Protéger ses Sources et son Enquête
Suivant →

Introduction

L'investigation est une guerre asymétrique. Pour un journaliste, la sécurité n'est pas un produit qu'on achète, mais une culture que l'on cultive. Ce guide détaille les couches de protection nécessaires pour passer sous les radars des puissants.

1. Modélisation de la Menace (Threat Modeling) 🎯

Intelligence Linked

Avant de sécuriser, demandez-vous : Qui veut m'arrêter ?

  • Adversaire de bas niveau : Un individu malveillant, un troll. Protection : VPN + 2FA.

  • Adversaire de haut niveau : Une organisation criminelle, un service de renseignement. Protection : Tor + Isolation totale + Chiffrement PGP.

2. Isolation & Hygiène de Navigation 🌐

Intelligence Linked

Ne mélangez jamais votre vie privée et vos enquêtes.

A. Firefox & Brave (Navigateurs de Défense)

  • Firefox : Le plus malléable pour l'investigation, permettant une configuration poussée.
  • Brave : Offre un blocage natif des traqueurs et une protection renforcée par défaut.

B. uBlock & Privacy Badger (Filtrage de Données)

  • uBlock Origin : L'extension indispensable pour bloquer les scripts de tracking et les malwares publicitaires.
  • Privacy Badger : Développé par l'EFF, il neutralise les espions invisibles qui vous suivent de site en site.

C. Cloud Isolation (Kasm & Browserling)

Pour les sites "haut risque", utilisez Kasm Workspaces ou Browserling. Le site s'exécute sur un serveur distant (Sandbox) ; si un malware s'y trouve, il meurt avec la session sans jamais toucher votre ordinateur à Tunis.

D. VPN No-Log (Proton VPN & Mullvad)

Utilisez un VPN de confiance (Proton VPN ou Mullvad) pour masquer votre adresse IP tunisienne. Cela empêche les cibles de savoir que les consultations proviennent de votre rédaction.

3. L'Art du "Sock Puppet" (Identité Fantôme) 🎭

Intelligence Linked

Un enquêteur ne surveille pas une cible avec son propre nom. Vous devez "exister" sans être vous.

A. Identité Numérique (Noms & Profils)

  • Identité Numérique : Utilisez des noms crédibles mais fictifs. Ne volez jamais l'identité d'une personne réelle.
  • L'Image de Profil : Évitez les visages parfaits générés par IA. Préférez des photos neutres.

B. Burner Phones (SmsPool & Silent.link)

Pour valider vos comptes, utilisez des services comme SmsPool ou Silent.link (eSIM) pour obtenir un numéro étranger anonyme. Évitez d'utiliser votre carte SIM personnelle pour recevoir un code de vérification Facebook.

4. Communication & Chiffrement de Pointe 📞

Intelligence Linked

A. Signal (Le Standard Press)

Abandonnez WhatsApp pour vos sources. Signal ne stocke aucune métadonnée. Activez les "Messages éphémères" pour une sécurité maximale.

B. Mailvelope & PGP (Chiffre Expert)

Pour les emails ultra-sensibles, utilisez PGP (Pretty Good Privacy). Installez Mailvelope pour navigateur ou Gpg4win/Kleopatra sur Windows. Cela garantit l'illisibilité totale des messages interceptés.

C. OnionShare (Dead Drop anonyme)

OnionShare crée un point de dépôt temporaire via le réseau Tor. Le transfert se fait en direct de votre PC à celui de votre source, sans serveur tiers.

D. Wormhole & Send (Échange Rapide)

Utilisez Wormhole.app ou Send.vis.ee pour envoyer des fichiers chiffrés qui s'auto-détruisent après une seule lecture. Idéal pour la rapidité.

5. Nettoyage & Exfiltration de Preuves 🧼

Intelligence Linked

A. ExifCleaner & MAT2 (Nettoyage de Médias)

Avant de publier une preuve, retirez les mouchards GPS invisibles. ExifCleaner offre une interface simple, tandis que MAT2 est l'outil de référence pour un nettoyage profond.

B. VeraCrypt (Le Coffre-fort local)

Toutes vos preuves (fichiers RNE, documents fuités) doivent être stockées dans un volume chiffré via VeraCrypt. Créez des zones cachées pour une dénégation plausible en cas de pression.

⚖️ Éthique & Droit en Tunisie

L'investigation OSINT n'est pas un permis de tout faire.

  • Décret-loi n° 2011-115 : Vous protège dans l'exercice de votre métier si vous agissez pour l'intérêt public.

  • Règle d'or : Ne piratez jamais. N'accédez à aucun système par effraction. La force de Ba7ath est de trouver ce qui est public mais caché, pas ce qui est privé et verrouillé.

🕵️ Exercice Final : Le "Self-Audit"

Appliquez les techniques des modules précédents sur vous-même.

  1. Recherchez votre propre numéro de téléphone sur le web.
  2. Vérifiez si vos photos publiées sur Facebook contiennent encore des données GPS.
  3. Si vous vous trouvez en moins de 10 minutes, vos cibles le feront aussi. Il est temps de nettoyer.

📋 Checklist Ba7ath : Protocole de Pré-Publication

Règle d'or : Une fois en ligne, une erreur de sécurité est indélébile. Prenez 5 minutes pour passer ce protocole, c'est votre assurance-vie et celle de vos sources.

1. Nettoyage des Médias (Le "Scrubbing")

Checklist

Suppression des métadonnées EXIF

J'ai passé toutes les photos et vidéos dans ExifCleaner ou MAT2. (Plus de coordonnées GPS, plus de modèle d'appareil).

Analyse des propriétés de documents

Pour les PDF ou Word, j'ai vérifié qu'il n'y a pas mon nom ou le nom de mon organisation dans les "Propriétés du document".

Vérification des reflets

J'ai zoomé sur les vitres, lunettes ou miroirs dans les photos pour m'assurer que l'enquêteur (moi) n'est pas visible.

Floutage stratégique

J'ai flouté les visages des passants non concernés et les plaques d'immatriculation tiers pour éviter les plaintes en respectant le cadre légal tunisien.

Section validée.

2. Étanchéité de la Source

Checklist

Origine de la preuve

Si le document vient d'un "Dead Drop" (OnionShare), j'ai bien fermé le serveur après réception.

Anonymisation du texte

Si je cite un document fuité, j'ai vérifié qu'il ne contient pas de filigranes invisibles ou de codes (Yellow Dots) qui pourraient identifier le lanceur d'alerte original.

Canal de discussion

Toute la discussion finale avec la source a été passée en "Messages éphémères" sur Signal (destruction automatique sous 24h).

Section validée.

3. OPSEC de Diffusion (Le "Post")

Checklist

Navigation isolée

Je me connecte au back-office de mon site (ou réseaux sociaux) via un profil d'enquête dédié et un VPN (Proton/Mullvad).

Vérification du Sock Puppet

Si je publie via un profil d'identité fantôme, j'ai vérifié qu'il n'est relié à aucun de mes comptes personnels.

Timing de publication

Je ne publie pas systématiquement au moment exact où je finis l'enquête pour éviter de donner des indices sur mes horaires de travail ou ma zone géographique.

Section validée.

4. Audit de Sécurité Finale

Checklist

Test du lien

J'ai ouvert mon propre article/vidéo depuis un navigateur Kasm ou Browserling pour voir ce qu'un adversaire verrait en cliquant dessus.

Sauvegarde chiffrée

L'intégralité de mon dossier d'enquête est désormais verrouillée dans un volume VeraCrypt.

Section validée.

💡 Le Conseil Ba7ath "Le journalisme d'investigation est un marathon, pas un sprint. La précipitation est l'alliée du suspect, la patience est l'arme de l'enquêteur."

Vérification de connaissances

Quiz : Question 1

Quelle est la principale vulnérabilité de WhatsApp pour un journaliste par rapport à Signal ?

Vérification de connaissances

Quiz : Question 2

Dans le système PGP, que se passe-t-il si vous perdez votre 'Clé Privée' ?

Vérification de connaissances

Quiz : Question 3

Quel est l'intérêt d'utiliser un 'Dead Drop' numérique comme OnionShare ?