SecureDrop
plate-forme de communication sécurisée pour la protection des lanceurs d'alerte
From Wikipedia, the free encyclopedia
SecureDrop est une plateforme logicielle libre de communication sécurisée entre journalistes et sources (lanceurs d'alerte)[3].
Histoire
SecureDrop est initialement conçu et développé par Aaron Swartz et Kevin Poulsen sous le nom de DeadDrop[4],[5]. James Dolan (en) a également co-créé le logiciel[6].
Après la mort d'Aaron Swartz, la première instance de la plate-forme est lancée sous le nom de Strongbox par le personnel du New Yorker le [7]. La Fondation pour la liberté de la presse reprend le développement de DeadDrop sous le nom de SecureDrop[8] et aide depuis à son installation dans plusieurs organes de presse, notamment ProPublica, The Guardian, The Intercept et The Washington Post [9],[10],[7].
Sécurité
SecureDrop utilise le réseau Tor pour faciliter la communication entre les lanceurs d'alerte, les journalistes et les organes de presse. Les sites SecureDrop ne sont donc accessibles qu'en tant que services dans le réseau Tor. Lorsqu'un utilisateur visite un site web SecureDrop, il reçoit un nom de code généré de manière aléatoire[7]. Ce nom de code est utilisé pour envoyer des informations à un auteur ou un éditeur particulier via le téléchargement. Les journalistes d'investigation peuvent contacter le lanceur d'alerte via la messagerie SecureDrop. Par conséquent, le dénonciateur doit prendre note de son nom de code aléatoire[4].
Le système utilise des serveurs informatiques privés et séparés qui sont en possession de l'agence de presse. Les journalistes utilisent deux clés USB et deux ordinateurs personnels pour accéder aux données SecureDrop[4],[7]. Le premier ordinateur personnel accède à SecureDrop via le réseau Tor, et le journaliste utilise le premier lecteur flash pour télécharger des données chiffrées depuis le serveur SecureDrop. Le deuxième ordinateur personnel ne se connecte pas à Internet et est effacé à chaque redémarrage[4],[7]. Le deuxième lecteur flash contient un code de déchiffrement. Le premier et deuxième lecteur flash sont insérés dans le deuxième ordinateur personnel et le matériel devient disponible pour le journaliste. L'ordinateur personnel est éteint après chaque utilisation[4].
La Freedom of the Press Foundation déclare qu'elle ferait auditer le code SecureDrop et l'environnement de sécurité par un tiers indépendant avant chaque version majeure de la version, puis publierait les résultats[11]. Le premier audit est mené par des chercheurs en sécurité de l'Université de Washington et Bruce Schneier[12]. Le deuxième audit est réalisé par Cure53 (en), une société de sécurité allemande[11].
SecureDrop suggère aux sources de désactiver JavaScript pour protéger leur anonymat[13].
Organisations de premier plan utilisant SecureDrop
La Freedom of the Press Foundation tient désormais un répertoire officiel des instances SecureDrop. Il s'agit d'une liste partielle d'instances dans des organes de presse de premier plan[14].
| Nom de l'organisation | Date de mise en œuvre |
|---|---|
| The New Yorker[4],[15] | |
| Forbes[15],[16],[17],[18] | |
| Bivol[15],[19] | |
| ProPublica[15],[20],[21] | |
| The Intercept[15],[22] | |
| San Francisco Bay Guardian (en)[15],[23] | |
| The Washington Post[15],[24] | |
| The Guardian [15],[3] | |
| The Globe and Mail[15],[25] | |
| Radio Canada | |
| Société Radio-Canada[15],[26] | |
| Associated Press | |
| The New York Times[15],[27] | |
| BuzzFeed News | |
| USA Today[15],[28] | |
| Bloomberg News | Inconnue |
| The Wall Street Journal | Inconnue |
| Aftenposten | Inconnue |
| Disclose[29] | Inconnue |
| Société de radiodiffusion australienne[30] |
Récompenses
- 2016 : Free Software Foundation, Free Software Award, Award for Projects of Social Benefit[31]
