J’ai décidé de vous parler de GoLeaks, une plateforme de leaks comme son nom l’indique, suite à une conférence très intéressante lors du festival « Pas Sage en Seine 2015 », où j’ai rencontré @Datapulte, hacker en charge de la partie technique du projet.
Le projet semble bien parti, solide et pas décidé sur un coup de tête. Les personnes qui vont s’occuper du projet sont fiables et de confiance.
La première plateforme régionale de récolte et de diffusion d’information, de « leaks », par des sources anonymes, va donc prochainement voir le jour.
Petit tour d’horizon de GOLeaks.
Le GO, c’est pour Grand Ouest, les leaks porteront sur l’ensemble de la Bretagne et on peut déjà imaginer des leaks en lien avec Notre-Dame-des-Landes par exemple, mais pas que. De la fuite très locale, du village à la ville, de l’élu local à beaucoup plus, il y a là, à mon avis, beaucoup de choses à récupérer.
Ce sont ces raisons qui ont entrainé la création de GOLeaks.
Le projet
Le besoin est le suivant : partager une information sensible ou compromettante, une information qui mérite d’être connue du grand public. Cette information, en raison de son caractère sensible, ne peut pas être partagée via des outils « classiques », par mail, SMS, au téléphone …
Il faut être capable de protéger et d’anonymiser au maximum la source de l’information, clef de la réussite des sites de leaks. Nous reviendrons sur ce point un peu plus loin dans le billet.
Protection des sources, travail avec les journalistes et les maisons de presse, gestion des échanges entre source et journaliste pour sécuriser au maximum la source, telles sont les ambitions du projet.
Techniquement
La plateforme est découpée en deux parties, l’une servant de vitrine, l’autre étant la réelle plateforme d’échange.
« Les deux sites sont séparés et hébergés à des endroits différents, chez un opérateur de confiance, afin de sécuriser au maximum les plateformes. S’il y a une faille de sécurité sur un site, elle ne permettra pas de remonter jusqu’à l’autre », m’explique @Datapulte, hacker en charge du projet.
Sur le site web « classique », on découvre les raisons du projet ainsi que ses ambitions. D’ici à son lancement, la vitrine de Goleaks changera, pour indiquer aux utilisateurs qu’il faut un protocole de connexion et de contact spécifique pour déposer une information sur la plateforme.
La plateforme centrale sera un service caché dans le réseau TOR (avec une adresse qui se termine en .onion pour faire plus clair). De facto, il faudra obligatoirement utiliser TOR afin de pouvoir envoyer une information au site, @Datapulte m’explique…
« on ne veut pas mettre en danger une source, nous allons donc forcer l’utilisation de TOR pour sécuriser un peu plus les échanges. Notre but est de servir de plateforme de leaks mais pas n’importe comment et surtout pas en compromettant des sources désireuses d’échanger des informations sensibles ».
Qu’on se le dise, @Datapulte sait où il veut mener le projet, ce qui est très rassurant aux vues du projet.
Une fois un leaks déposé sur le site, il sera mis à disposition de journalistes afin qu’ils puissent traiter l’information, nous y reviendrons. Les échanges avec les journalistes exigeront le même protocole de connexion que celui des sources : TOR.
GOleaks permettra aussi l’envoi de mails chiffrés, à la source et au journaliste, en servant d’intermédiaire. « Nous avons choisi d’être l’intermédiaire entre une source et un journaliste pour sécuriser au maximum les échanges. Une source souhaite contacter un journaliste, un mail chiffré est envoyé par Goleaks au journaliste, qui doit passer par la plateforme d’échange afin de pouvoir répondre à la source. ».
Pourquoi servir de plateforme centrale et incontournable ?
A cette question, @Datapulte me répond « nous pensons qu’il est préférable qu’un journaliste et une source ne soient pas directement en contact. En procédant ainsi, s’il y a un problème, la source ne met pas en danger le journaliste et vice-versa. Dans le pire des cas, si une source est grillée ça ne pourra remonter que jusqu’à Goleaks, idem si c’est un journaliste, la piste ne pourra remonter que jusqu’à Goleaks. Nous sommes conscients de notre rôle de fusible ».
Je trouve ce point très positif, dans les explications fournies, je sens réellement la volonté de minimiser les risques et dangers, « le risque zéro n’existe pas, mais on cherche à s’en approcher le plus possible ».
Rajoutons que Goleaks tourne sous Globaleaks, une plateforme open-source dédiée aux leaks. Globaleaks est développé par “Hermes Center for Transparency and Digital Human Rights”, Globaleaks est, par exemple, utilisé par « Le Monde » via https://secure.sourcesure.eu.
C’est un projet très suivi, régulièrement mis à jour et assez sécurisé, considéré comme une excellente initiative par de nombreux journalistes et hackers, comme ceux du CCC ou Jacob Applebaum par exemple.
Serveurs séparés, hébergés chez un acteur de confiance, passage par TOR requis, mails chiffrés, plateforme qui s’impose un niveau de sécurité élevé… les outils ne manquent pas pour faire de Goleaks une réussite.
Reste le problème des sources et de l’utilisation des outils, parfois compliquée pour des utilisateurs néophites.
A nouveau, @Datapulte a les idées claires sur le sujet : « concernant les leaks, nous pensons qu’il peut y avoir beaucoup d’informations, si nous arrivons à faire connaître le projet, clef de notre réussite. Côté formation, nous avons déjà des contacts avec des journaux locaux pour les former à utiliser TOR et nous allons mettre, sur la vitrine publique du site, des informations et explications claires pour pouvoir déposer un leak ».
Le traitement de l’information sera assuré par les journalistes, « nous travaillons déjà avec des journalistes afin d’établir des partenariats. Lors du dépôt d’un leak, le lanceur d’alerte pourra choisir à qui envoyer l’information. Goleak enverra une alerte aux journalistes choisis, qui devront passer par TOR et un lien à usage unique afin de récupérer l’information transmise. »
On s’y met ?
« Pour l’instant, tout n’est pas encore prêt et nous avons besoin de soutiens et de visibilité avant de nous lancer. »
Je ne sais pas de quoi l’avenir est fait, mais Goleaks possède les clefs pour qu’il soit bon.
En revanche, je sais qu’ils auront prochainement besoin d’un financement pour faire tourner la plateforme, @Datapulte m’informe « qu’une campagne de financement verra prochainement le jour, d’ici septembre. »
Souhaitons-leur bon courage.
Vous pouvez retrouver toutes les informations de Goleaks à cette adresse https://goleaks.org/, @Datapulte sur Twitter et @R0aming_, un rédacteur en chef Web, lui aussi impliqué dans le projet Goleaks.
Vous pouvez également retrouver GOLeaks sur Twitter : http://twitter.com/goleaks_