Un média syrien en exil
Souriatna est un média indépendant syrien, basé à Istanbul. Souriatna est imprimé et distribué gratuitement toutes les semaines en Syrie (dans les « liberated areas ») et dans les camps de réfugiés syriens dans les pays d’accueil des réfugiés (Liban, Jordanie).
Souriatna collabore fréquemment avec des médias étrangers. En 2016 Libération a publié en une l’une des couvertures de Souriatna.
L’une des spécificités de Souriatna, ce sont ses couvertures chocs.
Le problème
Les menaces contre Souriatna ont commencées début 2015 après que l’hebdomadaire ait fait sa une avec le fameux « Je suis Charlie » affichant clairement son soutien à Charlie Hebdo. Le site web a été piraté pour la première fois au début de cette année là.
Il a été de nouveau piraté en 2016 et a été rendu indisponible pendant trois mois. L’équipe a réussi à remettre le site en ligne mais a perdu au passage l’ensemble de ses archives.
de Souriatna est composée de trois journalistes, d’un stagiaire et de nombreux correspondants freelances sur le terrain, en Syrie. Souriatna na pas les moyens de s’offrir de personne dédiée à la technique.
En janvier 2018, Souriatna a déménagé dans un autre quartier d’Istanbul. Ce déménagement les a mis dans une situation dans laquelle l’équipe n’avait plus de mesure de protection numériques efficaces : plus de VPN ni de solution de sauvegarde de données efficace. C’est dans ce contexte que Jawad nous a sollicité pour l’aider à renforcer la sécurité de son média.
Les solutions
Jean-Marc et moi même (Grégoire) avons animé de nombreuses formations à la sécurité numériques au cours des dernières années. L’un des enseignement que nous avons retiré de ces expériences est que le moyen le plus efficace d’aider des journalistes ou des activistes dès qu’il est question de protection de données est de coller le plus possible aux process de travail exister tout en les renforçant au maximum.
Expliquer que Windows n’est pas sécurisé et qu’il faut le dégager au profit de Linux, ça ne fonctionne pas. Dire aux journalistes et aux activistes « le code est sur mon dépôt github, tu n’as qu’à le cloner et l’installer », ça ne fonctionne pas. Nous sommes convaincus que les clés pour sécuriser des méthodes de travail de manière efficace et pérenne sont l’adoption et le soutien technique sur le long terme.
C’est pourquoi, avec le soutien de notre bailleur pour ce projet, Open Technology Fund (Nothing2Hide, remember), nous avons rendu visite à l’équipe de Souriatna cet été en Turquie. Nous avons passé les premiers jours à observer et auditer leurs méthodes de travail et les jours suivants à installer des outils et former l’équipe à leur utilisation pour renforcer la sécurité des process existants.
-
Nous avons inspecté et « nettoyé » tous les postes de travail, changé les paramétrages et installé quelques protections standards mais néanmoins indispensables
- Nous avons expliqué à l’équipe comment protéger leurs données sensibles (avec Veracrypt)
- Nous avons identifié quelles données étaient spécialement sensibles et avons mis en place pour celles-ci un processus de sauvegarde spécifique
- Nous avons créé un système de sauvegarde automatique du site de Souriatna. Cette partie a été de manière assez surprenante l’une des plus compliquées de cette mission, l’hébergeur de Souriatna n’étant pas extrêmement facile à interroger (pas de ssh…). On espère bien pouvoir aussi faire quelque chose de ce côté là.
Quel que soit les protections que nous ayons mis en place, nous n’avons pas changé les méthodes de travail de l’équipe, ou sinon à la marge.
Un pont entre deux mondes
Le cas de Souriatna est emblématique de la façon dont nous faisons vivre note mandat (« Protéger l’information ») chez Nothing2Hide. Nothing2Hide agit comme un pont entre plusieurs monde : celui des développeurs de solutions, la communauté tech, et celui de ceux qui qui en ont besoin, journalistes, activistes et défenseurs des droits humains.
À titre d’exemple, nous avons installé chez Souriatna un nettoyeur de clés USB imaginé et développé par Raphaël Vinot. Cette petite boîte nettoie les clés USB avant leur insertion dans un ordinateur, ce qui est normalement supposé éviter pas mal de problèmes.
Installer ce logiciel sur une raspberry pi n’est pas très compliqué. Encore faut-il savoir ce qu’est une raspberry pi, où s’en procurer, comment installer une image iso et comment lancer quelques lignes de commandes. Choses que des journalistes ou des activistes ne feront pas car ce n’est ni leur métier ni leur domaine d’expertise
Aller sur le terrain et construire une relation de confiance avec des partenaires locaux est une étape indispensable si l’on veut diffuser ces projets tech qui seraient tellement utiles pour les journalistes et les activistes mais qui ne seront jamais utilisés s’ils restent bien au chaud dans leur dépôt github. La bonne nouvelle c’est qu’à Nothing2Nide on sait faire des git clone / make / install et qu’on connaît de nombreux médias indépendants qui font un travail remarquable et pour qui ces projets seront très utiles.
Nour, journaliste chez Souriatna
Ce billet ne serait pas complet si nous ne donnions la parole aux premiers intéressés, les membres de l’équipe de Souriatna. Nous avons interviewé Nour, journaliste chez Souriatna, et lui avons demandé de nous expliquer son travail, les raisons de son engagement et l’intérêt pour elle du soutien que Nothing2Hide a pu apporter à Souriatna.