Hacker, bidouilleur informatique, activiste… On pourrait coller beaucoup d’étiquettes sur ce Nantais surnommé Khe0ps. Lui préfère le terme de « citoyen actif » investi dans la promotion de l’accès à l’information « pour tout le monde et sans restriction ». Cet ancien du réseau Telecomix, collectif d’activistes notamment mobilisé pendant le Printemps arabe, porte un regard critique sur les pratiques numériques des médias traditionnels.
Fragil : Vous êtes intervenus à deux reprises auprès de journalistes du Club de la presse Nantes Atlantique (CPNA) sur le thème « Comment se protéger et être efficace en ligne ? ». Comment percevez-vous les pratiques numériques des journalistes que vous avez rencontrés ?
Khe0ps : Il y a un vrai gros problème. Je ne sais pas si les journalistes se rendent compte qu’ils sont un des piliers de la démocratie. Ou s’ils l’ont oublié. Ou s’ils pensent que tout va bien. En terme de protection des sources, c’est zéro. Je suis vraiment catastrophé. Je connais cinq journalistes maximum qui savent ce que ça veut dire protéger leurs sources sur internet. Les autres, on est très très loin du compte. Dans les médias locaux, je ne connais qu’une personne, à la radio Prun’, qui sache chiffrer ses mails. Mais sinon, d’une manière générale, dans la façon d’échanger des fichiers, de communiquer avec les sources d’informations, c’est du délire.
Fragil : Concrètement, quelles pratiques pointez-vous du doigt ?
Khe0ps : Discuter de sujets sensibles sur Facebook, échanger des fichiers sur Dropbox, partager les mots de passe à plusieurs… Des choses qui se font au quotidien dans les rédactions. C’est tellement facile de se faire piquer son mot de passe sur Facebook ! Mais attention, ce qu’il faut bien comprendre, c’est que, localement, l’ennemi, ce n’est pas Google, Facebook ou la NSA… La menace peut provenir d’autorités locales, de collègues peu scrupuleux, de concurrents, etc.
[aesop_image imgwidth= »75% » img= »https://www.fragil.org/wp-content/uploads/2016/08/khe0ps-hacker-fragil-2.jpg » credit= »Pierre-Adrien Roux » align= »center » lightbox= »on » caption= »Hacker, bidouilleur informatique, activiste… On pourrait coller beaucoup d’étiquettes sur ce Nantais surnommé Khe0ps » captionposition= »center »]
Fragil : Estimez-vous que les sources d’informations sont insuffisamment protégées ?
Khe0ps : Oui, c’est un peu déprimant. En théorie, je pense que la notion de protection des sources est dans la formation des journalistes. Si un journaliste n’est pas capable de protéger ses sources, celles-ci vont se tarir. Si les sources ne sont pas protégées dans leur anonymat, ça veut dire qu’elles peuvent avoir des problèmes. Pas forcément avec les autorités, mais si tu travailles sur un groupe extrémiste quelconque – un groupuscule un poil violent comme dans le foot par exemple – la personne peut se faire tabasser ou avoir des lettres de menaces et ne voudra plus parler. A contrario, un journaliste qui montre qu’il sait protéger ses sources, qu’il maîtrise quelques outils, aura plus d’informations… Attention, il ne s’agit pas d’être le meilleur techniquement, mais d’avoir une conscience. De dire, tiens, je vais rencontrer une source sensible, je vais donc laisser mon téléphone chez moi pour ne pas laisser de traces de mon passage. Juste ça. Pas besoin d’être technicien. C’est juste montrer que tu as conscience de menaces éventuelles. Le journaliste peut ainsi s’attirer la sympathie et la confiance de beaucoup de personne qui peuvent être dans une institution, une entreprise, etc. Quand tu travailles sur la ZAD de Notre-Dame-des-Landes par exemple (ou dans d’autres ZAD, NDLR), le fait d’arriver simplement avec un calepin et un stylo peut déjà faciliter le travail.
[aesop_quote type= »block » background= »#ffffff » text= »#000000″ align= »center » size= »2″ quote= »Si un journaliste n’est pas capable de protéger ses sources, celles-ci vont se tarir. Si les sources ne sont pas protégées dans leur anonymat, ça veut dire qu’elles peuvent avoir des problèmes. » cite= »Khe0ps, hacker » parallax= »off » direction= »left »]
Fragil : Ne pensez-vous pas que les journalistes sont simplement dépassés par les outils numériques ? Qu’il n’ont pas conscience des conséquences de leurs pratiques au quotidien ?
Khe0ps : C’est surtout ça effectivement. Il y a une non conscience des conséquences possibles. Mais je le comprends car l’esprit humain est très mauvais pour concevoir des conséquences lointaines, pas visibles immédiatement. Quand tu parles à quelqu’un sur Facebook, tout va bien. C’est peut-être deux mois plus tard qu’il y aura des conséquences. Peut-être même que le journaliste ne le saura même pas… Il manque aussi un tout petit socle de connaissances techniques chez les journalistes. Quand tu conduis une voiture, tu sais quand même utiliser les pédales, tu sais que tu dois mettre ta ceinture, que quand tu mets de l’essence dans le moteur ça brûle et ça fait avancer ta voiture, etc. Mais tu n’as pas besoin de tout savoir dans le détail.
Fragil : Quels sont les conseils de bases que vous donneriez aux journalistes ?
Khe0ps : D’abord, il faut éviter les discours ultra anxiogènes. Du type : la NSA espionne tout partout. Car en général, l’adversaire du journaliste, ce n’est pas la NSA, mais plutôt ceux qui voudraient s’attaquer à sa source : un collègue, un confrère qui enquête sur la même chose, etc. Le premier élément, c’est donc d’identifier une menace tangible, réelle. Ensuite, il s’agit de donner des solutions concrètes en fonction des menaces. Exemple : mon téléphone portable, quand je me balade avec, les autorités locales peuvent savoir où j’étais et à quel moment… C’est un fait. Ce n’est pas grave, il faut juste le savoir. Autre exemple : quand j’envoie des données sur internet, ça passe toujours par des intermédiaires capables de savoir quel service je visite et quelles données j’envoie. Le meilleur exemple qu’on puisse donner à un journaliste, c’est celui des fadettes du Monde qui avait enquêté sur l’affaire Bétancourt. Le patron de la Direction centrale du renseignement intérieur (DCRI) à l’époque, en dehors de tout cadre légal, avait fait remonter à Sarkozy la liste des fadettes (listing des appels téléphoniques avec heures et durées, NDLR), ce qui a permis de retrouver la source du journaliste. Le journaliste aurait mieux fait de communiquer par internet avec un logiciel sécurisé. Mille fois plus discret !
[aesop_quote type= »block » background= »#ffffff » text= »#000000″ align= »center » size= »2″ quote= »En général, l’adversaire du journaliste, ce n’est pas la NSA, mais plutôt ceux qui voudrait s’attaquer à sa source : un collège, un confrère qui enquête sur la même chose, etc. » cite= »Khe0ps, hacker » parallax= »off » direction= »left »]
Fragil : Quels conseils pratiques au quotidien ?
Khe0ps : Il n’y a pas de solution miracle qui sécuriserait tout à 100%. La protection des sources, c’est un processus, une réflexion, une manière de s’adapter à son environnement aux menaces tangibles. Après, il y a des outils à ne pas utiliser, mais dans des environnements à faible risque, pourquoi pas ! Le logiciel Skype, par exemple, si on peut s’en passer, c’est mieux, parce que quand tu l’installes, il va lire tous les favoris de ton navigateur. C’est quoi le délire ? En plus, on peut facilement utiliser des alternatives à Skype tout aussi efficace.
Fragil : L’idée est donc de faire du cas par cas, en fonction des menaces ?
Khe0ps : Tout à fait. Avoir les bons outils au bon moment. Et après, les usages évolueront. Plus on utilisera de bons outils, moins on trouvera de raisons d’utiliser les mauvais, même pour des sujets qui ne paraissent pas sensibles. C’est comme pour la ceinture de sécurité en voiture. C’est pas parce que je fais seulement 100 mètres que je ne la mets pas. Les usages ont changé.
[aesop_quote type= »block » background= »#ffffff » text= »#000000″ align= »center » size= »2″ quote= »La protection des sources, c’est un processus, une réflexion, une manière de s’adapter à son environnement aux menaces tangibles. » cite= »Khe0ps, hacker » parallax= »off » direction= »left »]
Fragil : Quelles ont été les réactions parmi les journalistes du CPNA ?
Khe0ps : Ils se sont montrés plutôt réceptifs. J’évite bien sûr d’avoir un discours alarmiste. Je ne pense pas être passé pour un mec parano. J’ai vu que certains se sentaient concernés et voulaient aller plus loin. Ce que j’espère, c’est qu’après, tout cela s’autonomise. Mon but est d’amener les gens à un niveau de compétences, mais surtout à un niveau de réflexion, de questionnement qui va leur permettre de rester à peu près à jour. De toutes façons, on n’est jamais au top. Mais le but est de faire de certains journalistes des référents. En espérant qu’à la fin, la conscience prenne pour tout le monde, que certains réflexes se créent, que la sécurisation devienne une préoccupation.
Fragil : D’un point de vue plus général, au niveau des usages de la société, on est plutôt dans une démarche à tout vouloir partager tout le temps sur le web. Est-ce que vous avez le sentiment que votre discours ne va pas à l’encontre de ce mouvement ?
Khe0ps : Non, il ne faut pas confondre partage et espionnage. Quand tu partages, tu le fais de manière volontaire. Tu décides. A FAImaison, on est dans cette logique que l’information doit circuler librement. Les échanges doivent se faire. Simplement, l’info doit circuler d’un point A à un point B, mais de manière intègre, sans avoir été modifiée. L’idée est de rester maître de ce qu’il se passe.
Fragil : En début d’année, le site internet du Monde, et d’autres médias aussi, a été piraté. Quelles réflexions cela vous inspire ?
Khe0ps : C’est l’exemple parfait qui montre que, la plupart du temps, le piratage, ce n’est pas une question de technique. Là, quelqu’un a envoyé un faux mail en se faisant passer pour un collègue journaliste, et en demandant un mot de passe. Les trois quart du temps, les gens vont renvoyer ce mot de passe. Et c’est tout. Pas besoin d’être un hacker. Dans beaucoup de boite mail on peut très facilement modifier le champs expéditeur. Comme pour un courrier postal. C’est ce qui s’est passé au Monde. La sécurité est avant tout une question de questionnement et de bon réflexe. L’outil vient après. Et certains réflexes de base sont très simples. Dans un mot de passe : pas de nom de l’entourage, date de naissance, nom de la femme, du chien, de l’enfant, etc. Et un mot de passe personnel doit rester personnel. On ne le partage pas. C’est juste du bon sens.
[aesop_quote type= »block » background= »#ffffff » text= »#000000″ align= »center » size= »2″ quote= »A Nantes, on parle beaucoup de transparence, d’open data. On fait du buzz autour de ça. Mais concrètement, quand on gratte un peu, on voit qu’il y a pas mal de choses opaques » cite= »Khe0ps, hacker » parallax= »off » direction= »left »]
Fragil : L’apparition de la plateforme Source Sûre lancée par le Monde et d’autres médias, qui permet un échange sécurisé entre journalistes et citoyens, marque-t-elle une prise de conscience ?
Khe0ps : C’est très intéressant effectivement. C’est un excellent outil qu’on pourrait reproduire au local, mais il faut d’abord une phase de compréhension. Car il y a plein de sujets qui peuvent intéresser les médias et pour lesquels il y a besoin d’une fuite, d’une sortie sécurisée (NDLR : depuis l’entretien, un projet est en lancement, fruit d’une collaboration entre un hacker et un journaliste). Il y a l’aéroport de Notre Dame des Landes, certes, mais pas que. A Nantes, on parle beaucoup de transparence, d’open data. On fait du buzz autour de ça. Mais concrètement, quand on gratte un peu, on voit qu’il y a pas mal de choses opaques. Une telle plateforme serait alors utile. Ça ferait partie du contre pouvoir, d’un outil de transparence. Pour faire sortir des infos que le pouvoir politique, administratif, est réticent à faire sortir. Par exemple : les appels d’offre des marchés publics… Ce qui devrait être transparent ne l’est pas totalement. Quelqu’un qui est dans l’administration et qui voudrait faire sortir un fichier sensible pourrait le faire avec une plateforme adéquate. On aurait une info qui circule mieux, un public mieux informé, une source mieux protégée.
* FAImaison est un fournisseur d’accès à internet associatif sans but lucratif basé à Nantes. L’association se veut locale et défend les droits et libertés sur internet ainsi que la démocratisation du savoir et de l’accès au réseau, aux côtés de la Fédération FDN. Elle organise des évènements de sensibilisation et mène des campagnes politiques.