Fondée par un journaliste et un hacker, la plateforme GoLeaks propose aux journalistes de les former pour avoir le droit de recevoir des documents confidentiels en respectant un cahier des charges qui assure la protection de leur source.

Ils ont réussi leur pari. Le journaliste Romain Ledroit et le hacker Datapulte ont obtenu in extremis en ce début de semaine le financement collaboratif de leur plateforme GoLeaks, qui vise à faciliter et à sécuriser la mise en relation des lanceurs d’alertes avec les journalistes du Grand Ouest. Eux-mêmes ne publieront aucun document, mais se contenteront d’animer la plateforme pour proposer des thématiques (par exemple, trois mois sur le traitement des eaux usés), à charge pour les journalistes de faire leur travail avec les documents reçus.

Mais plutôt qu’une plateforme technique, GoLeaks est d’abord une association dont les journalistes seront eux-mêmes membres. Il y aura bien sûr une plateforme technique sécurisée, basée sur le framework open-source GlobaLeaks, mais toute la spécificité du projet GoLeaks (en dehors de son caractère local) est que les lanceurs d’alertes qui souhaitent envoyer un document à un journaliste devront choisir dans une liste de journalistes qui auront été préalablement formés à l’art de la protection des sources.

goleaks-photo

Les journalistes qui souhaitent être inscrits sur GoLeaks devront ainsi suivre une formation d’une journée complète (facturée 140 euros, ce qui n’est pas cher au regard des prix pratiqués par les organismes de formation), où ils apprendront à utiliser des systèmes d’exploitation sécurisés, à chiffrer leurs e-mails et leurs disques durs, etc. C’est seulement après avoir rencontré physiquement les animateurs de GoLeaks et après avoir subi cette formation exigeante que les journalistes seront considérés comme sûrs, et qu’ils pourront être mis en relation avec les sources.

Pas question d’héberger chez OVH ou d’autres hébergeurs susceptibles d’abriter des boîtes noires du gouvernement

Ces dernières seront aussi encouragées, dans la mesure de leurs possibilités et de leurs connaissances techniques, à utiliser des moyens sécurisés pour envoyer leurs documents. « Nous allons mettre à disposition dans le Grand-Ouest des clés USB bootables sans numéros de série avec le système Tails, prêtes à l’emploi, qui permettront de passer par Tor pour se connecter à GoLeaks », nous explique Datapulte.

Niveau sécurité, la plateforme ne conserve évidemment aucun message en clair, et tous sont chiffrés avec la clé GPG publique du journaliste. Si ce dernier souhaite en savoir plus et contacter la source, il pourra utiliser une messagerie interne à GoLeaks, elle aussi chiffrée, qui ne pourra être lue qu’avec un identifiant unique  (« une sorte de numéro de carte bancaire »). Par ailleurs, prévient Datapulte en référence à la loi Renseignement, « il n’est pas question d’héberger les serveurs chez OVH ou n’importe quel autre grand hébergeur, puisqu’ils sont susceptibles d’abriter les boîtes noires des services de renseignement ».

Pourquoi le Grand-Ouest ?

« Nous restons dans le Grand-Ouest d’abord parce que c’est un territoire où il existe une grande diversité médiatique, avec de beaucoup de petits médias, qui ont besoin de protéger leurs sources », explique le co-fondateur de GoLeaks. Mais aussi parce qu’il existe «  beaucoup de sujets à polémiques » en dehors du très médiatique aéroport Notre-Dame-Des-Landes, et surtout parce que seuls des journalistes de l’Ouest de la France (Bretagne et Pays-de-Loire) pourront rejoindre l’organisation. Rencontres physiques et formations préalables oblige.

Toutefois les créateurs de GoLeaks ont déjà commencé à rencontrer d’autres activistes qui souhaitent monter des projets similaires ailleurs en France. Une plateforme devrait ainsi voir le jour prochainement pour le Sud-Ouest, et d’autres pourraient suivre. « Nous pouvons les accompagner pour décliner l’idée dans d’autres projets, en les formant pour qu’ils puissent à leur tour former, et en les aidant à mettre en place la plateforme sécurisée », nous précise ainsi Datapulte.

Avant de mettre GoLeaks en ligne, le hacker a prévu de finaliser sa stratégie de sécurité et de la soumettre à des regards extérieurs, pour s’assurer qu’il n’a pas laissé de failles exploitables. La plateforme devrait ensuite ouvrir, probablement dans le cours du mois de mars, après la formation des premiers journalistes.

 

Partager sur les réseaux sociaux

Articles liés