SecureDrop
| Développé par | Aaron Swartz, Freedom of the Press Foundation, Kevin Poulsen et James Dolan (en) |
|---|---|
| Première version | [1] |
| Dernière version | 2.8.0 ()[2] |
| Dépôt | github.com/freedomofpress/securedrop |
| Assurance qualité | Intégration continue |
| Écrit en | Python et langage de script |
| Système d'exploitation | Linux |
| Type | Système de gestion de contenu |
| Licence | GNU Affero General Public License, version 3 |
| Site web | securedrop.org et sdolvtfhatvsysc6l34d65ymdwxcujausv7k5jk4cy5ttzhjoi6fzvyd.onion |
SecureDrop est une plateforme logicielle libre de communication sécurisée entre journalistes et sources (lanceurs d'alerte)[3].
Histoire[modifier | modifier le code]
SecureDrop est initialement conçu et développé par Aaron Swartz et Kevin Poulsen sous le nom de DeadDrop[4],[5]. James Dolan (en) a également co-créé le logiciel[6].
Après la mort d'Aaron Swartz, la première instance de la plate-forme est lancée sous le nom de Strongbox par le personnel du New Yorker le [7]. La Fondation pour la liberté de la presse reprend le développement de DeadDrop sous le nom de SecureDrop[8] et aide depuis à son installation dans plusieurs organes de presse, notamment ProPublica, The Guardian, The Intercept et The Washington Post [9],[10],[7].
Sécurité[modifier | modifier le code]
SecureDrop utilise le réseau Tor pour faciliter la communication entre les lanceurs d'alerte, les journalistes et les organes de presse. Les sites SecureDrop ne sont donc accessibles qu'en tant que services dans le réseau Tor. Lorsqu'un utilisateur visite un site web SecureDrop, il reçoit un nom de code généré de manière aléatoire[7]. Ce nom de code est utilisé pour envoyer des informations à un auteur ou un éditeur particulier via le téléchargement. Les journalistes d'investigation peuvent contacter le lanceur d'alerte via la messagerie SecureDrop. Par conséquent, le dénonciateur doit prendre note de son nom de code aléatoire[4].
Le système utilise des serveurs informatiques privés et séparés qui sont en possession de l'agence de presse. Les journalistes utilisent deux clés USB et deux ordinateurs personnels pour accéder aux données SecureDrop[4],[7]. Le premier ordinateur personnel accède à SecureDrop via le réseau Tor, et le journaliste utilise le premier lecteur flash pour télécharger des données chiffrées depuis le serveur SecureDrop. Le deuxième ordinateur personnel ne se connecte pas à Internet et est effacé à chaque redémarrage[4],[7]. Le deuxième lecteur flash contient un code de déchiffrement. Le premier et deuxième lecteur flash sont insérés dans le deuxième ordinateur personnel et le matériel devient disponible pour le journaliste. L'ordinateur personnel est éteint après chaque utilisation[4].
La Freedom of the Press Foundation déclare qu'elle ferait auditer le code SecureDrop et l'environnement de sécurité par un tiers indépendant avant chaque version majeure de la version, puis publierait les résultats[11]. Le premier audit est mené par des chercheurs en sécurité de l'Université de Washington et Bruce Schneier[12]. Le deuxième audit est réalisé par Cure53 (en), une société de sécurité allemande[11].
SecureDrop suggère aux sources de désactiver JavaScript pour protéger leur anonymat[13].
Organisations de premier plan utilisant SecureDrop[modifier | modifier le code]
La Freedom of the Press Foundation tient désormais un répertoire officiel des instances SecureDrop. Il s'agit d'une liste partielle d'instances dans des organes de presse de premier plan[14].
| Nom de l'organisation | Date de mise en œuvre |
|---|---|
| The New Yorker[4],[15] | |
| Forbes[15],[16],[17],[18] | |
| Bivol[15],[19] | |
| ProPublica[15],[20],[21] | |
| The Intercept[15],[22] | |
| San Francisco Bay Guardian (en)[15],[23] | |
| The Washington Post[15],[24] | |
| The Guardian [15],[3] | |
| The Globe and Mail[15],[25] | |
| Radio Canada | |
| Société Radio-Canada[15],[26] | |
| Associated Press | |
| The New York Times[15],[27] | |
| BuzzFeed News | |
| USA Today[15],[28] | |
| Bloomberg News | Inconnue |
| The Wall Street Journal | Inconnue |
| Aftenposten | Inconnue |
| Disclose[29] | Inconnue |
| Société de radiodiffusion australienne[30] |
Récompenses[modifier | modifier le code]
- 2016 : Free Software Foundation, Free Software Award, Award for Projects of Social Benefit[31]
Articles connexes[modifier | modifier le code]
Références[modifier | modifier le code]
- David Remnick, The New Yorker, (magazine), Condé Nast, New York
- « Release 2.8.0 », (consulté le )
- (en) James Ball, « Guardian launches SecureDrop system for whistleblowers to share files », sur the Guardian, .
- (en) Michael Kassner, « Aaron Swartz legacy lives on with New Yorker's Strongbox: How it works » [archive du ], TechRepublic, (consulté le ).
- (en) Kevin Poulsen, « Strongbox and Aaron Swartz », sur The New Yorker, .
- (en) Trevor Timm, « A tribute to James Dolan, co-creator of SecureDrop, who has tragically passed away at age 36 », sur Freedom of the Press, .
- (en) Amy Davidson Sorkin, « Introducing Strongbox », sur The New Yorker, .
- Internet libre L’héritage d’Aaron Swartz, l’activiste qui a renversé le code, liberation.fr, 10 janvier 2023, par Amaelle Guiton
- (en) « The New Yorker Strongbox » [archive du ], sur The New Yorker.
- (en) Alex Biryukov, Ivan Pustogarov, Fabrice Thill et Ralf-Philipp Weinmann, « Content and popularity analysis of Tor hidden services », .erreur modèle {{Lien arXiv}} : renseignez un paramètre «.
|eprint» - (en) Trevor Timm, « SecureDrop Undergoes Second Security Audit », sur Freedom of the Press, .
- (en) Alexei Czeskis, David Mah, Omar Sandoval, Ian Smith, Karl Koscher, Jacob Appelbaum, Tadayoshi Kohno et Bruce Schneier, « DeadDrop/StrongBox Security Assessment », University of Washington Department of Computer Science and Engineering (consulté le ).
- (en) « Source Guide — SecureDrop stable documentation », sur docs.securedrop.org, .
- (en) ssteele, « Tor at the Heart: SecureDrop », sur blog.torproject.org, .
- (en) « The Official SecureDrop Directory », Freedom of the Press Foundation (consulté le ).
- (en) Lauren Kirchner, « When sources remain anonymous », sur Columbia Journalism Review, (consulté le ).
- (en) Trevor Timm, « Forbes Launches First Updated Version of SecureDrop Called SafeSource », sur Freedom of the Press Foundation, (consulté le ).
- (en) Andy Greenberg, « Introducing SafeSource, A New Way To Send Forbes Anonymous Tips And Documents », sur Forbes, (consulté le ).
- (en) Sasha Chavkin, « Initiatives seek to protect anonymity of leakers », sur The International Consortium of Investigative Journalists, (consulté le ).
- (en) Mike Tigas, « How to Send Us Files More Securely », sur ProPublica, (consulté le ).
- (en) Trevor Timm, « ProPublica Launches New Version of SecureDrop », sur The Freedom of the Press Foundation, (consulté le ).
- (en) « How to Securely Contact The Intercept », The Intercept (consulté le ).
- (en) Rebecca Bowe, « Introducing BayLeaks », sur San Francisco Bay Guardian, .
- (en) « Q&A about SecureDrop on The Washington Post », The Washington Post, .
- (en) Colin Freeze, « The Globe adopts encrypted technology in effort to protect whistle-blowers », The Globe and Mail, .
- (en) Dave Seglins, « CBC rolls out encrypted technology to protect whistleblowers », sur CBC, .
- (en) Trevor Timm, « The @NYTimes launched @SecureDrop today », sur Twitter, .
- (en) « USA TODAY launches secure whistle-blower site », sur USA Today, .
- « disclose.ngo », sur disclose.ngo.
- (en) Craig McMurtrie, « ABC launches SecureDrop for whistleblowers to securely and anonymously contact journalists », sur abc.net.au, .
- (en) « SecureDrop and Alexandre Oliva are 2016 Free Software Awards winners », sur fsf.org, .
Liens externes[modifier | modifier le code]
- Sites officiels : (en) securedrop.org et (en) sdolvtfhatvsysc6l34d65ymdwxcujausv7k5jk4cy5ttzhjoi6fzvyd.onion
