Module 8 · 8.3

Les OS sécurisés et anonymisés : un indispensable dans certaines conditions

Média

➡️Pourquoi sont-ils indispensables pour les enquêtes sensibles ?

Les OS sécurisés, comme Qubes OS, Tails et Whonix, sont conçus pour répondre aux besoins des journalistes travaillant sur des sujets sensibles : corruption, crimes de guerre, surveillance de masse, etc. Leur principal atout est leur capacité à protéger l’anonymat et à isoler les processus, ce qui limite considérablement les risques de fuites de données ou d’intrusions.

Ces OS sont particulièrement utiles dans les contextes suivants :

Communication avec des sources anonymes (ex. : lanceurs d’alerte, dissidents).

Analyse de documents ou logiciels suspects (ex. : fichiers reçus de sources non vérifiées).

Contournement de la censure (ex. : dans des pays où l’accès à l’information est restreint).

Protection contre les logiciels espions (ex. : Pegasus, qui cible souvent les journalistes).

🌐Qubes OS : L’isolation par la virtualisation

Qubes OS est un système d’exploitation basé sur la virtualisation : chaque application s’exécute dans une machine virtuelle (VM) séparée. Si un malware infecte une VM, il ne peut pas accéder aux autres, ce qui limite considérablement les dégâts.

Fonctionnement et avantages

  1. Isolation des processus : Chaque application (navigateur, client email, traitement de texte) fonctionne dans sa propre VM. Cela signifie qu’une compromission d’une application n’affecte pas les autres.
  2. Flexibilité : Les utilisateurs peuvent créer des VM pour chaque tâche (ex. : une VM pour le travail, une autre pour les loisirs).
  3. Compatibilité : Qubes OS permet d’utiliser des VM Windows ou Linux selon les besoins, ce qui le rend adaptable à divers cas d’usage.

Cas d’usage pour les journalistes

Ouverture de pièces jointes suspectes : Un journaliste peut ouvrir un fichier reçu d’une source inconnue dans une VM dédiée, sans risquer de compromettre l’ensemble du système.

Navigation sur des sites à risque : Les VM peuvent être réinitialisées après chaque session, effaçant toute trace d’activité.

Gestion de comptes sensibles : Chaque compte (email, réseaux sociaux) peut être isolé dans une VM distincte, limitant les risques en cas de piratage.

Exemple concret : L’utilisation de Qubes OS par Bellingcat

En 2022, des journalistes de Bellingcat, un collectif d’investigation, ont utilisé Qubes OS pour analyser des documents classifiés liés à la guerre en Ukraine.

Leur objectif était de :

  1. Isoler les fichiers suspects pour éviter toute infection par des malwares.
  2. Protéger leurs sources en utilisant des VM dédiées pour les communications.
  3. Éviter les fuites en chiffrant l’ensemble du système.

Grâce à Qubes OS, ils ont pu travailler sur des preuves sensibles sans craindre que leurs données ne soient compromises.

Inconvénients et défis

Complexité : Qubes OS nécessite une configuration technique et un matériel puissant (la virtualisation consomme beaucoup de ressources).

Courbe d’apprentissage : L’interface et les concepts (VM, dom0domU) peuvent dérouter les utilisateurs non techniques.

🪪Tails : L’OS « amnésique » et anonymisé

Tails (The Amnesic Incognito Live System) est un OS conçu pour être utilisé depuis une clé USB. Il ne laisse aucune trace sur la machine hôte et route tout le trafic via Tor, ce qui garantit un anonymat quasi-total.

Fonctionnement et avantages

Anonymat : Tout le trafic Internet passe par le réseau Tor, masquant ainsi l’adresse IP de l’utilisateur.

Amnésie : Tails ne conserve aucune donnée après un redémarrage, ce qui est idéal pour les sessions ponctuelles.

Outils intégrés : Il inclut des logiciels préconfigurés pour la sécurité et la confidentialité, comme :

  • Tor Browser pour une navigation anonyme. Signal pour des communications chiffrées. OnionShare pour partager des fichiers de manière sécurisée.

  • LUKS pour le chiffrement des données.

Cas d’usage pour les journalistes

  • Communication avec des sources anonymes : Tails permet d’utiliser des outils comme Signal ou OnionSharepour des échanges sécurisés et anonymes.
  • Contournement de la censure : Idéal dans les pays où l’accès à Internet est restreint ou surveillé.
  • Travail sur des documents sensibles : Tails efface toute trace après chaque session, ce qui est crucial pour les enquêtes confidentielles.

Exemple concret : Tails et les fuites de documents

En 2013, Edward Snowden a utilisé Tails pour communiquer avec les journalistes du Guardian et transmettre les documents de la NSA. L’OS a permis de :

  • Protéger son anonymat en masquant son adresse IP.
  • Chiffrer les communications avec les journalistes.
  • Effacer toute trace après chaque session.

Inconvénients et défis

  • Lenteur : Le routage via Tor ralentit considérablement la navigation et les téléchargements.
  • Limites matérielles : Certains périphériques (imprimantes, webcams) ne sont pas toujours reconnus.
  • Pas adapté au travail quotidien : Tails est conçu pour des sessions ponctuelles, pas pour une utilisation permanente.

🔗Whonix : Sécurité par isolation réseau

Whonix est un OS qui fonctionne en deux parties :

  1. Whonix-Gateway : Une machine virtuelle qui route tout le trafic via Tor.
  2. Whonix-Workstation : Une machine virtuelle isolée pour le travail, qui ne peut communiquer avec l’extérieur que via le Gateway.

Fonctionnement et avantages

  • Isolation réseau : Même si la Workstation est compromise, le trafic reste anonymisé via Tor.
  • Compatibilité : Whonix peut être utilisé avec VirtualBox ou QEMU/KVM, ce qui le rend accessible à la plupart des utilisateurs.
  • Sécurité renforcée : Idéal pour les journalistes qui doivent analyser des documents sensibles ou naviguer sur des sites à risque.

Cas d’usage pour les journalistes

  • Analyse de malwares : La Workstation peut être utilisée pour étudier des fichiers suspects sans risquer d’infecter le réseau local.
  • Navigation ultra-sécurisée : Même en cas de compromission de la Workstation, l’attaquant ne peut pas remonter à l’IP réelle de l’utilisateur.

Inconvénients et défis

  • Complexité : Whonix nécessite une configuration technique pour fonctionner correctement.
  • Performances : La double virtualisation peut ralentir le système.

✅️Bonnes pratiques pour les OS sécurisés

Pour maximiser la sécurité avec ces OS, les journalistes devraient :

  1. Vérifier l’intégrité des images ISO avant installation (via les signatures GPG).
  2. Utiliser des clés USB dédiées pour Tails, et les conserver en lieu sûr.
  3. Ne jamais réutiliser un mot de passe entre un OS sécurisé et un OS grand public.
  4. Former les sources à l’utilisation de ces outils (ex. : comment utiliser Signal sous Tails).