Sécurité et anonymat sur MIA

Si publier sur MIA n’est pas un crime, ni un délit, mieux vaut prévenir que guérir. Nous t’incitons donc à la plus grande confidentialité, pour te protéger toi, et pour ne pas mettre en danger les autres. Nous faisons ce que nous pouvons de notre côté pour que la navigation sur le site soit sécurisée, mais nous t’encourageons à également prendre en charge ta propre sécurité informatique.

Au fil de ce texte, nous allons discuter des pratiques et des outils pour pouvoir publier des textes de manière sécurisée sur MIA. Comme en manif, il n’existe pas sur internet de sécurité garantie à 100%, mais des niveaux de protection différents. Par conséquent, avant de mettre en place une politique de sécurité ultra-lourde à tout instant, ou au contraire de baisser les bras, la première chose à faire est d’évaluer son niveau de risque. Pour ce faire, vous pouvez consulter le chapitre Choisir des réponses adaptées du Guide d’autodéfense numérique.

La sécurité informatique est toujours une affaire de «  compromis convenable entre la facilité d’utilisation et le niveau de protection souhaité . » [1] La publication d’articles sur MIA ne fait pas exception. Le site offre un compromis de sécurité par défaut, qui peut se révéler suffisant ou non en fonction du type de contenu que vous souhaitez publier et du niveau d’anonymat que vous souhaitez maintenir.

Si le contenu que vous voulez proposer peut vous mettre en danger (justice, boulot, etc), nous vous invitons à ne pas vous reposer sur les mesures de sécurité du site, mais à mettre en place les vôtres en amont. Vous pouvez consulter « Ce que vous pouvez faire pour augmenter votre sécurité lorsque vous écrivez sur MIA », ou nous écrire à marseille-infos-autonomes.riseup.net.

Ce que fait MIA pour la sécurité des personnes qui consultent le site ou proposent des articles

Un site et un serveur sécurisé :

  • Dès le passage dans l’interface de publication, toute connexion est automatiquement chiffrée (le s de https) : si quelqu’un·e écoute votre ligne ou demande vos logs, on saura que vous vous êtes allé·e sur Marseille Infos Autonomes, pas ce que vous avez lu ou écrit. Le https est également disponible sur l’interface publique (le site lui-même).
  • le site est mis à jour dans les plus brefs délais (quelques heures au maximum) dès qu’une faille de sécurité est annoncée sur Spip, le logiciel qui le fait tourner, idem pour le serveur ;
  • le site est hébergé aux Etats-Unis, où il n’y a pas d’obligation de conservation des logs (les informations de connexion des utilisateurs·trices au site) ;
  • un soin particulier est apporté à la sécurité du serveur, dont on maîtrise la configuration, pour prévenir tout piratage ;
  • le serveur est chiffré ;
  • il est hébergé dans un data-center avec d’autres serveurs militants.

Un logiciel de publication opacifié :

Nous avons apporté quelques modifications à Spip afin de limiter les renseignements disponibles qui permettraient d’obtenir des informations sur un pseudo :

  • un plugin maison efface automatiquement les métadonnées des photos ajoutées aux articles (voir plus bas) ;
  • la liste des auteur·es n’est pas accessible aux rédacteurs et rédactrices.
  • les rédacteurs et rédactrices ne peuvent pas facilement voir les informations associées à un·e auteur·e, c’est-à-dire ni le nombre et le titre des articles qu’ille a publié, ni le mail associé à son compte ;
  • enfin, comme sur tous les sites Spip, les mots de passe de connexion au site sont automatiquement chiffrés. C’est-à-dire qu’ils sont illisibles pour un·e humain·e, y compris les admins.

Un mot sur l’ajout de photos et les métadonnées

Le fait d’avoir de belles images enrichie énormément un article, mais les photos peuvent aussi être de gros mouchards, sur la personne qui les prend, celle qui les diffuse, et bien sur les personnes qui sont sur la photo ! C’est pourquoi :

  • nous avons un plugin qui efface les métadonnées des photos que vous téléversez sur le site ;
  • nous vous demandons de réfléchir à la pertinence de publier telle ou telle image avant de le faire, et de flouter les visages des personnes, même si elles ne sont pas en train de commettre une action illégale ou "répréhensible" (à moins que cette photo ait déjà été publiée ailleurs ou que vous ayiez le consentement de la ou les personnes).
Des ressources ici sur comment flouter ses photos, [2] et ici sur la photographie/vidéo en manif. [3]

Les métadonnés

En plus des informations contenues dans un fichier, il existe des informations accompagnant celui-ci, qui ne sont pas forcément visibles de prime abord : date de création, nom du logiciel, de l’ordinateur, etc. Ces « données sur les données » s’appellent communément des « méta-données ». [4]

Dans le cas de photos, ces métadonnées contenue dans le fichier peuvent contenir : le modèle de l’appareil, l’heure et la localisation de la prise de la photo, et même une miniature de l’image originale (rendant l’éventuel floutage ultérieur inutile) ! Tout un tas d’informations dont il est bon de se débarrasser. MIA le fait automatiquement, mais si vous avez une image particulièrement sensible il peut être de bon de le faire soi-même auparavant (voir ci-dessous).

Ce que vous devez faire pour votre sécurité lorsque vous écrivez sur MIA

Lorsqu’on crée un compte sur Marseille Infos Autonomes pour pouvoir proposer des articles à la publication, il nous est demandé un pseudo et une adresse email. Ceci répond à deux besoins. Sur MIA les publications passent en modération partagée dans l’espace col­la­bo­ra­tif du site avant d’être visibles sur le site public. C’est pour permettre cette modération et des discussions sur le texte proposé (demande de précisions, d’ajout, etc.) que les auteur·es sont invité·es à laisser un email de contact. L’usage régulier d’un même pseudo permet aussi au collectif de savoir que les infos viennent d’une personne ou d’un collectif de confiance.

Attention : Si votre pseudo n’est pas visible sur un article depuis l’espace public, il apparaît cependant dans l’espace collaboratif. C’est pourquoi on parle de pseudonymat et pas d’anonymat. De plus, lorsqu’un commentaire est posté en-dessous d’un article en cours de modération, il est envoyé automatiquement à l’adresse mail lié à votre compte. [5]

Par conséquent, nous vous conseillons de :

  • Utiliser un pseudo qui ne permette pas de vous identifier facilement.
  • Utiliser une adresse email sécurisée (Riseup, Autistici, Protonmail...), et qui soit différente de votre adresse mail que vous utilisez de manière "officielle". Il peut être préférable de créer une adresse email spécialement dédiée à votre compte sur MIA.
  • Faire attention à ce que vous écrivez dans les forums sous les articles (ne laissez pas votre numéro de téléphone, évitez de faire des confidences).

Pour qu’un pseudo protège efficacement votre identité, il est important de maintenir différentes identités contextuelles. Par exemple l’usage d’un même pseudo pour relayer les activités de trois collectifs différents laisse à penser que la personne derrière ce pseudo est impliquée dans ces trois collectifs... ce qui n’est sûrement pas le cas de plus d’une poignée de personnes ! Pour plus d’infos sur les identités contextuelles, consultez le guide d’autodéfense numérique.

Ce que vous pouvez faire pour augmenter votre sécurité lorsque vous écrivez sur MIA

Le site propose un ensemble d’outils pour sécuriser les rédacteurs et rédactrices. Néanmoins, si l’information que vous souhaitez partager peut vous mettre en danger, il peut être souhaitable de les doubler de différentes pratiques.

Sur le site

Utilisez un mail à usage unique pour créer un compte. De préférence soit une adresse classique créée pour l’occasion, ou un alias de votre boîte mail Riseup [6]. Vous pouvez aussi utiliser des services email antispam jetables, tel que Yopmail ou Guerrilla Mail, mais ce n’est pas idéal. [7] Dans tous les cas utilisez une connexion ne permettant pas de vous identifier (via Tor, un VPN ou un point d’accès public, voir ci-dessous).

Par contre, supprimer son pseudo après proposition à la publication est une fausse sécurité  : le pseudo de l’auteur·e d’un article, même après suppression de son association à un article, est accessible aux admins (ou à une intrusion malveillante qui réussirait à obtenir un mot de passe admin ou à récupérer la base de données). Dans le cas où l’auteur·e supprime son pseudo avant même de proposer son article, il ne peut plus ensuite ni le proposer à la publication, ni le modifier.

Votre connexion internet

Masquez votre adresse IP ! De cette manière il sera plus difficile de relier votre identité et votre navigation internet.

  • Depuis chez vous, utilisez Tor Browser, ou un VPN, tel que le VPN de Riseup. Attention, l’utilisation de Tor ou d’un VPN n’est pas une solution magique ! Prenez le temps de vous renseigner sur la protection que ces services offrent et n’offrent pas. [8]
  • Depuis un cybercafé ou un autre lieu où vous pouvez avoir accès à un ordinateur de manière anonyme. Cette méthode est susceptible d’être interceptée et peut laisser des traces physiques (caméras de vidéosurveillance, etc.). De plus, cela implique de ne pas faire un usage autre d’internet sur le même ordinateur qui pourrait vous identifier (se connecter à son compte Facebook par exemple).

Accédez au site via notre adresse en .onion : wx4j4vmarsinfoxe.onion. Il suffit d’installer Tor Browser pour y accéder. Cela permet de publier et d’échanger de la manière la plus sécurisée possible sur le site. Cela rend impossible techniquement de savoir que vous vous rendez sur Marseille Infos Autonomes si on écoute votre connexion (avec tout de même les même réserves évoquée ci-dessus dans le "pas de solution magique"). A noter que l’accès au site en .onion est obligatoirement chiffré, à la différence d’une simple connexion avec Tor sans https.

Votre ordinateur

On a beau vouloir anonymiser sa navigation en ligne, la plus grosse faille de sécurité reste souvent son propre ordinateur. Pour plus d’information à ce sujet vous pouvez consulter le Guide d’autoféfense numérique. Une première chose à faire peut être de chiffrer son disque dur, afin que tout ce vous avez fait sur votre ordinateur ne soit pas facilement accessible à la première perquisition. [9]

Utilisez Tails. Tails est un système d’exploitation live [10] amnésique que l’on peut facilement installer sur une clé usb. Lorsque vous utilisez Tails, vous ne laissez pas de trace sur l’ordinateur que vous utilisez, et une fois la clé usb retirée elle "oublie" tout ce que vous avez fait. De plus, un ensemble de logiciels permettant de naviguer internet de manière anonyme, de chiffrer ses emails etc. sont déjà installés. Voici un tutoriel sur l’utilisation de Tails.

Les fichiers que vous téléversez

Bien que MIA soit doté d’un plugin effaçant les métadonnées, il est facile de le faire soi-même. Vous pouvez utiliser les logiciels Exiftools sur Windows et Mac, et MAT sur Linux. MAT est déjà installé dans Tails.

En attendant de vous lire sur MIA !

Pour de plus amples informations sur la sécurité informatique, nous vous invitons à consulter le Guide d’autodéfense numérique.

Notes :

[1Guide d’autodéfense numérique Tome 1. https://guide.boum.org/tomes/1_hors_connexions/unepage/

[5Mettons par exemple que vous voulez faire fuiter des informations sensibles concernant l’entreprise pour laquelle vous travaillez. Si vous utilisez votre adresse email professionnelle pour créer un compte sur MIA et pour révéler ces informations dans un article, les commentaires postés en-dessous de l’article lors de sa modération arriveront à l’adresse email de votre profil, dans ce cas votre adresse professionnelle. Ce qui veut dire que votre entreprise aura alors en mémoire sur ses serveurs un email liant votre adresse email et le titre de l’article !

[6Pour une description détaillée de la fonction Alias de Riseup, rendez-vous ici.

[7Avec Yopmail, l’accès à la boite mail se fait directement grâce à l’adresse mail générée automatiquement, sans mot de passe, ce qui veut dire que les admins du site peuvent y avoir accès. Avec Guerilla Mail, les emails reçus s’autodétruisent après une heure, ce qui peut rendre la discussion entre l’équipe de modération et l’auteur·e un peu compliqué...

[8Renseignez-vous en général sur les services que vous utilisez. Ci-dessous les liens vers les infos sur Riseup et Tor :

[9Quel qu’en soit le motif, les keufs ont la fâcheuse manie d’embarquer tout le matériel informatique (ordis, clés usb, téléphones...) présent dans le domicile, quelqu’en soit le propriétaire.

[10Un système d’exploitation live est un système d’exploitation installé sur un support tel qu’un CD ou une clé usb, qu’on peut choisir de lancer au démarrage de son ordinateur plutôt que d’utiliser le système d’exploitation déjà installé sur son ordinateur.

PS :

Liste des tutos, aide à l’écriture et ressources MIA : Nouveaux tutoriels MIA.

A lire aussi...