Chapitre 37 Cas d’usage : partager des documents sensibles
37.1 Contexte
Nous avons vu comment publier des documents que l’on veut rendre publics. Mais il est aussi parfois nécessaire de partager avec un groupe restreint de personnes des documents sensibles comme des documents de travail confidentiels, des photos de vacances ou encore le contact d’une source prête à divulguer des documents internes de son entreprise.
Dans ce cas d’usage, on va se concentrer sur la partage de documents sensibles via Internet, qui fait partie de l’objet de ce deuxième tome du guide. Selon notre situation, il peut être aussi possible d’envisager de s’échanger des clés USB chiffrées, des documents papier, etc.
37.2 Évaluer les risques
37.2.1 Que veut-on protéger ?
37.2.1.1 Le contenu du document
Le contenu des fichiers partagés est ici confidentiel. Seules les destinataires doivent donc pouvoir y accéder, de la même manière que lors de l’envoi d’un message électronique. Par exemple, si l’on veut partager des photos de vacances avec sa famille, ce qui est à cacher ce sont les photos elles-mêmes. Le fait que les destinataires soient les membres de la famille n’est pas une information sensible, a priori. Il s’agit donc de la partie protéger ce que l’on partage.
37.2.1.2 La source et la destination
L’identité des personnes source et destinataire peut aussi faire partie des informations que l’on désire protéger. Dans une situation de fuite de documents d’entreprise, qui a transmis les documents, à qui, sont deux informations particulièrement sensibles (la protection des sources d’information des journalistes est d’ailleurs la base de la déontologie du journalisme). Il s’agit là de la partie protéger qui partage avec qui.
Alors, on peut séparer cette problématique en trois parties : la première aborde la protection de la source, la seconde la protection des destinataires et la troisième aborde spécifiquement la confidentialité des documents à partager.
37.2.2 Contre qui veut-on se protéger ?
On cherche à se protéger des regards indiscrets qui chercheraient à savoir qui fait quoi sur le web, comme dans le cas d’usage consulter des sites web. Mais aussi des regards indiscrets qui pourraient tomber par hasard sur ces fichiers.
37.3 Protéger la source
Comme pour les premiers secours : Se protéger soi-même pour pouvoir soigner les autres.
Nos fichiers étant confidentiels, leur contenu n’est normalement pas censé être rendu public. Cela dit, rien ne nous garantit qu’ils ne finiront pas par l’être, que ce soit par erreur de notre part, de la part des personnes qui y auront également accès, ou encore car des adversaires mettraient à mal notre stratégie ou sa réalisation.
La démarche sera très similaire à celle de la publication d’un document que l’on pourra donc lire ou relire. Cependant, quelques réflexions spécifiques à cette situation sont nécessaires.
37.3.1 Première étape : traces dans le document
Lorsque nous voulons partager des documents confidentiels, d’autant plus si nous les avons produits, rien n’indique a priori que nous pouvons avoir confiance dans les personnes avec qui ces documents seront partagés.
Imaginons par exemple que nous voulions donner des documents attestant de la comptabilité extravagante de notre parti politique à une journaliste afin qu’elle puisse écrire un article à ce sujet sans les publier. Nous n’avons a priori aucune confiance en cette journaliste et préférerons donc qu’elle ne puisse pas savoir de qui ces documents proviennent.
Il faudra donc éviter d’y laisser des traces menant jusqu’à nous. Qu’elles soient évidentes, comme une identité civile, ou bien plus discrètes, comme les métadonnées :
- tout ce travail de production de documents devra donc être réalisé dans un environnement adapté ;
- on prendra soin d’effacer les métadonnées.
37.3.2 Deuxième étape : se protéger des intermédiaires
En reprenant notre exemple précédent, c’est-à-dire dans le cas où les personnes avec qui nous partageons des fichiers ne sont pas de confiance, elles pourraient, de leur plein gré ou de force, révéler le site sur lequel elles les ont trouvés.
Si l’adversaire a le pouvoir d’accéder aux journaux de connexion445, grâce à des pressions ou des réquisitions, elle pourrait arriver à savoir d’où vient la connexion qui a permis de mettre ces fichiers en ligne. En conséquence, et si l’on n’a pas mis en place quelques protections sur notre ordinateur, l’adversaire pourrait remonter jusqu’à l’adresse IP publique que l’on a utilisée, voire jusqu’à l’adresse MAC de notre ordinateur.
Pour éviter que les différents intermédiaires entre notre ordinateur et le serveur sur lequel nos fichiers seront hébergés ne fassent preuve d’indiscrétion, nous veillerons à utiliser le réseau Tor, via le Navigateur Tor.
On peut aller plus loin et éviter d’utiliser un serveur tiers : en partageant nos fichiers directement depuis notre ordinateur avec un service onion (grâce à l’outil OnionShare). Dans ce cas, même si l’adresse web permettant de récupérer les documents est révélée, cela n’aide pas à savoir où l’ordinateur se trouve et ne permet donc pas de remonter jusqu’à nous.
Il faut cependant garder en tête la possibilité pour l’adversaire d’attaquer Tor.
37.3.3 Troisième étape : regarder sur l’ordinateur source
Les documents confidentiels ou bien des traces de ceux-ci peuvent rester, à dessein on non, sur notre ordinateur.
Les solutions sont soit d’avoir chiffré son disque dur, soit d’éviter dès le départ de laisser des traces en utilisant un système live amnésique.
37.4 Protéger les destinataires
Après avoir pris les précautions nécessaire pour se protéger, on doit également penser aux destinataires de nos fichiers. Même si on ne peut pas toujours connaître la liste complète des personnes qui auront accès à ces documents, ni les protéger à leur place, on peut toujours faire en sorte qu’un minimum de protection leur soit nécessaire pour y accéder.
Le plus simple, efficace et réalisable est d’utiliser un service onion, ce qui forcera les destinataires à utiliser également le réseau Tor. Pour cela il faudra suivre l’outil OnionShare.
37.5 Protéger les fichiers confidentiels
Après avoir pensé à protéger les personnes qui se partagent les documents, reste à protéger les fichiers eux-mêmes.
La démarche ici est similaire à celle de l’échange d’emails confidentiels. Mais nous n’utiliserons pas le courrier éléctronique, soit parce que nos fichiers sont trop volumineux, soit parce qu’on n’a pas de liste précise de personnes destinataires, donc pas de liste d’adresses mail à qui envoyer ces fichiers. Nous préférerons mettre nos fichiers à partager en ligne sur un serveur, comme dans le cas d’une publication qui serait cette fois-ci privée.
Les solutions employées vont toutes parler de chiffrement, sous différents aspects, en fonction de notre politique de sécurité et de notre optique de partage.
37.5.1 Choisir parmi les outils disponibles
Il existe plusieurs outils pour chiffrer nos fichiers avant de les mettre en partage. Le choix entre l’un de ceux-ci dépend notamment du niveau de partage ainsi que de la qualité de chiffrement souhaitée.
37.5.2 Chiffrement proposé par l’hébergeur
Tout d’abord, la solution qui semble demander le moins d’efforts est de mettre nos documents sur un service d’hébergement de fichiers qui propose de les chiffrer directement sur le serveur qui les accueille.
Généralement, ces services chiffrent les fichiers dans le navigateur de l’utilisatrice avant de les envoyer sur le serveur. Le site crée alors un lien de téléchargement avec la clé de déchiffrement incluse dans ce lien446. L’un des avantages est que cette clé n’est pas détenue par l’hébergeur du service : celui-ci n’a donc pas accès aux fichiers des utilisatrices et, même en cas de pressions ou de réquisitions des flics, il n’est pas en mesure de les fournir en clair. L’inconvénient principal de cette méthode est que la clé de déchiffrement est contenue dans le lien de téléchargement. C’est-à-dire que quiconque a accès à ce lien a aussi accès aux fichiers.
L’utilisation de ces services pour partager des fichiers confidentiels dépend donc de la confiance que l’on peut avoir dans le logiciel qui fournit ce service et dans l’hébergeur qui l’a configuré, ainsi que de la confidentialité mise en place pour transmettre le lien de téléchargement.
Pour limiter les risques, il est toutefois possible de cocher l’option qui active l’effacement des fichiers tout de suite après le premier téléchargement. Cela garantit que ces fichiers ne seront téléchargés qu’une seule fois ; cela permet aussi de savoir si les fichiers ont déjà été téléchargés, et de se rendre compte que la méthode de communication utilisée pour transmettre le lien n’était pas confidentielle.
Si l’on souhaite toutefois choisir de chiffrer en utilisant le service d’hébergement de fichiers, il faudra :
- utiliser le Navigateur Tor pour accéder au web ;
- consulter la section partager un fichier de l’outil Trouver un hébergement web ;
- avoir un moyen de transmettre le lien de téléchargement de manière confidentielle, par exemple en l’envoyant dans un mail chiffré.
37.5.3 Chiffrement avant le partage
Une autre possibilité est de chiffrer les fichiers avant de les mettre en ligne. Cette solution est un peu plus complexe à mettre en œuvre, mais elle a l’avantage de ne pas nécessiter de faire confiance à l’hébergeur. On choisit nous-même comment sont chiffrés les fichiers, voire qui peut les déchiffrer.
Encore une fois, plusieurs options sont disponibles, en fonction du nombre de destinataires, on pourra chiffrer nos fichiers avec phrase de passe ou avec une ou plusieurs clés publiques.
Dans les deux cas, faire attention au nom du fichier contenant le ou les documents chiffrés : si ce nom est explicite, il peut révéler des informations sur le contenu des documents. Renommer alors les fichiers avec un nom neutre, comme « document » ou « archive ».
37.5.3.1 Chiffrer avec une phrase de passe
Chiffrer nos fichiers à partager avec une phrase de passe permet à quiconque la possède de pouvoir déchiffrer et avoir accès à nos documents. Il faudra toutefois connaître leur localisation, donc l’adresse web permettant de les télécharger ou bien avoir accès à un des ordinateurs sur lequel ils sont stockés.
Un détail non négligeable est que chaque personne ayant accès aux fichiers doit connaître la phrase de passe qui a permis de les chiffrer pour les rendre lisibles. Il faudra donc utiliser un moyen de communication confidentiel pour partager ce secret entre toutes les personnes destinataires, ce qui peut parfois s’avérer compliqué.
Enfin on se confrontera aux mêmes limites que celles évoquées dans le chapitre sur la cryptographie symétrique.
37.5.3.2 Chiffrer avec une ou plusieurs clés publiques
Dans le cas où nous avons une liste définie de personnes avec qui partager nos documents et que chacune d’entre elles possède une paire de clé OpenPGP, il est possible de chiffrer ces fichiers avec leurs clés, afin qu’elles seules puissent les déchiffrer au final.
37.5.3.3 Allons-y
Il faudra d’abord suivre l’outil chiffrer des données, puis choisir une des deux solutions évoquées précédemment pour héberger ces fichiers :
- soit utiliser un service d’hébergement web
- soit héberger soi-même ces fichiers avec OnionShare.
37.5.3.4 Déchiffrer les fichiers
Les destinaires des documents devront les déchiffrer en suivant la recette adaptée.
Il peut y avoir des journaux de connexion dans la « box », chez le Fournisseur d’Accès à Internet et chez les hébergeurs.↩︎
Différents logiciels peuvent être utilisés par les serveurs qui hébergent ces services. Lufi et Up1 en sont deux exemples. On peut a priori leur accorder notre confiance, et les personnes qui écrivent ces lignes ne connaissent pas d’autres logiciels de ce type.↩︎