Publier sur MIA avec une sécurité maximale

Marseille Infos Autonomes propose à chacun·e de publier infos, textes, photos... (à condition de respecter le texte d’intention). Mais l’utilisation d’internet n’est pas sans risque, et, pour une raison ou pour une autre, l’auteur·e de la publication peut souhaiter une sécurité maximale. Voici quelques conseils dans ce sens, c’est l’occasion aussi de préciser la sécurité mise en place sur le site.

Avant tout chose, ce guide doit se lire à la suite de Comment publier ?

Pour rappel, sur Marseille Infos Autonomes, les publications passent en modération partagée dans l’espace privé du site avant d’être visibles sur le site public. C’est pour permettre cette modération et des discussions sur le texte proposé (demande de précisions, d’ajout, etc.) que le ou les auteur·es sont invités à laisser un mail de contact. L’usage régulier d’un même pseudo permet aussi au collectif de savoir que les infos viennent d’une personne ou d’un collectif de confiance.

Voici quelques éléments sur ce que le site propose comme sécurité, et ce que vous pouvez faire en fonction du niveau de discrétion que vous souhaitez ou de la menace dont vous désirez vous protéger.

Ce que fait MIA pour la sécurité des personnes qui consultent le site ou proposent des articles

Un site et un serveur sécurisé :

  • Dès le passage dans l’interface de publication, toute connexion est automatiquement chiffrée (le s de https) : si quelqu’un écoute votre ligne ou demande vos logs, on saura que vous vous êtes allé·e sur Marseille Infos Autonomes, pas ce que vous avez lu ou écrit. Le https est également disponible sur l’interface publique (le site lui-même).
  • le site est mis à jour dans les plus brefs délais (quelques heures au maximum) dès qu’une faille de sécurité est annoncée sur Spip, le logiciel qui le fait tourner, idem pour le serveur ;
  • le site est hébergé aux Etats-Unis, où il n’y a pas d’obligation de conservation des logs (les informations de connexion des utilisateurs·trices au site) ;
  • un soin particulier est apporté à la sécurité du serveur, dont on maîtrise la configuration, pour prévenir tout piratage ;
  • le serveur est chiffré ;
  • il est hébergé dans un data-center avec d’autres serveurs militants.

Un logiciel de publication opacifié :

Nous avons apporté quelques modifications à Spip afin de limiter les renseignements disponibles qui permettraient d’obtenir des informations sur un pseudo :

  • un plugin maison efface automatiquement les métadonnées des photos ajoutées aux articles (voir plus bas) ;
  • la liste des auteur·es n’est pas accessible aux rédacteurs et rédactrices.
  • les rédacteurs et rédactrices ne peuvent pas facilement voir les informations associées à un·e auteur·e, c’est-à-dire ni le nombre et le titre des articles qu’ille a publié, ni le mail associé à son compte ;
  • enfin, comme sur tous les sites Spip, les mots de passe de connexion au site sont automatiquement chiffrés. C’est-à-dire qu’ils sont illisibles pour un·e humain·e, y compris les admins.

Ce que vous pouvez faire pour votre sécurité lorsque vous écrivez sur Mars-infos.org ou consultez le site

Le site repose sur le pseudonymat : vous pouvez ainsi choisir un nom de compte qui ne permette pas de vous identifier si vous en éprouvez le besoin. Cela ne permet pas à la police ou à d’autres personnes malveillantes de vous reconnaître, mais cela facilite la discussion et la confiance de vos proches ou de personnes de MIA. Quelques conseils pour cela :

  • faire attention à ce que vous écrivez dans les forums sous les articles par exemple (ne laissez pas votre numéro de téléphone, évitez de faire des confidences). Il arrive qu’on supprime des messages dans les forums internes pour ces raisons.
  • distinguer les utilisations de ses comptes "rédacteur" : ne pas utiliser par ex. un compte créé pour publier régulièrement des infos de tel ou tel collectif pour ensuite proposer avec le même compte le récit d’une action dont les auteur·es veulent rester discret·es.
  • utiliser un mail jetable pour créer un compte, par exemple avec Yopmail et Mailinator (sauf piratage, seuls les administratrices pourront voir ce mail, cf. plus haut). Par exemple, je décide de me créer une adresse mail "toto45@yopmail.com" pour un compte Marseille Infos Autonomes que je n’utiliserai qu’une fois pour un article précis. Si vous avez utilisé une connexion ne permettant pas de vous identifier (via Tor, un VPN ou un point d’accès public), il sera impossible pour la justice de prouver que vous êtes l’utilisateur ou l’utilisatrice spécifique de cette boite mail.
  • vous pouvez depuis peu créer un alias de votre boîte mail Riseup : avec ce dispositif, impossible de savoir que l’adresse mail anar75019@riseup.net utilisée pour la création d’un compte est reliée à bibibolduc@riseup.net que vous utilisez depuis des années.
  • Par contre, supprimer son pseudo après proposition à la publication est une fausse sécurité : le pseudo de l’auteur·e d’un article, même après suppression de son association à un article, est accessible aux administrateurs et administratrices (ou à une intrusion malveillante qui réussirait à obtenir un mot de passe administrateur ou à récupérer la base de données). Dans le cas où l’auteur·e supprime son pseudo avant même de proposer son article, il ne peut plus ensuite ni le proposer à la publication, ni le modifier.

Si vous estimez ne pas pouvoir vous reposer sur les dispositifs de sécurité de Marseille Infos Autonomes (on n’est pas à l’abri d’une défaillance)

Le site propose un ensemble d’outils pour sécuriser les rédacteurs et rédactrices. Néanmoins, si l’information que vous souhaitez partager peut vous mettre en danger, il peut être souhaitable de les doubler de différentes pratiques :

  • masquer votre IP : de chez vous, vous pouvez utiliser un VPN comme celui de Riseup ou en installer en quelques minutes Tor, avec le Tor Browser [1]... Vous pouvez aussi utiliser un point d’accès Wifi ou autre depuis un lieu public (café, bibliothèque, administration…). Attention, cette méthode est susceptible d’être interceptée et peut laisser des traces physiques (caméras de vidéosurveillance, etc.).
  • accéder au site via notre adresse en .onion : vap3miljiaw72s6k4jto2xrhecodjv2hhar.... Il suffit d’installer Tor Browser pour y accéder. Cela permet de publier et d’échanger de la manière la plus sécurisée possible sur le site. Cela rend impossible techniquement de savoir que vous vous rendez sur Marseille Infos Autonomes si on écoute votre connexion. A noter que l’accès au site en .onion est obligatoirement chiffré, à la différence d’une simple connexion avec Tor sans https.
  • supprimer vous-même les métadonnées de vos fichiers ajoutés à un article, avec par exemple les logiciels Exiftools->http://owl.phy.queensu.ca/~phil/exiftool/] pour Windows ou Mac, et Mat sur les ordinateurs Linux.
  • Si vous décidez de changer votre mot de passe, fourni lors de l’inscription [2], nous vous conseillons d’utiliser un mot de passe spécifique à Marseille Infos Autonomes. À noter que le logiciel KeePassX permet de conserver de manière sécurisée un grand nombre de mots de passe pour ne pas avoir à les mémoriser et éviter d’utiliser tout le temps les mêmes.

Pour toute question supplémentaire ou point qui resterait obscur, n’hésitez pas à contacter le collectif d’animation, via le mail marseille-infos-autonomes chez riseup ou quand vous nous croisez.

Notes :

[1Plus d’infos sur Tor dans cet article. Vous pouvez le télécharger ici

[2Vous pouvez changer votre mot de passe en vous rendant sur votre page d’utilisateur. Pour cela, cliquez sur votre pseudo tout en haut à gauche dans l’interface de publication.

PS :

Pour aller plus loin :

A lire aussi...