Étape 1 : mise en situation (roleplay inside!!)

Isolez le groupe des lanceurs d’alerte dans une pièce et expliquez-leur la situation :

Vous travaillez dans une grosse entreprise spécialisée dans les énergies fossiles (EnerFoss). Vous avez eu connaissance d’une information capitale : votre entreprise n’est pas aussi clean qu’elle le prétend et elle exploite des concessions minières en Asie du sud est de manière illégale. Par ailleurs les conditions de travail sont inacceptables. Vous avez en main un document qui permet de prouver tout ça.

Vous décidez de tout transmettre à la presse pour que le scandale sorte tout en protégeant votre identité pour ne pas que votre employeur ne vous poursuive.

Dans chaque groupe, vous donnez aux lanceurs d’alerte le mail public des journalistes. C’est en effet par mail que le premier contact entre les lanceurs d’alerte et les journalistes s’effectuera. Après et seulement après vous remettez aux lanceurs d’alerte la clé usb qui contient le document sensible à transmettre. Pour le ficher, choisissez ce que vous voulez en fonction du contexte, une image, ou sinon nous vous proposons un fichier bourré de méta données contenant des infos hyper sensibles : la recette du gloubi boulga au format pdf.

Rejoignez le groupe de journalistes, et demandez leur de regarder leurs emails.

Une fois qu’ils ont tous pris connaissance du mail, demandez leur ce qu’ils feraient dans l’instant ? 1 réponse par groupe.

La bonne réponse est, si toutefois ils jugent le mail sérieux, d’examiner l’adresse mail expéditrice. Il serait catastrophique pour la sécurité et l’anonymat que le lanceur d’alerte utilise son mail professionnel ( toto@enerfoss.com) par exemple, en effet, toutes la plupart des grosses entreprises surveillent de très près les mails entrants et sortants.

Il faut maintenant que le journaliste confirme la prise de contact en répondant et assure la sécurité des communications et des fichiers qui seront échangés ! Vaste programme !!!

En annexe nous vous proposons un éventail d’outils qu’ils pourront utiliser comme bon leur semble, comme des briques à empiler pour arriver à un cheminement qui réduira les possibilités d’identifier la source. Avec ce qui suit, ils pourront s’en donner à cœur de joie ! À vous de choisir pour la présentation des outils, soit en début de jeu, soit pendant le jeu en mode pédagogie inversée.

Edward Snowden Wired Magazine by JeepersMedia is licensed under CC BY 2.0

Étape 2 : déroulé

Les deux groupes ont une heure pour envoyer et recevoir le document de la manière la plus sécurisée possible. Demandez aux participants de noter les étapes de de leur processus sur une feuille afin de faire un petit compte rendu conjoint avec les lanceurs d’alerte une fois l’heure passé, les problèmes rencontrés, les failles possibles, les risques, .. un debriefing de salle de rédac. en somme.

  1. Après la présentation des outils et la mise en situation qui dure une petite demi heure, – si vous avez choisi de les présenter en amont –
  2. Donnez une heure aux équipes de lanceur d’alerte et de journaliste pour s’échanger le fichier sensible
  3. Gardez une demi heure pour débriefer avec tout le monde. Chaque groupe désigne un rapporteur, un pour les lanceurs d’alerte et un pour les journalistes, qui viendront expliquer comment ils se sont échangés le document. Si vous utilisez le document de la recette du gloubi-boulga bourré de méta données (jetez-y un œil !) vérifiez bien que les journalistes les ont nettoyées.

Astuce

Demandez  à chaque groupe de journaliste et lanceur d’alerte de se trouver un nom. Quelques exemples de noms pertinents pour l’atelier :

Annexes : les outils utiles pour cet atelier

Cet atelier fait appel à quelques outils technique en ligne simple d’utilisation. Vous pouvez les présenter soit en amont de la mise en situation,

Transmettre un fichier de façon sécurisé

Envoyer un fichier sensible par email en pièce-jointe n’est pas sécurisé à moins de le chiffrer avec un outil dédié, ce qui n’est pas à la porté de tous. Il existe des services proposé par des « tiers de confiance » nous avons tendance à plus faire confiance à Mozilla qui propose le service https://send.firefox.com/ plutôt qu’à Wetransfer qui d’ailleurs ne protège pas le fichier avec un mot de passe et ne passe que par mail. Là tout se passe dans le navigateur SAUF la transmission du mot de passe qui devra se faire par un autre canal sécurisé.

La page d’accueil est clair :

Cliquez sur Select a file to upload ( Sélectionnez le fichier à transmettre) votre explorateur de fichier apparaît, sélectionnez directement l’emplacement de la clé usb et sélectionnez le fichier et [OK]. La page suivante apparaîtra:

Votre fichier a été envoyé sur le site de façon sécurisé par défaut car votre navigateur utilise HTTPS, et mieux encore si vous utilisez TorBrower. Comme indiqué le site génère un lien UNIQUE et complexe qui vous faudra transmettre à votre interlocuteur. Le site n’autorise qu’un seul téléchargement et passé 24 heure le fichier disparaît. Si par exemple regarde votre historique de navigation et clique sur le lien, hop il n’y aura plus rien !

On va quand même rajouter un mot de passe pour être SÛR ! Si quelqu’un intercepte le lien par exemple sur la boite mail de votre interlocuteur il ne pourra rien en faire puisqu’il n’aura pas le mot de passe:

Et voilà vous pouvez envoyer le lien à votre contact par mail ou par SMS ou …. et le mot de passe par un autre canal sécurisé (Signal), il cliquera sur le lien et >>

Il rentre le mot de passe hop hop hop !

TADAAAAMMM en 5 mn like a boss j’ai transmis un fichier de façon sécurisé !

Un email jetable ?

Avoir une adresse email éphémère simplement aujourd’hui est une tannée, tout les services vous demanderons votre compte facebook, Gmail, téléphone, …. Il serait tellement bien d’avoir la possibilité d’obtenir une adresse email pour 1 échange et hop fini ! Et voila ! YOPMAIL (rien à voir avec la boisson lactée mais du coup ça aide pour s’en souvenir :).

Page d’accueil on ne peut plus clair, dès l’ouverture YopMail vous génère une adresse email aléatoir

Copiez l’adresse pour la communiquer à un contact et cliquez sur check mails

Hop ! Une adresse mail fonctionnelle en 5 secondes, vous pouvez revenir dessus quand vous le voulez en tapant : azarojeb-6200 dans le champ à gauche de Check for new mails (Vous pouvez vous y rendre maintenant mais hey j’ai effacé mon mail hein ). Ce genre de service n’est pas « top sécurisé » mais peut rendre service, à vous d’être imaginatif 🙂

Notes jetables à la mission impossible

Un peu dans le même esprit que la transmission de fichier protégé et qui s’auto-détruit s’il est lu, il y a Privnote.

Pour tout simplement envoyer un message à une personne et s’assurer que elle seule le lira.

L’accueil de ce service est toujours aussi simple

On choisit la langue en bas à droite, regardons les options avant d’écrire

Faites votre choix, après lecture ou 1 heure ou plus … un mot de passe, écrivez votre message et cliquez sur Créer une note et voilà !

Il ne vous reste qu’a transmettre le lien en jaune à votre contact et voilà, seul lui pourra le lire et ensuite pouffff plus rien. Ca ne laisse aucune trace sauf éventuellement dans l’historique de votre navigateur comme quoi vous avez été sur privnote mais comme vous êtes malin vous avez ÉVIDEMENT ouvert une fenêtre de navigation privé dans votre navigateur préféré qui ne laisse pas d’historique hein 🙂

Attention aux méta données

Les méta-données comme vu dans l’atelier qui lui sont consacré peuvent donner des informations sensibles, qui a créée le fichier, quand, où, …. Il faut donc avant de publier, ou d’envoyer un fichier être sur qu’il contient le minimum d’indice qui pourrait aider à identifier le lanceur d’alerte. Pour cela il y a un service tout fraîchement mis en ligne : https://mat2-web.dustri.org/ qui ne supporte pour l’instant que les fichiers images (photos, jpeg, ..) mais très vite il supportera la pdf

Sobriété, simplicité, efficacité !

On clique sur Browse pour aller chercher notre fichier que nous souhaitons nettoyer nous cliquons sur upload et voilà !

Variante

Pour offrir une palette plus alrge d’outils, vous pouvez lancer cet atelier à la fin d’un cycle de formation après avoir réalisé avec les participants les ateliers suivants :

Voyageurs du numériqueCes ateliers clés en main ont été réalisés en partenariat avec Bibliothèques Sans Frontières et le site des voyageurs du numérique.