Le secret des sources est l’un des devoirs éthiques les plus importants du journalisme. Pour la Cour européenne des droits de l’homme, c’est même « une pierre angulaire de la liberté de la presse ». Mais à quoi sert aujourd’hui cette noble règle déontologique si les traces numériques que laisse le journaliste en effectuant ses enquêtes risquent de trahir ses sources à son insu ? Le spécialiste en protection numérique Hector Sudan (photo DR) a consacré à cette question son mémoire de MAS (Master of advanced studies) à l’Institut de lutte contre la criminalité économique (ILCE) de Neuchâtel. Il a également publié un Guide pratique de protection numérique des sources destiné à la profession. Il avertit que les journalistes ne sont pas encore assez sensibilisés au danger que représente l’utilisation des outils numériques pour la confidentialité de leurs sources et de l’ensemble de leur travail et qu’ils ne disposent pas non plus des outils nécessaires pour se protéger. Il est convaincu que le problème ne se pose pas seulement dans des régimes autoritaires où l’État surveille, emprisonne ou assassine les journalistes, mais en Suisse aussi. RSF Suisse l’a rencontré pour une interview.
– Comment en êtes-vous arrivé à vous intéresser à la protection numérique des sources des journalistes?
– Hector Sudan: Je me suis très tôt intéressé à la sécurité informatique. Peut-être comme beaucoup d’autres, j’idéalisais les pirates informatiques qui se faufilaient comme des ombres sans laisser de traces. Le cinéma américain doit sans doute y être pour quelque chose. Mais au fil du temps, cette idéalisation a complètement disparu. J’ai pris conscience que les pirates informatiques ne sont pas forcément brillants. Donnez à quiconque se prêterait au jeu le temps nécessaire et je vous assure que cette personne trouvera une faille dans le système. Le vrai génie de la sécurité informatique est de l’autre côté, du côté des défenseurs. Car ce sont eux qui doivent anticiper les vulnérabilités et prendre des mesures, mais aussi détecter et arrêter une attaque, tout ceci en assurant le maximum de convivialité aux utilisateurs. Après mon CFC puis mon brevet fédéral, j’ai entamé un MAS (Master of Advanced Studies). Je travaillais alors en parallèle pour le Groupe Saint-Paul, éditeur du quotidien La Liberté, et je voulais réaliser un travail de mémoire qui puisse servir à quelque chose. C’est avec Serge Gumy, le rédacteur en chef de La Liberté, aujourd’hui directeur du groupe Saint-Paul, que j’ai trouvé ce sujet. La protection numérique des sources des journalistes dépasse en partie la problématique générale de la sécurité informatique en entreprise. Il y a toute la dimension liée au devoir déontologique des journalistes de protéger leurs sources, l’interaction des journalistes avec ces dernières et l’utilisation d’outils spécifiques qui en découle.
– Dans votre travail, vous évoquez un « manque de connaissances des risques résultants du traitement d’informations potentiellement sensibles ». Les journalistes ne sont pas assez formés?
– L’arrivée du numérique et sa démocratisation ont été extrêmement rapides. Les journalistes d’expérience n’ont pas forcément été formés à maîtriser les risques qui découlent de leur activité informatique. D’autant plus que le numérique a accéléré les flux de production de l’information et que le temps disponible pour s’assurer de la sécurité numérique des sources a tendance à se raccourcir.
– Vous parlez des journalistes « d’expérience ». Faut-il comprendre que les journalistes plus jeunes, qui ont grandi avec le numérique, maîtrisent mieux ces risques ?
– Les nouvelles générations de journalistes maîtrisent sans doute mieux les outils numériques, mais ce n’est pas qu’une question de générations. Je viens d’y faire allusion : on s’oriente vers une information à flux tendus, les canaux et les outils numériques se multiplient et donc aussi les risques de faille. Ce qu’il faut – et il faut le faire maintenant –, c’est intégrer les aspects de protection numérique beaucoup plus tôt dans le cursus de formation des journalistes.
– Les journalistes sont-ils aujourd’hui particulièrement ciblés, que ce soit par des hackers, des détectives privés ou par des services étatiques?
– Dans une certaine mesure, oui. En Suisse, TX Group et le Groupe Saint-Paul ont fait l’objet d’attaques informatiques. Des journalistes aussi, dans le cadre de l’affaire Giroud. Et un procureur, à Neuchâtel, a mené une longue procédure pour avoir accès aux supports informatiques du journaliste Ludovic Rocchi avant d’être désavoué en justice. A l’étranger, des services étatiques ont eu recours au logiciel Pegasus pour espionner notamment des journalistes.
– Les contextes de chacune de ces affaires est très différent…
– Oui et c’est vrai qu’on ne connaît pas de cas avéré en Suisse où l’espionnage informatique d’un journaliste aurait fonctionné. C’est peut-être ce qui contribue à entretenir la confiance dans l’environnement suisse : au cours de mes recherches, j’ai pu constater que de nombreux journalistes jugent que, s’agissant de la mise en danger numérique de leurs sources, les risques sont limités. Mais combien y a-t-il eu de mises en danger réelles qu’on ne connaît pas ?
– Quelles sont vos principales recommandations ?
– Je pense que les éditeurs et les diffuseurs devraient élaborer une stratégie de protection numérique journalistique, qui prend en compte la formation des journalistes, la mise à disposition d’outils et de supports spécifiques. Cela permettra de mieux maîtriser les risques résultants du traitement d’informations provenant de sources. De leur côté, les instituts de formation des journalistes devraient intégrer bien davantage les aspects de la protection numérique dans leurs cursus. Pour ce qui est des journalistes eux-mêmes, ma recherche a permis de montrer que plus ils sont formés et sensibilisés à la protection numérique des sources, mieux ils se protègent effectivement, ce qui est logique. De nombreuses initiatives existent, et c’est dans ce but que j’ai rédigé un «GPS » (Guide de Protection numérique des Sources). Ce qu’il faut surtout éviter, c’est de penser que les informations des journalistes n’intéressent personne. C’est inacceptable à l’égard des sources. Dans certains pays, le simple fait d’avoir un journaliste dans son carnet de contacts est problématique.
Propos recueillis par Denis Masmejan, secrétaire général RSF Suisse
Bio
2011-2015 Informaticien CFC
2018 – 2019 Brevet fédéral d’informaticien en technique des systèmes et réseaux TIC
2019 – 2021 Master of Advanced Studies en Lutte contre la criminalité économique (MAS LCE)
Site internet
www.sourcesguard.ch