Publier sur Trognon.info avec une sécurité maximale !

Trognon.info propose à chacun·e de publier infos, textes, photos... (à condition de respecter le texte d’intention). Mais l’utilisation d’internet n’est pas sans risque, et, pour une raison ou pour une autre, l’auteur·e de la publication peut souhaiter une sécurité maximale. Voici quelques conseils dans ce sens, c’est l’occasion aussi de préciser la sécurité mise en place sur le site.

Avant tout chose, ce guide doit se lire à la suite de Comment publier ?

Pour rappel, sur Trognon.info, les publications passent en modération partagée dans l’espace privé du site avant d’être visibles sur le site public. C’est pour permettre cette modération et des discussions sur le texte proposé (demande de précisions, d’ajout, etc.) que le ou les auteur·es sont invité.es à laisser un mail de contact. L’usage régulier d’un même pseudo permet aussi au collectif de savoir que les infos viennent d’une personne ou d’un collectif de confiance.

Voici quelques éléments sur ce que le site propose comme sécurité, et ce que vous pouvez faire en fonction du niveau de discrétion que vous souhaitez ou de la menace dont vous désirez vous protéger.

Ce que fait Trognon.info pour la sécurité des personnes qui consultent le site ou proposent des articles

Un site et un serveur sécurisé :

  • Dès le passage dans l’interface de publication, toute connexion est automatiquement chiffrée (le « s » de https dans la barre d’adresse) : si quelqu’un écoute votre ligne ou demande vos logs, on saura que vous vous êtes allé·e sur Trognon.info, pas ce que vous avez lu ou écrit. Le https est également disponible sur l’interface publique (le site lui-même).
  • le site est mis à jour dans les plus brefs délais (quelques heures au maximum) dès qu’une faille de sécurité est annoncée sur Spip, le logiciel qui le fait tourner, idem pour le serveur ;
  • le site est hébergé aux Etats-Unis, où il n’y a pas d’obligation de conservation des logs (les informations de connexion des utilisateurs·trices au site) ;
  • un soin particulier est apporté à la sécurité du serveur, dont on maîtrise la configuration, pour prévenir tout piratage ;
  • le serveur est chiffré ;
  • il est hébergé dans un data-center avec d’autres serveurs militants.

Un logiciel de publication opacifié :

Nous avons apporté quelques modifications à Spip afin de limiter les renseignements disponibles qui permettraient d’obtenir des informations sur un pseudo :

  • un plugin maison efface automatiquement les métadonnées des photos ajoutées aux articles (voir plus bas) ;
  • la liste des auteur·es n’est pas accessible aux rédacteurs et rédactrices.
  • les rédacteurs et rédactrices ne peuvent pas facilement voir les informations associées à un·e auteur·e, c’est-à-dire ni le nombre et le titre des articles qu’ille a publié, ni le mail associé à son compte ;
  • enfin, comme sur tous les sites Spip, les mots de passe de connexion au site sont automatiquement chiffrés. C’est-à-dire qu’ils sont illisibles pour un·e humain·e, y compris les admins.

Ce que vous pouvez faire pour votre sécurité lorsque vous écrivez sur Trognon.info ou consultez le site

Le site repose sur le pseudonymat : vous pouvez ainsi choisir un nom de compte qui ne permette pas de vous identifier si vous en éprouvez le besoin. Cela ne permet pas à la police ou à d’autres personnes malveillantes de vous reconnaître, mais cela facilite la discussion et la confiance de vos proches ou de personnes de Trognon. Quelques conseils pour cela :

  • faire attention à ce que vous écrivez dans les forums sous les articles par exemple (ne laissez pas votre numéro de téléphone, évitez de faire des confidences). Il arrive qu’on supprime des messages dans les forums internes pour ces raisons.
  • distinguer les utilisations de ses comptes « rédacteur » : ne pas utiliser par ex. un compte créé pour publier régulièrement des infos de tel ou tel collectif pour ensuite proposer avec le même compte le récit d’une action dont les auteur·es veulent rester discret·es.
  • utiliser un mail jetable pour créer un compte, par exemple avec Yopmail et Mailinator (sauf piratage, seuls les administratrices pourront voir ce mail, cf. plus haut). Par exemple, je décide de me créer une adresse mail « toto45 chez yopmail.com » pour un compte Trognon que je n’utiliserai qu’une fois pour un article précis. Si vous avez utilisé une connexion ne permettant pas de vous identifier (via Tor, un VPN ou un point d’accès public), il sera impossible pour la justice de prouver que vous êtes l’utilisateur ou l’utilisatrice spécifique de cette boite mail.
  • vous pouvez depuis peu créer un alias de votre boîte mail Riseup : avec ce dispositif, impossible de savoir que l’adresse mail anar75019 chez riseup.net utilisée pour la création d’un compte est reliée à bibibolduc chez riseup.net que vous utilisez depuis des années.
  • Par contre, supprimer son pseudo après proposition à la publication est une fausse sécurité : le pseudo de l’auteur·e d’un article, même après suppression de son association à un article, est accessible aux administrateurs et administratrices (ou à une intrusion malveillante qui réussirait à obtenir un mot de passe administrateur ou à récupérer la base de données). Dans le cas où l’auteur·e supprime son pseudo avant même de proposer son article, il ne peut plus ensuite ni le proposer à la publication, ni le modifier.

Si vous estimez ne pas pouvoir vous reposer sur les dispositifs de sécurité de Trognon (on n’est pas à l’abri d’une défaillance)

Le site propose un ensemble d’outils pour sécuriser les rédacteurs et rédactrices. Néanmoins, si l’information que vous souhaitez partager peut vous mettre en danger, il peut être souhaitable de les doubler de différentes pratiques :

  • masquer votre IP : de chez vous, vous pouvez utiliser un VPN comme celui de Riseup ou en installer en quelques minutes Tor, avec le Tor Browser [1]... Vous pouvez aussi utiliser un point d’accès Wifi ou autre depuis un lieu public (café, bibliothèque, administration…). Attention, cette méthode est susceptible d’être interceptée et peut laisser des traces physiques (caméras de vidéosurveillance, etc.).
  • accéder au site via notre adresse en .onion : http://dd2jwynjusdo6rhqkpdchgfftt7zohwxe4hzkx42mfaokwaqh3kabuqd.onion/
  • Il suffit d’installer Tor Browser pour y accéder. Cela permet de publier et d’échanger de la manière la plus sécurisée possible sur le site. Cela rend impossible techniquement de savoir que vous vous rendez sur Trognon si on écoute votre connexion. A noter que l’accès au site en .onion est obligatoirement chiffré, à la différence d’une simple connexion avec Tor sans https.
    - envoyer votre texte au collectif d’animation via un mail chiffré [2]. [Voici notre clé PGP publique. A noter que faute de temps, l’équipe de modération ne peut pas toujours assurer une publication rapide des mails reçus. Cela nous rajoute également beaucoup de travail.
  • supprimer vous-même les métadonnées de vos fichiers ajoutés à un article, avec par exemple les logiciels Exiftools pour Windows ou Mac, et Mat sur Linux.
    Pour vérifier les métadonnées d’une image avant (ou même après) publication, il y a par exemple ce site : metapicz. A priori, quand vous proposez une image en illsutration d’une de vos publications, l’image est automatiquement « nettoyée » de ses métadonnées (les infos associées à l’image qui peuvent indiquer quand elle a été créée, où, avec quelle machine, etc.)
  • Si vous décidez de changer votre mot de passe fourni lors de l’inscription [3], nous vous conseillons fortement d’utiliser un mot de passe spécifique à Trognon (et un mot de passe unique par compte en général). À noter que le logiciel KeePassXC permet de conserver de manière sécurisée un grand nombre de mots de passe pour ne pas avoir à les mémoriser et éviter d’utiliser tout le temps les mêmes.

Pour toute question supplémentaire ou point qui resterait obscur, n’hésitez pas à contacter le collectif d’animation, via le mail trognon-info chez riseup ou quand vous nous croisez.

Au-delà de ces informations spécifiques à Trognon et au réseau Mutu, des ressources sont disponibles sur la sécurisation des pratiques numériques pour comprendre les enjeux et mettre en place des solutions.
Cette page un peu datée en recense quelques unes

Le site paris-luttes.info - dont le présent article est repris - propose aussi quelques ressources :

Une référence fiable et presque exhaustive sur le sujet : le guide d’autodéfense numérique, qui peut paraître impressionnant à première vue mais qui est vraiment pensé pour être compréhensible par des personnes non-spécialistes. Il ne s’agit pas forcément de le lire du début à la fin, mais il y a une table des matières qui permet d’accéder à des explications et des tutoriels détaillés pour plein de cas d’usage différents. Vous aurez compris qu’on le recommande chaudement !

Notes :

[1Plus d’infos sur Tor dans cet article. Vous pouvez le télécharger ici

[2Si même avec votre mail vous craignez de laisser des traces en nous envoyant un message chiffré à Trognon-info chez riseup.net, vous pouvez combiner mail jetable créé sous Tor et envoi d’un mail chiffré à notre intention (en n’oubliant pas de nous joindre la clé publique de cette adresse temporaire pour qu’on puisse vous répondre). Évidemment il est préférable d’utiliser une boîte mail sécurisée, par exemple Riseup ou Autistici, éventuellement créée pour l’occasion. Et surtout pas des fournisseurs qui collaborent avec le gouvernement français (Google, Yahoo, Hotmail…). Le service de mail de Riseup a un avantage : il est sous juridiction américaine, ce qui complique notablement l’accès aux serveurs. L’envoi de mail entre adresses riseup et autistici a cela d’intéressant qu’elles ne transitent pas hors des serveurs propres (ou bien via un réseau privé virtuel crypté).

[3Vous pouvez changer votre mot de passe en vous rendant sur votre page d’utilisateur. Pour cela, cliquez sur votre pseudo tout en haut à gauche dans l’interface de publication.

A lire aussi...