Écoles de journalisme : une formation en sécurité numérique insuffisante

Il y a quelques semaines, un article de la Columbia Journalism Review (CJR) posait la question suivante : face à la multiplication des menaces et des attaques numériques envers les journalistes, les étudiants étatsuniens et canadiens sont-ils suffisamment sensibilisés à la sécurité numérique au cours de leur formation en journalisme ?

Les journalistes affrontent de nombreuses menaces

Cet article, publié début 2018, a résonné avec le mémoire universitaire que j’ai soutenu fin novembre 2017 pour l’obtention de mon diplôme en journalisme délivré par le CELSA – Paris Sorbonne. Ce travail, consacré plus généralement à la sécurité numérique des journalistes, intègre une étude portant sur les 14 écoles reconnues par la profession et sur leur formation en matière de sécurité. La conclusion est un peu différente qu’outre Atlantique : c’est encore insuffisant, certes, mais la plupart des équipes pédagogiques semblent se diriger dans la bonne direction. Les attaques envers les journalistes et leurs sources sont multiples et évoluent constamment, comme le fait remarquer l’article du CJR. Outre la multiplication des « mobilisations numériques visant à faire taire les journalistes et blogueurs en diffusant en ligne leurs informations personnelles » organisées par exemple en France par les membres du forum 18-25 de jeuxvideo.com, le CJR évoque de potentiels « verrouillage criminel des systèmes de publication et tentative d’extorquer de l’argent », ou encore de la diffusion de « métadonnées (…) laissant des traces vers des sources sensibles », comme cet article de Vice qui avait mené à l’arrestation de John McAffee, alors en cavale. Le CJR évoque aussi les « classiques » erreurs humains tel qu' »un clic malavisé ou un mot de passe faible (qui) peut ouvrir à des intrus la porte du back office d’un grand média… ».

La sécurité numérique, peu vendeur pour les écoles

Qu’en est-il de la formation en sécurité numérique des 14 écoles de journalisme française « reconnues par la profession » ? Avant de leur poser directement la question, je me suis intéressé aux plaquettes de présentation et aux descriptifs des cours, censés donner un aperçu du programme de chaque école. Aucune ne mentionne une quelconque formation en sécurité numérique : cet aspect est probablement moins vendeur que les cours consacrés au reportage télévisuel ou à l’enquête. Étant donné la compétition visant à aspirer les meilleurs étudiants qui règne entre ces 14 écoles, cela pourrait se comprendre. Mais pour ces aspirants journalistes biberonnés à Cash Investigation, aux Panama et Paradise Papers, comment enquêter sereinement et protéger ses sources, sans des réflexes et des outils permettant une relative sécurité numérique ? En France, seules 14 écoles sont donc « reconnues par la profession », un gage de qualité. Afin de recevoir ce Graal, de nombreux critères sont évalués tous les cinq ans par la CPNEJ, à partir d’un référentiel bien précis. Celui-ci a été édité pour la dernière fois en 2008, il y a dix ans. Soit l’année de la sortie du deuxième iPhone ! Le monde numérique a largement évolué, depuis. Pour le moment, aucun critère n’a trait à une quelconque formation ou sensibilisation à la sécurité numérique.

Une légère « sensibilisation »

Rien n’oblige les écoles à former leurs étudiants sur ce sujet. Elles font comme elles veulent, parfois comme elles peuvent. Parmi les 11 écoles qui ont répondu à mes questions, quatre (IPJ, EDC, EJCAM et EJT) ont déclaré qu’elles ne dispensaient qu’une « sensibilisation » théorique à travers des cours non spécifiques. Pour ces quatre écoles, la sécurité numérique n’est qu’évoquée à l’occasion d’autres cours ou conférence consacrés à d’autres sujets. En revanche, l’IPJ souhaite proposer prochainement à ses étudiants une formation plus complète. Pour ce faire, elle forme actuellement certains de ses enseignants « à la cyber-sécurité et à la prévention de la cybercriminalité envers les journalistes » afin d’être « pleinement opérationnel lors de [leur] prochain contrat quadriennal avec l’Etat ». Une très bonne nouvelle. Reste à voir comment se traduira cette annonce.

Les frais d’inscription, le nerf de la guerre ?

Sept écoles affirment former leurs étudiants à la sécurité numérique. Parmi elles, le CFJ et l’EJDG intègrent depuis cette année des sessions avec l’association Nothing 2 Hide. Pour le CFJ, quatre jours consécutifs sont consacrés à cette problématique, tandis que la formation de l’EJDG dure deux jours. Les étudiants de l’ESJ bénéficient eux aussi de deux jours de cours sur cet aspect. Avec le journaliste d’investigation Jean-Marc Manach, spécialiste des questions numériques, les étudiants de deuxième année « apprennent essentiellement à gérer les boîtes mails de manière sécurisée et à utiliser Signal et Tor ». Mais pour l’école la plus réputée du club très select des écoles reconnues, cela reste insuffisant : d’après Charlotte Menegaux, la responsable de la formation numérique de l’école, l’équipe pédagogique envisage de « renforcer cet enseignement car il paraît de plus en plus essentiel ».
https://twitter.com/ESJLille/status/695634675256188929
Du côté de l’école de journalisme de Sciences Po Paris « cet enseignement est prévu et intégré dans [leurs] ateliers » à la fois en première et en seconde année, sans donner beaucoup de détails. En plus de ces ateliers, « des masterclass spécifiques » s’y ajoutent. Les écoles à gros budget et aux frais d’inscription conséquents (entre 2 700 et 6 800 euros par an pour le CFJ, et jusqu’à 14 000 euros par an pour Sciences Po, par exemple) semblent mettre les moyens pour apprendre aux aspirants journalistes à se protéger et à protéger leurs sources.

Les formations publiques, moins bien loties

Parmi les écoles qui affirment enseigner à leurs étudiants les rudiments de la sécurité numérique, certaines y consacrent bien moins de temps, notamment dans les formations publiques et universitaires, requérant des frais d’inscription raisonnables (jusqu’à 260 euros, hors sécu). Le CELSA, par exemple, prévoit cette année un atelier théorique et pratique de quelques heures animé par Rayna Stamboliyska, chercheure indépendante en sécurité numérique qui a récemment publié La Face Cachée d’internet. À l’IFP, ce sont quatre heures de cours spécifiques qui sont donnés, en plus des « conseils et trucs » distillés lors « d’un séminaire sur les journalistes et leurs sources où des journalistes d’investigation sont invités ». Du côté de la Bretagne, l’IUT de Lannion propose depuis trois ans « deux modules sur la sécurité numérique et le cryptage (sic) de données. » Alors que l’un est « plutôt technique avec un binôme journaliste informaticien », l’autre est lié à « un module sur le reportage réalisé par un journaliste reporter de guerre, sur la protection des sources, les échanges, etc. » Là encore, pas de détail sur le nombre d’heures consacrées à ces enjeux mais dans le langage universitaire, les « modules » dépassent rarement quelques heures.

Une séparation artificielle peu efficace entre sécurité et pratique journalistique

Lorsque j’étais en première année au CELSA, une « crypto party » animée par Amaëlle Guitton nous a été proposée. Pour résumer, c’était une petite heure de conférence rappelant les enjeux de la sécurité numérique suivi d’un atelier de deux heures où quelques outils étaient présentés. En tout, trois heures de formation distillées au milieu de centaines d’autres heures de formation. L’un des risques de ne distiller que quelques heures éparses est de faire qu’effleurer le sujet ; l’autre, est de dissocier artificiellement sécurité numérique et pratique journalistique. Cette séparation artificielle se retrouve dans presque toutes les formations sus-citées. Cela peut s’avérer parfois contre productif, ce que confirme l’article du CJR consacré aux écoles nord-américaines. D’après le CJR justement, une approche adaptée consisterait à intégrer dans chaque enseignement des pratiques de sécurité. Ainsi un cours de reportage devrait aborder la manière de conserver ses notes et ses contacts de manière sécurisée, un cours de photojournalisme expliquer comment les métadonnées peuvent révéler l’endroit de la prise de vue, une intervention sur l’enquête expliquer quelles traces numériques les documents peuvent révéler, etc. Grâce à cette méthode, « la sécurité devient une habitude plutôt qu’un truc fastidieux en plus ». En France, seules quatre écoles sur onze déclarent prodiguer une véritable formation en sécurité numérique. L’autre partie tend plutôt vers des sessions monolithiques consacrées à la sécurité numérique. La solution pour généraliser ce type de formation et dispenser de solides bases aux futurs professionnels de l’information réside peut-être dans les critères de la CPNEJ : la sécurité numérique devrait faire partie des points obligatoires pour recevoir le label « école reconnue par la profession ». Étant donné la multiplication des attaques et des menaces auxquelles les journalistes font face, les formations actuelles sont clairement insuffisantes. Mais la plupart sont sur la bonne voie. Note : L’auteur de cet article, Pierre Laurent (@InfoSec_Media et @PierreLrnt sur Twitter), est membre de Nothing 2 Hide. Suite à la publication de l’article de la Columbia Journalism Review et afin de donner un éclairage sur le paysage français, nous lui avons proposé de publier un résumé de la partie de son mémoire qui portait sur la formation à la sécurité numérique dans les écoles de journalisme en France de ce sujet. Pierre a accepté, merci à lui ! Grégoire de Nothing 2 Hide.