en ligne, tandis qu’Israël, qui dispose de capacités énormes de cyber guerre, est capable d’intercepter même des communications cryptées – ne communiquez par téléphone ou en ligne rien que vous ne soyez prêts à ce que ce soit intercepté par vos adversaires ».

Le type de stratégie que vous devriez adopter dépend de ce que vous essayez de protéger et de qui vous essayez de le protéger – cela dépend aussi de l’ampleur des efforts que vous entendez y consacrer et de la probabilité du risque que vous encourez.

Avant de changer de comportement, mener une évaluation du risque peut aider, en pensant à quelques questions sur votre travail et votre style de vie.

Ce que vous pouvez faire :

  • Les applis mobiles qui fonctionnent avec un chiffrement de bout-en-bout et permettent aux utilisateurs de faire des vérifications mutuelles au moyen d‘empreintes numériques sont Signal, WhatsApp et Wire : elles ont toutes également des options de bureau et d’appel vocal crypté. Il est aussi possible d’ajouter un chiffrement de bout-en-bout à de nombreux outils de messagerie, dont Facebook, au moyen des applis de bureau comme Adium ou Pidgin et aussi off-the-record (OTR).

  • Un équipement de sécurité est également important. Le fait de comprendre à quel point les téléphones mobiles peuvent être source d’insécurité, peut vous aider à prendre des décisions en connaissance de cause sur comment vous les utilisez dans votre action.

  • Pour plus d’information et des guides sur la façon d’utiliser certains de ces outils, voyez L’autoprotection contre la surveillance de la Fondation Electronic Frontier, ou Security in a Box (La sécurité en boîte) du Collectif Tactical Technology. Ces deux guides sont disponibles en plusieurs langues dont l’arabe, donc partagez les avec votre famille et vos amis.

Problème : des groupes Facebook ou autres sont souvent infiltrés, mettant en danger les individus et leurs réseaux.

Des groupes d’étudiants, militants comme universitaires, ont depuis longtemps des soupçons d’espionnage de la part de groupes politiques anti-Palestiniens. En 2014 l’Electronic Intifada a publié des documents montrant qu’un étudiant avait espionné les membres d’un groupe « d’analyse de conflit » d’une université californienne, appelé Initiative Olivier, et en avait fait le rapport à l’Initiative AMCHA, un groupe anti-palestinien qui était « derrière bon nombre d’initiatives prises pour réduire au silence et intimider des étudiants et des enseignants perçus comme critiques d’Israël ». L’Initiative AMCHA a été cofondée par Tammi Rossman-Benjamin, un chargé de cours à l’université de Californie à Santa Cruz.

Des organisations astucieuses usent des mêmes tactiques en ligne. La Mission Canary, lancée en avril 2015, cible des militants BDS des campus et les affuble de qualificatifs tels que « faux juif », dans « le but avoué de priver à l’avenir de toute opportunité d’emploi les étudiants qu’elle a visés » ont écrit Max Blumenthal et Julia Carmel l’an dernier.

Il y a eu aussi des incidents, dont certains ont été divulgués et d’autres non, dans lesquels des membres de groupes pro israéliens et d’agences de renseignement se sont camouflés pour infiltrer des groupes BDS ou de solidarité avec la Palestine.

Beaucoup de gens avec lesquels j’ai parlé, sont préoccupés à l’idée que leurs réseaux en ligne pourraient être ou ont pu être infiltrés par ceux qui cherchent à nuire. La plupart ont déclaré que cette menace émanait de groupes qui, au moins dans leur dénomination, paraissent indépendants du gouvernement (comme AMCHA).

Quand je poursuis avec la question : « pensez-vous que vous êtes prudents en acceptant de nouveaux amis sur Facebook ? », plusieurs personnes ont admis qu’elles fondent leur décision sur le nombre d’amis qu’elles ont en commun avec la personne qui essaie de les ajouter, plutôt que sur d’autres facteurs de confiance (comme la confirmation par un ami commun que la personne est fiable).

Ce que vous pouvez faire :

  • Lorsque vous acceptez une demande d’être ami de la part de gens que vous n’identifiez pas immédiatement, même si vous avez beaucoup d’amis en commun sur Facebook, vérifiez avec quelqu’un l’identité de cette personne.

  • Vérifiez les paramètres de confidentialité sur votre compte Facebook. Le système de vérification de confidentialité de Facebook fait naviguer les utilisateurs à travers les différents paramètres appliqués aux posts, photos et autres contenus et leur permet de faire des changements, y compris sur des contenus anciens.

  • Envisagez d’utiliser des outils de cryptage pour communiquer de façon plus privée. Facebook et d’autres réseaux sociaux peuvent être vitaux pour des militants qui s’organisent entre différents pays, mais il serait mieux, pour certains échanges, d‘utiliser certaines applications plus sûres comme mentionné plus haut.

  • Surveillance Self-Defense dispose de plus d’information sur comment vous protéger et protéger votre vie privée sur les réseaux sociaux.

Problème : des militants reçoivent parfois des pièces jointes suspectes ou des liens sur des mails, sans être sûrs de comment juger s’ils peuvent être ouverts en toute sécurité

En juin, de nombreux militants de la solidarité avec la Palestine ont reçu des mails menaçants d’un groupe se nommant « Brigade Juive », avec des liens suspects.

Bien que les liens se soient avérés dépourvus de malveillance, il est important d’être vigilant lorsqu’on reçoit de telles pièces jointes.

Un contenu mal intentionné peut présenter d’énormes risques pour la sécurité et la discrétion de votre équipement. Il peut permettre à un attaquant d’enregistrer à partir de votre webcam ou votre micro, de désactiver le dispositif de notification de certains antivirus, d’enregistrer ce que vous tapez, de copier le contenu de votre appareil, de voler des mots de passe et plus encore.

Ce que vous pouvez faire :

  • Suivez votre instinct. Si une pièce jointe ou un lien semblent suspects, prenez quelques minutes pour réfléchir à qui les envoie, ce que dit le mail et autres indices de contexte.

  • Pour plus de conseils, lisez le guide de Surveillance Self-Defense pour vous protéger de la malveillance.

  • Security in a Box contient un guide de protection de votre appareil de la malveillance et des hackers

Problème : il est difficile de convaincre les gens de crypter.

La réponse habituelle aux révélations sur la surveillance exercée par le gouvernement, c’est : « je n’ai rien à cacher ».

Dans le contexte américain, cette réponse émane souvent d’un privilège : la perception que quelqu’un ne fait rien de faux ou d’illégal et donc n’a rien à cacher.

On a beaucoup écrit sur le phénomène et un article de Moxie Marlinspike, fondateur de Whisper Systems et développeur de Signal, l’explique de la façon la plus concise : nous ne pourrons toujours savoir quand nous avons quelque chose à cacher (parce que les structures de l’autorité et des types de menaces changent) et parfois nous avons quelque chose à cacher.

Marlinspike nous rappelle que la liberté de parole nous permet de « créer un marché des idées, à partir duquel nous pouvons utiliser le processus politique pour choisir collectivement la société que nous voulons », un processus qui se manifeste parfois par de l’agitation ou de la revendication de changement de la loi et qui comporte des débats sur les interdits, une chose que les militants connaissent bien.

En parlant avec des militants palestiniens, j’ai découvert que l’argument de « rien à cacher » prend une tournure différente. « Dans le mouvement, nous estimons que tout ce que nous disons et faisons est suivi », dit Nadia Hijab de Al-Shakaba : le réseau politique palestinien. « Aussi, tout ce que nous faisons ou disons est à découvert. Nous avons le sentiment que nous n’avons rien à cacher. Mais c’est un truc un peu effrayant de penser que si vous écrivez un mail à quelqu’un, il est contrôlé ».

Barghouti a exprimé un sentiment analogue : « depuis que nous avons lancé le mouvement de BDS en 2005, nous avons agi en assumant qu’Israël peut utiliser et utilisera effectivement les systèmes de surveillance pour contrôler toutes nos communications. Un avantage majeur du BDS est néanmoins que le mouvement est ancré dans la Déclaration Universelle des Droits de l’Homme, qu’il rejette toute forme de racisme et cherche à exercer une pression non violente sur le régime d’occupation d’Israël, de colonialisme de peuplement et d’apartheid, pour les droits des Palestiniens dans le cadre du droit international, tout comme la pression qui s’est exercée sur l’Afrique du Sud de l’apartheid. Il n’y a là rien de clandestin ».

Un autre militant, qui n’a pas souhaité dévoiler son identité, m’a dit qu’en Cisjordanie, il y a une division entre deux réalités. « Si vous avez quelque chose à cacher, vous êtes un militant, ou vous envisagez une action de nature militante. Tant que vous ne passez pas à l’acte ou que vous ne projetez pas de faire quoi que ce soit, vous n’avez rien à cacher ».

Cela peut donner un sens erroné de sécurité à des militants ou à des journalistes dont le travail est légal ou sincère, lorsque de nouvelles menaces émergent – Israël a agressivement emprisonné des journalistes, des militants et des universitaires simplement pour des commentaires qu’ils étaient réputés avoir postés sur Facebook.

De plus, dans un contexte où des activistes peuvent être repérés comme militants dès lors qu’ils utilisent des technologies renforçant la protection de leur vie privée, il peut se produire un dilemme impossible : utiliser le cryptage au risque d’être étiqueté ou ne pas y recourir, au risque d’avoir des problèmes.

« Les outils ou techniques ne sont pas tous applicables à toute situation » a dit Morgan Marquis-Boire, un chercheur confirmé du Citizen Lab (Lab Citoyen) de l’Université de Toronto. « Ce qui marche pour un journaliste qui travaille sur les fuites aux USA, peut ne pas marcher pour un militant de défense des droits humains au Moyen Orient ou en Afrique du Nord ».

Une idée qu’approuvent de nombreux défenseurs de la discrétion est que lorsque plus de gens adoptent le cryptage, son usage se banalise ; en d’autres termes, plus il y a d’utilisateurs, plus il devient difficile à d’autres des les accuser de mauvaise conduite.

« Certaines approches reposent sur le principe selon lequel les gens ne se rassemblent pas en foule » a expliqué Marquis-Boire. « Dans des situations délicates, où quelqu’un est susceptible d’être sous surveillance, l’utilisation de certains outils de protection peut être vue comme un comportement suspect. Dans de tels contextes, l’utilisation de software courant (comme WhatsApp) qui est très sûr dans sa conception, peut être moins suspecte ».

Pour ceux d’entre nous qui encourent moins de risques, le cryptage peut être un acte de solidarité. Voici comment ça marche : en 2004 est né en Italie un projet appelé CryptoCuisine.

Pour encourager une adoption massive de PGP, un programme de cryptage qui protège la vie privée et l’authentification des mails et d’autres communications, un groupe de militants a créé CryptoCuisine avec le slogan « CryptoRecettes pour les masses, recettes et cryptage pour tous ! »

L’idée était de pratiquer et de diffuser l’usage du cryptage par l’envoi mutuel de recettes inoffensives (et délicieuses) – une idée que peut-être les Palestiniens peuvent appuyer.

Pour aucun de ces problèmes il n’y a de solution « taille unique », mais en faisant de petits pas pour améliorer notre perception et notre sécurité numériques (et la sécurité de notre entourage), nous pouvons créer un espace plus sûr dans lequel mener nos actions.

Resources :

  • Access Now’s Digital Security Helpline offre une assistance gratuite 24h/24 aux acteurs de la société civile du monde entier.

  • Le Kit Digital First Aid est utile pour ceux qui ont des connaissances en sécurité numériques et qui ont la charge d’aider des personnes ou des organisations. Il vise à fournir un soutien de base à des gens qui se trouvent face aux types de menaces numériques les plus courantes.

  • Le guide d’autodéfense contre la surveillance de la Fondation Electronic Frontier existe en 11 langues et a pour objectif d’aider les utilisateurs à se protéger de la surveillance numériques.

  • Le Collectif Tactical Technology offre un certain nombre de guides utiles conçus pour aider les utilisateurs à améliorer leur sécurité et leur intimité.

  • Security in a Box contient des ressources de sécurité numériques et des guides en 17 langues.

  • Le Manuel Holistic Security cherche à aider les individus à créer un processus de développement ou d’amélioration de stratégies personnelles de sécurité.

  • Zen and the Art of Making Tech Work for You est une ressource conçue pour les femmes et les militants trans.

  • Me and My Shadow aide les utilisateurs à trouver et à remédier aux traces digitales laissées derrière eux.

  • LevelUp fournit des ressources à ceux qui essaient d’enseigner la sécurité digitale à leurs groupes.

  • May First/People Link « s’engage à construire des mouvements en faisant avancer l’usage stratégique et le contrôle collectif de la technologie pour les luttes locales, la transformation mondiale et l’émancipation sans frontières » et offre des ressources hautement recommandables à ses membres.

Jillian C. York est la directrice de Liberté d’Expression Internationale à la Fondation Electronic Frontier.

Traduction SF pour BDS France

Publicités
%d blogueurs aiment cette page :