Protéger les sources des journalistes du Grand Ouest. C'est le but de GoLeaks, une plateforme de dépôt de documents sensibles, qui cherche à se financer sur Kickstarter. Derrière cette idée, un hacker et un journaliste nantais, pour qui l'expérience doit être aussi technique qu'humaine.
Le Grand Ouest aura bientôt sa plateforme de fuite de documents. Depuis la mi-décembre, le projet GoLeaks s'est lancé sur Kickstarter, demandant 5 400 euros pour permettre aux lanceurs d'alerte de l'ouest de fournir facilement aux journalistes leurs documents sensibles. Il a été fondé au printemps par deux nantais : le hacker Datapulte et Romain Ledroit, rédacteur en chef des Médias libres, qui se sont rencontrés sur un plateau de la radio associative Radio Prun'. Pour eux, les nombreux sujets polémiques de leur région manquent encore d'alertes citoyennes.
« Le déclic a été une formation donnée par un autre hacker, KheOps, au Club de la presse Nantes Atlantique. J'étais présent pour l'aider, et je me suis aperçu que tout était à faire pour la protection en ligne des sources des journalistes de région » nous explique Datapulte. Au-delà des conférences et ateliers que multiplient habituellement les hackers, il fallait une plateforme concrète pour contacter de façon sûre les bons journalistes. Que le financement réussisse ou non, elle sera lancée en janvier dans une première version, hébergée chez le fournisseur d'accès associatif FAIMaison.
Passer par Tor pour contacter des journalistes sélectionnés
Cette plateforme est fondée sur GlobaLeaks, un système open source spécifiquement conçu pour cet usage. Ce projet a été choisi face à d'autres (comme SecureDrop) parce qu'il est pensé pour être partagé entre plusieurs rédactions. Le but de GoLeaks est ainsi de pouvoir envoyer des documents ainsi que discuter avec des journalistes choisis et formés par l'équipe du service. Pour le moment, des médias nationaux et régionaux ont été contactés. De toutes tailles, assure l'équipe.
Au lancement, une dizaine de journalistes seront présents, dont probablement certains d'un petit journal vendéen. Pour chacun, le site affichera une biographie avec ses spécialités et quelques articles. Aucune rédaction ne devrait être affichée dans son ensemble. « Comme on s'intéresse aux pratiques des journalistes, cela reste assez personnel. On voulait aussi s'appuyer sur des personnalités, des gens qui ont des sensibilités pour certains sujets » précise Datapulte.
Le service sera uniquement accessible par Tor, la version sur le web classique n'étant qu'un site vitrine avec quelques tutoriels. « Même si on se fait hacker, que le hacker a accès à la base de données ou autre, la sécurité de la source est maintenue grâce à Tor » affirme l'équipe. Les administrateurs du site n'auront accès qu'au nom du fichier et l'internaute doit pouvoir maintenir son anonymat aussi longtemps que voulu.
D'un point de vue technique, la sécurité est assurée de plusieurs manières. GlobaLeaks serait en soi une base technique fiable, maintenue et auditée régulièrement. L'hébergement chez FAIMaison permet à la fois de connaître l'équipe et permet d'accéder physiquement aux serveurs en cas de besoin. Enfin, GoLeaks promet un travail constant sur la configuration et la sécurité de sa plateforme. Des audits seront menés, mais bénévolement. « Vu l'économie du projet, nous n'avons pas vraiment le choix » défend Datapulte.
Initier les journalistes et les internautes à la sécurité
Si la plateforme est le support du projet, ce n'est pas son seul objectif. « Le gros défi est de sensibiliser les citoyens à cette possibilité de transmettre des documents d'utilité publique sans le compromettre » affirme le hacker, selon lequel la majorité du budget passera dans cette sensibilisation. Ils comptent ainsi se rendre un peu partout dans le Grand Ouest pour rencontrer citoyens et journalistes pour les former.
Des rencontres avec des journalistes sont déjà prévues, par exemple au Télégramme à Saint-Brieuc, en plus de déplacement à Brest ou Saint-Malo par exemple. Le but sera notamment de les former à certains outils, comme le PGP ou Telegram. Pour le grand public, la méthode sera un peu différente. « On va se déplacer sur tout le territoire pour faire connaître la plateforme et améliorer les pratiques de chacun. Le but est de partir de problématiques quotidiennes (comme protéger sa carte bancaire en ligne) pour, de fil en aiguille, aller un petit peu plus loin » prévoit l'équipe de GoLeaks.
Pour trouver ses informations, la plateforme fonctionnera par campagnes de recherche, de trois mois. De quoi assurer une certaine clarté sur les sujets traités et relancer régulièrement l'intérêt autour du service.
Le projet est soutenu par plusieurs organisations, comme le Club de la presse Nantes Atlantique et Reporters sans frontières. Ces derniers pourront entre autres intervenir lors d'évènements ou fournir des accès VPN aux journalistes intéressés. GoLeaks compte aussi se rapprocher d'organisations locales (comme les Chats cosmiques ou le hackerspace de Rennes) ou nationales (comme Transparency International), qui pourront aider le projet dans ses actions.
Un financement pour tenir un an et demi
Le financement via Kickstarter doit permettre au projet de tenir un an et demi. « C'est une expérience. Comme toutes les expériences, elle a un temps donné. Ça ne veut pas dire qu'on va s'arrêter dans 18 mois » déclare Datapulte, qui prévoit de trouver un autre modèle si la plateforme réussit son pari.
Une des pistes privilégiées serait une adhésion des journalistes et médias de la plateforme à une association, pour la financer. Une autre idée serait simplement de chercher des financements auprès de fondations. « Nous sommes les premiers à faire ça à l'échelle régionale et nous voulons voir ce que ça donne avant de mettre en place quelque chose d'un peu plus costaud » explique GoLeaks.
Pour le moment, le projet occupe une bonne partie du temps libre de ses initiateurs. Les déplacements réguliers seraient donc une charge supplémentaire. Si la campagne Kickstarter échoue, ils maintiendront donc la plateforme dans la limite de leurs moyens. À moyen terme, l'équipe compte lancer une deuxième version dans une autre région, avant de potentiellement mailler le territoire. Elle aurait déjà été contactée dans ce sens.
