Aller au contenu

SecureDrop

Un article de Wikipédia, l'encyclopédie libre.
Ceci est une version archivée de cette page, en date du 23 janvier 2023 à 23:01 et modifiée en dernier par Gyrostat (discuter | contributions). Elle peut contenir des erreurs, des inexactitudes ou des contenus vandalisés non présents dans la version actuelle.
SecureDrop
Description de l'image SecureDrop logo.svg.
Description de l'image Screenshot from SecureDrop Source view.png.
Informations
Développé par Aaron Swartz, Freedom of the Press Foundation, Kevin Poulsen et James Dolan (en)Voir et modifier les données sur Wikidata
Première version [1]Voir et modifier les données sur Wikidata
Dernière version 2.10.1 ()[2]Voir et modifier les données sur Wikidata
Dépôt github.com/freedomofpress/securedropVoir et modifier les données sur Wikidata
Assurance qualité Intégration continueVoir et modifier les données sur Wikidata
Écrit en Python et langage de scriptVoir et modifier les données sur Wikidata
Système d'exploitation LinuxVoir et modifier les données sur Wikidata
Type Système de gestion de contenuVoir et modifier les données sur Wikidata
Licence GNU Affero General Public License, version 3
Site web securedrop.org et sdolvtfhatvsysc6l34d65ymdwxcujausv7k5jk4cy5ttzhjoi6fzvyd.onionVoir et modifier les données sur Wikidata

SecureDrop est une plateforme logicielle libre de communication sécurisée entre journalistes et sources (lanceurs d'alerte)[3].

Histoire

SecureDrop est initialement conçu et développé par Aaron Swartz et Kevin Poulsen sous le nom de DeadDrop[4],[5]. James Dolan (en) a également co-créé le logiciel[6].

Après la mort d'Aaron Swartz, la première instance de la plate-forme est lancée sous le nom de Strongbox par le personnel du New Yorker le [7]. La Fondation pour la liberté de la presse reprend le développement de DeadDrop sous le nom de SecureDrop et aide depuis à son installation dans plusieurs organes de presse, notamment ProPublica, The Guardian, The Intercept et The Washington Post [8],[9],[7].

Sécurité

SecureDrop utilise le réseau Tor pour faciliter la communication entre les lanceurs d'alerte, les journalistes et les organes de presse. Les sites SecureDrop ne sont donc accessibles qu'en tant que services dans le réseau Tor. Lorsqu'un utilisateur visite un site web SecureDrop, il reçoit un nom de code généré de manière aléatoire[7]. Ce nom de code est utilisé pour envoyer des informations à un auteur ou un éditeur particulier via le téléchargement. Les journalistes d'investigation peuvent contacter le lanceur d'alerte via la messagerie SecureDrop. Par conséquent, le dénonciateur doit prendre note de son nom de code aléatoire[4].

Le système utilise des serveurs informatiques privés et séparés qui sont en possession de l'agence de presse. Les journalistes utilisent deux clés USB et deux ordinateurs personnels pour accéder aux données SecureDrop[4],[7]. Le premier ordinateur personnel accède à SecureDrop via le réseau Tor, et le journaliste utilise le premier lecteur flash pour télécharger des données chiffrées depuis le serveur SecureDrop. Le deuxième ordinateur personnel ne se connecte pas à Internet et est effacé à chaque redémarrage[4],[7]. Le deuxième lecteur flash contient un code de déchiffrement. Le premier et deuxième lecteur flash sont insérés dans le deuxième ordinateur personnel et le matériel devient disponible pour le journaliste. L'ordinateur personnel est éteint après chaque utilisation[4].

La Freedom of the Press Foundation déclare qu'elle ferait auditer le code SecureDrop et l'environnement de sécurité par un tiers indépendant avant chaque version majeure de la version, puis publierait les résultats[10]. Le premier audit est mené par des chercheurs en sécurité de l'Université de Washington et Bruce Schneier[11]. Le deuxième audit est réalisé par Cure53 (en), une société de sécurité allemande[10].

SecureDrop suggère aux sources de désactiver JavaScript pour protéger leur anonymat[12].

Organisations de premier plan utilisant SecureDrop

La Freedom of the Press Foundation tient désormais un répertoire officiel des instances SecureDrop. Il s'agit d'une liste partielle d'instances dans des organes de presse de premier plan[13].

Nom de l'organisation Date de mise en œuvre
The New Yorker[4],[14]
Forbes[14],[15],[16],[17]
Bivol[14],[18]
ProPublica[14],[19],[20]
The Intercept[14],[21]
San Francisco Bay Guardian (en)[14],[22]
The Washington Post[14],[23]
The Guardian [14],[3]
The Globe and Mail[14],[24]
Radio Canada
Société Radio-Canada[14],[25]
Associated Press
The New York Times[14],[26]
BuzzFeed News
USA Today[14],[27]
Bloomberg News Inconnue
The Wall Street Journal Inconnue
Aftenposten Inconnue
Disclose[28] Inconnue
Société de radiodiffusion australienne[29]

Récompenses

Voir également

Références

  1. David Remnick, The New Yorker (magazine), Condé Nast, New York.Voir et modifier les données sur Wikidata
  2. « Release 2.10.1 », (consulté le )
  3. a et b (en) James Ball, « Guardian launches SecureDrop system for whistleblowers to share files », sur the Guardian, .
  4. a b c d e et f Michael Kassner, « Aaron Swartz legacy lives on with New Yorker's Strongbox: How it works » [archive du ], TechRepublic, (consulté le ).
  5. (en) Kevin Poulsen, « Strongbox and Aaron Swartz », sur The New Yorker, .
  6. (en) Trevor Timm, « A tribute to James Dolan, co-creator of SecureDrop, who has tragically passed away at age 36 », sur Freedom of the Press, .
  7. a b c d et e (en) Amy Davidson Sorkin, « Introducing Strongbox », sur The New Yorker, .
  8. « The New Yorker Strongbox », {{Article}} : paramètre « périodique » manquant, paramètre « date » manquant (lire en ligne [archive du ]).
  9. (en) Alex Biryukov, Ivan Pustogarov, Fabrice Thill et Ralf-Philipp Weinmann, « Content and popularity analysis of Tor hidden services », .
    erreur modèle {{Lien arXiv}} : renseignez un paramètre « |eprint »
    .
  10. a et b (en) Trevor Timm, « SecureDrop Undergoes Second Security Audit », sur Freedom of the Press, .
  11. Alexei Czeskis, David Mah, Omar Sandoval, Ian Smith, Karl Koscher, Jacob Appelbaum, Tadayoshi Kohno et Bruce Schneier, « DeadDrop/StrongBox Security Assessment », University of Washington Department of Computer Science and Engineering (consulté le ).
  12. « Source Guide — SecureDrop stable documentation », sur docs.securedrop.org, .
  13. (en) ssteele, « Tor at the Heart: SecureDrop », sur blog.torproject.org, .
  14. a b c d e f g h i j k et l « The Official SecureDrop Directory », Freedom of the Press Foundation (consulté le ).
  15. Lauren Kirchner, « When sources remain anonymous », sur Columbia Journalism Review, (consulté le ).
  16. Trevor Timm, « Forbes Launches First Updated Version of SecureDrop Called SafeSource », sur Freedom of the Press Foundation, (consulté le ).
  17. Andy Greenberg, « Introducing SafeSource, A New Way To Send Forbes Anonymous Tips And Documents », sur Forbes, (consulté le ).
  18. Sasha Chavkin, « Initiatives seek to protect anonymity of leakers », sur The International Consortium of Investigative Journalists, (consulté le ).
  19. Mike Tigas, « How to Send Us Files More Securely », sur ProPublica, (consulté le ).
  20. Trevor Timm, « ProPublica Launches New Version of SecureDrop », sur The Freedom of the Press Foundation, (consulté le ).
  21. « How to Securely Contact The Intercept », The Intercept (consulté le ).
  22. (en) Rebecca Bowe, « Introducing BayLeaks », sur San Francisco Bay Guardian, .
  23. (en) « Q&A about SecureDrop on The Washington Post », .
  24. (en) Colin Freeze, « The Globe adopts encrypted technology in effort to protect whistle-blowers », .
  25. (en) Dave Seglins, « CBC rolls out encrypted technology to protect whistleblowers », sur CBC, .
  26. (en) Trevor Timm, « The @NYTimes launched @SecureDrop today », sur Twitter, .
  27. (en) « USA TODAY launches secure whistle-blower site », sur USA Today, .
  28. « disclose.ngo », sur disclose.ngo.
  29. (en) Craig McMurtrie, « ABC launches SecureDrop for whistleblowers to securely and anonymously contact journalists », sur abc.net.au, .
  30. (en) « SecureDrop and Alexandre Oliva are 2016 Free Software Awards winners », sur fsf.org, .

Liens externes