Je l’ai découvert sur ReadWriteWeb fr (RIP) grâce à @epelboin, samedi dernier avait lieu à Genève un atelier organisé par Reporters sans frontières, destiné à sensibiliser les journalistes et les représentants d’ONGs sur la question de la cyber-censure, la cyber-surveillance, le moyen de contourner ces limitations et de s’en protéger.
Des intervenants de qualité s’étaient déplacés, notamment Chris Kullenberg (@intensifier sur twitter) de Telecomix, fo0_ de Telecomix, et streisand.me. La liste complète des intervenants est présente sur le site créé pour l’occasion.
Quel est le concept ?
Après en avoir discuté avec Stéphane Koch, l’organisateur de ce workshop, j’ai réussi à avoir une idée plus précise de la volonté initiale. Partant du constat que les problématiques de sécurité, sécurisation des données, non traçabilité, etc. étaient plutôt connues du monde geek et hacker, Stéphane a eu l’idée de démocratiser ça au grand public, en commençant par ceux qui en ont le plus besoin, les journalistes, reporters et ONGs.
En effet, cette population est amenée à régulièrement se déplacer dans des pays sensibles, où la surveillance du net peut être très avancée, et très oppressante. Comment éviter de mouiller une source en l’appelant avec un téléphone étranger ? Comment éviter l’interception de mails, de session web, etc ? Comment accéder à des sites censurés par les autorités ?
Les journalistes sont extrêmement peu sensibles à ces problématiques, du fait de la connaissance technique minimale nécessaire pour en appréhender les enjeux. C’est pourquoi la volonté tout au long de la journée fut de rester le plus simple et pragmatique possible, tout en privilégiant la spontanéité et l’échange avec les participants.
Un concept open-source
Ainsi, la journée se découpe en 2 parties, une matinée plus théorique avec un exposé des différents aspects concernés, démonstrations vidéos d’interception de signal gsm, d’installation de logiciels espions, etc. et une après-midi plus pratique avec des tutos sur certains logiciels, et du support en direct. Si j’ai bien tout compris, à terme l’idée est de centraliser les feedbacks de cette première journée beta, afin de distribuer largement le mode d’emploi et que des initiatives se répliquent dans le monde entier, sur le modèle du logiciel libre, avec partage d’expérience et collaboration.
Résumé de la journée et impressions personnelles
Pour ceux que ça intéresse, je donne le document brut de toutes mes notes prises pendant la journée : Workshop-RSF Vous pouvez aussi écouter une émission de couleur 3 sur la journée, featuring fo0, Marco Ricca, Aref Jdey et moi-même :
Télécharger
Tout d’abord, la déception semble poindre sur le visage de Stéphane dès le début de journée : une vingtaine de journalistes seulement sont présents dans la salle, sur le maximum envisagé de 100 places. Mais ce n’est pas grave, c’est une première ; l’objectif n’est pas de faire un one time event, mais de s’inscrire dans la durée.
Matinée : théorie
Les intervenants commencent par se présenter, chrisk fait impression avec son laptop recouvert de stickers (dans le but de dissimuler le fait que c’est un macbook ? ^^).
Personnellement, j’ai senti une réelle différence entre deux types d’intervenants, les pros et les bénévoles. Ce n’est pas tant le statut de startupper des premiers qui m’a dérangé, c’est surtout l’aspect VRP soi-disant gentil « d’habitude je le vends mais pour toi je te fais gratuit » quand ils présentaient leurs produits de sécurité aux journalistes. Je ne peux pas m’empêcher de penser à la phrase « la première dose est toujours gratuite ».
Organisation de la matinée
Stéphane nous annonce le programme de la matinée :
- Télécom
- Échanges d’information
traces, skype, VoIP, sécurisé ou non ? - Chiffrement
quelle sécurité, etc? - Précautions à prendre lorsqu’on part à l’étranger, comment on prépare son ordinateur/téléphone, comment on s’adapte à la législation du pays en question ? etc.
Déroulement de la matinée
Certains intervenants ont déploré le manque de structure de la partie théorique de la matinée. En effet, nous n’avons pas réellement suivi le plan de Stéphane, les intervenants réagissaient aux questions des participants en rebondissant de sujet en sujet. Je conçois donc que ce fut difficile à suivre pour des néophytes. Il faudra donc voir si la flexibilité de cette méthode vaut le coup de prendre le risque de donner une impression confuse aux participants.
Les interventions furent cependant toutes de qualité. Chaque intervenant avait sa spécialité, fo0 et ChrisK plus axés hacktivistes, Christophe Devaux, Marco Ricca et Léo Bolchanine plus sécurité.
On nous a présenté des démonstrations d’installation de logiciels espions, d’espionnage de communications téléphoniques à l’aide d’appareils en vente libre sur internet. On a fait une retrospective sur les événements récents et le rôle que Telecomix a pu jouer dans la diffusion des informations. Morceaux choisis.
Human proxy
Les actions de diffusion de documents de telecomix font office, comme le dit Christopher Kullenberg, de human shield ou human proxy. C’est à dire qu’on va pouvoir transmettre une vidéo à Telecomix et qu’ils vont manuellement la poster sur Youtube, afin que l’auteur soit indétectable.
Un vigile devant votre porte
Lors d’un retour sur la cyber-censure d’état instaurée en France par le gouvernement, Marco Ricca fait un parallèle intéressant :
Hadopi, c’est comme si on mettait un vigile devant votre porte et qu’il regardait à chaque fois dans votre sac à main si vous avez volé un rouge à lèvres chez carrefour.
Anonymat vs censure
Alors que le débat resurgit sur le net civilisé, avec notamment la prise de parole d’ignorants du net sur ce sujet fondamental, les actions des hacktivistes sont fondées sur l’anonymat. Comme l’assure fo0,
Streisand.me et telecomix ne loguent aucun log (pas même sur irc).
Pour eux, l’absence de logs est une condition sine qua non à la sécurité et à la protection des intervenants de ces actions. En effet, les actions engagées sont considérées comme illégales dans de nombreux pays, l’anonymat permet de les protéger. Il faut également noter que l’absence d’enregistrement des logs risque d’être considéré illégal dans beaucoup de pays qui ont adoptés des Patriot Acts-like (comme la France très récemment).
Le coût du gratuit
ChrisK expose le fait que les services de webmail ont beau être gratuits, ils sont très coûteux en termes de récolte de données. En effet, d’autant plus si vous travaillez sur des sujets sensibles vos données ne sont pas en sécurité chez google ou chez microsoft, les autorités ont trop de facilités à faire collaborer ces grosses boîtes. Pour être tranquille, il faut installer son propre serveur mail sur son propre hébergement. Mais il est certain que cela requiert des connaissances techniques et un coût financier, il faut voir si ça en vaut la peine.
Pertinence et limites du cryptage
Stéphane Koch fait remarquer aux journalistes présents un aspect du chiffrement qui est trop souvent négligé. L’aspect visible du chiffrement. Si vous êtes le seul à chiffrer vos communications, vous devenez très visible. Et on ne saura pas ce que vous aurez communiqué à votre interlocuteur, mais suivant le type de chiffrement et le type de communication on pourra par exemple savoir avec qui vous avez communiqué. Et si vous vous entretenez avec un opposant au régime dans un pays hostile, vous pouvez le mettre sérieusement en danger. Parfois il est plus intelligent de ne pas chiffrer afin de passer inaperçu. En somme, le chiffrement est une arme à utiliser avec parcimonie.
La sécurisation de l’outil informatique
Une autre chose à retenir de cette conférence est le rappel par ChrisK du fait qu’aucun système n’est infaillible, aucun des intervenants dans la pièce n’aurait certifié leur ordinateur. C’est une évidence, mais pourtant ça ne fait pas de mal de le rappeler. Tout est une question de probabilités, explique ChrisK, on n’essaye pas de supprimer le risque, mais de réduire sa probabilité.
Après-midi : pratique
Du fait même de la teneur de l’après-midi, je n’ai pas grand chose à en dire. En gros, l’aspect « pratique » résidait plutôt en la démonstration d’outils et la sensibilisation à des problématiques diverses :
- Démonstration de l’utilisation de Tor
- Introduction à GPG
- Introduction à TrueCrypt
- Sensibilisation à la suppression de données, comment supprimer correctement des données sur son disque.
Impression globale de la journée
On aura remarqué un grand intérêt de la part des journalistes présents (je ne sais pas s’il y avait beaucoup d’ONGs) de par leurs nombreuses questions. C’est un bon point pour les prochains événements. Bien évidemment, il est difficile de transmettre une telle masse de connaissance en une si courte durée, surtout à des débutants en informatique. L’objectif était à mon avis plus une sensibilisation à des problématiques et à des outils que les journalistes seront amenés à creuser par la suite.
[credits] Je tiens à remercier @demainlaveille (site) pour ses photos qui claquent plus que les miennes 
Merci !
Très bon résumé de la journée que je n’ai pas encore eu le temps de bloguer..
Merci
PS: à propos des « VRP », Frédéric et Marco de Satorys on offerts gratuitement aux participants un accès OpenVpn de un an. C’est à souligné.J’en profite pour re-re-mercier encore RSF et Stéphane Koch pour son accueil sa disponibilité, sa gentillesse.
Effectivement, merci de le rappeler. Il me semble que Léo Bolchanine a parlé de donner gratuitement l’accès à certains services mais je ne me souviens plus de la teneur exacte de cette proposition.
Merci à tous pour cette journée, vous fûtes géniaux
Merci pour ce compte rendu
En effet, l’openVPN (www.safetyoverip.com / SOIP) a été offert aux participants et sera aussi mis à disposition gratuitement à des journalistes, ONG ou bloggeurs agréés par RSF Suisse ou international, l’idée étant d’offrir ce service à des personnes qui se rendent sur le terrain. La seule « contrepartie » demandée étant un retour d’expérience lié à l’utilisation du service.
Concernant ADEYA (www.adeya.ch), une société spécialisée dans la sécurité des mobiles et plus précisément le chiffrement des communications, elle va aussi offrir son produit à des personnes répondants aux conditions susmentionnées, mais uniquement par le biais de RSF CH (www.rsf-ch.ch).
Je désire remercier encore une fois les intervenants, non seulement pour la grande qualité de leurs interventions, mais aussi pour leur engagement et leur disponibilité !
Thanks for a great article. I don’t really read french, but I can add that the Macbook runs Ubuntu Linux. So it is a real computer
Yes, and you covered it with great stickers, so you don’t have to apologize for using apple stuff
@stephane : merci pour les précisions
Voici une initiative qui a le mérite d’être utile. Tant d’expatriés pourraient en être informé.Il est vrai que les ONG surtout Humanitaire devraient elles aussi être briefées surtout dans les formations style Humacoop ou autres.Ces structures sont souvent de bonnes sources pour l’info car elles sont au cœur des conflits ou autres et sont de surcroit en collaboration avec le terrain mais leurs expatriés sont dépourvus de connaissance sécurité informatique. Alors Bravo à RSF pour cette initiative et aussi grand Bravo aux intervenants.Affaire à suivre
Entièrement d’accord avec toi. La petite déception était qu’il y avait peu de participants. D’après un journaliste, la raison de cette désertion serait que le boulot de journaliste étant déjà très prenant, peu ont la motivation de passer une journée entière en week-end à parler boulot…
Mais bon je pense que cette première session permettra de débroussailler ce genre de problèmes, et d’améliorer constamment la qualité de l’événement, et la quantité de participants.