SecureDrop, c'est un peu la boite de Pandore des journalistes pour les lanceurs d'alertes qui auront désormais un système hautement sécurisé pour dévoiler discrètement leurs documents. Il s'agît d'un système très évolué de logiciels dont le but est de créer un coffre-fort chiffré capable de recevoir des documents sensibles, tout en permettant aux sources qui l'utilisent de rester anonymes, cachés derrière un "pseudo". SecureDrop est équipé d'un système de communication chiffrée et reste, bien entendu, une solution totalement open-source.
Les documents ainsi que les mails doivent être chiffrés en utilisant une clé PGP RSA de 4096bits.
À l'origine de ce concept, on retrouve le défunt et très regretté Aaron Swartz qui avait lancé ce projet sous le nom DeadDrop. The New Yorker s'est par exemple basé sur DeadDrop pour créer sa propre StrongBox. DeadDrop a été ensuite repris par la Freedom of the Press Foundation, et la solution existe désormais sous le nom SecureDrop. Récemment Forbes a présenté SafeSrouce, issue de SecureDrop, et il y en aura d'autres...
Pour pouvoir l'utiliser, il faut tout de même avoir quelques compétences en informatique, car SecureDrop n'est pas juste un simple excutable à installer sur un Windows corrompu, mais bien un ensemble de logiciels open-source basés sur Linux. SecureDrop nécessite pour commencer, du côté des plates-formes journalistiques, trois serveurs sous Ubuntu Server 12.04.3 LTS avec le patch grsec dans le kernel. L'un sera le "serveur source", l'autre, le "serveur de documents", et le dernier servira de moniteur aux deux premiers. Du côté du lanceur d'alertes mais aussi du journaliste, SecureDrop ne s'utilise qu'avec le réseau TOR où chacun aura une adresse en .onion pour communiquer. Le serveur "moniteur" sert également de serveur de mail SMTP. La fameuse distribution Tails (quelques mots à son sujet) est donc incontournable. Il faudra également pour la source qui veut envoyer ses documents, créer deux clés USB. Révéler des informations sensibles au monde entier est aujourd'hui à ce prix.
Pour de plus amples renseignements sur SecureDrop, il faut d'abord lire le manuel. Ensuite, pour l'installation de la plate-forme SecureDrop, il faut lire les instructions d'installation. Quant au projet SecureDrop, il se trouve sur github. Enfin, impossible de ne pas vous renvoyer vers l'article officiel sur SecureDrop de la Freedom of the Press Foundation.
SecureDrop, l'outil idéal pour les journalistes et lanceurs d'alertes est une publication originale sur le blog NeoSting.net
Article sous licence Creative Commons CC-By
