Comment publier sur a-louest.info avec une sécurité maximale

a-louest.info propose à chacun·e de publier infos, textes, photos... (à condition de respecter le texte d’intention). Mais l’utilisation d’internet n’est pas sans risque, et, pour une raison ou pour une autre, l’auteur·e de la publication peut souhaiter une sécurité maximale. Voici quelques conseils dans ce sens, c’est l’occasion aussi de préciser la sécurité mise en place sur le site.

Sommaire

Ce que fait a-louest.info pour la sécurité des personnes qui consultent le site ou proposent des articles
- Un site et un serveur sécurisé :
- Un logiciel de publication opacifié :
Ce que vous pouvez faire pour votre sécurité lorsque vous écrivez sur a-louest ou consultez le site
Si vous estimez ne pas pouvoir vous reposer sur les dispositifs de sécurité de a-louest (on n’est pas à l’abri d’une défaillance)

Avant tout chose, ce guide doit se lire à la suite de Comment publier ?

Pour rappel, sur a-louest.info, les publications passent en modération partagée dans l’espace privé du site avant d’être visibles sur le site public. C’est pour permettre cette modération et des discussions sur le texte proposé (demande de précisions, d’ajout, etc.) que le ou les auteur·es sont invités à laisser un mail de contact. L’usage régulier d’un même pseudo permet aussi au collectif de savoir que les infos viennent d’une personne ou d’un collectif de confiance.

Voici quelques éléments sur ce que le site propose comme sécurité, et ce que vous pouvez faire en fonction du niveau de discrétion que vous souhaitez ou de la menace dont vous désirez vous protéger.

Ce que fait a-louest.info pour la sécurité des personnes qui consultent le site ou proposent des articles

Un site et un serveur sécurisé :

Dès le passage dans l’interface de publication, toute connexion est automatiquement chiffrée (le s de https) : si quelqu’un écoute votre ligne ou demande vos logs, on saura que vous vous êtes allé·e sur a-louest, pas ce que vous avez lu ou écrit. Le https est également disponible sur l’interface publique (le site lui-même).
le site est mis à jour dans les plus brefs délais (quelques heures au maximum) dès qu’une faille de sécurité est annoncée sur Spip, le logiciel qui le fait tourner, idem pour le serveur ;
le site est hébergé aux États-Unis, où il n’y a pas d’obligation de conservation des logs (les informations de connexion des utilisateurs·trices au site) ;
un soin particulier est apporté à la sécurité du serveur, dont on maîtrise la configuration, pour prévenir tout piratage ;
le serveur est chiffré ;
il est hébergé dans un data-center avec d’autres serveurs militants.

Un logiciel de publication opacifié :

Nous avons apporté quelques modifications à Spip afin de limiter les renseignements disponibles qui permettraient d’obtenir des informations sur un pseudo :

un plugin maison efface automatiquement les métadonnées des photos ajoutées aux articles (voir plus bas) ;
la liste des auteur·es n’est pas accessible aux rédacteurs et rédactrices.
les rédacteurs et rédactrices ne peuvent pas facilement voir les informations associées à un·e auteur·e, c’est-à-dire ni le nombre et le titre des articles qu’ille a publié, ni le mail associé à son compte ;
enfin, comme sur tous les sites Spip, les mots de passe de connexion au site sont automatiquement chiffrés. C’est-à-dire qu’ils sont illisibles pour un·e humain·e, y compris les admins.

Ce que vous pouvez faire pour votre sécurité lorsque vous écrivez sur a-louest ou consultez le site

Le site repose sur le pseudonymat : vous pouvez ainsi choisir un nom de compte qui ne permette pas de vous identifier si vous en éprouvez le besoin. Cela ne permet pas à la police ou à d’autres personnes malveillantes de vous reconnaître, mais cela facilite la discussion et la confiance de vos proches ou de personnes de a-louest. Quelques conseils pour cela :

Distinguer les utilisations de ses comptes « rédacteur » : ne pas utiliser par ex. un compte créé pour publier régulièrement des infos de tel ou tel collectif pour ensuite proposer avec le même compte le récit d’une action dont les auteur·es veulent rester discret·es.
Utiliser un mail jetable pour créer un compte, par exemple avec Yopmail et Mailinator (sauf piratage, seuls les administratrices pourront voir ce mail, cf. plus haut). Par exemple, je décide de me créer une adresse mail « toto45@yopmail.com » pour un compte a-louest.info que je n’utiliserai qu’une fois pour un article précis. Si vous avez utilisé une connexion ne permettant pas de vous identifier (via Tor, un VPN ou un point d’accès public), il sera impossible pour la justice de prouver que vous êtes l’utilisateur ou l’utilisatrice spécifique de cette boite mail.
Vous pouvez depuis peu créer un alias de votre boîte mail Riseup : avec ce dispositif, impossible de savoir que l’adresse mail anar75019@riseup.net utilisée pour la création d’un compte est reliée à bibibolduc@riseup.net que vous utilisez depuis des années.
Par contre, supprimer son pseudo après proposition à la publication est une fausse sécurité : le pseudo de l’auteur·e d’un article, même après suppression de son association à un article, est accessible aux administrateurs et administratrices (ou à une intrusion malveillante qui réussirait à obtenir un mot de passe administrateur ou à récupérer la base de données). Dans le cas où l’auteur·e supprime son pseudo avant même de proposer son article, il ne peut plus ensuite ni le proposer à la publication, ni le modifier.

Si vous estimez ne pas pouvoir vous reposer sur les dispositifs de sécurité de a-louest (on n’est pas à l’abri d’une défaillance)

Le site propose un ensemble d’outils pour sécuriser les rédacteurs et rédactrices. Néanmoins, si l’information que vous souhaitez partager peut vous mettre en danger, il peut être souhaitable de les doubler de différentes pratiques :

Masquer votre IP : de chez vous, vous pouvez utiliser un VPN comme celui de Riseup ou en installer en quelques minutes Tor, avec le Tor Browser [1]... Vous pouvez aussi utiliser un point d’accès Wifi ou autre depuis un lieu public (café, bibliothèque, administration…). Attention, cette méthode est susceptible d’être interceptée et peut laisser des traces physiques (caméras de vidéosurveillance, etc.).
Supprimer vous-même les métadonnées de vos fichiers ajoutés à un article, avec par exemple les logiciels Exiftools pour Windows ou Mac, et Mat sur Linux.
Pour vérifier les métadonnées d’une image avant (ou même après) publication, il y a par exemple ce site : metapicz.
Si vous décidez de changer votre mot de passe fourni lors de l’inscription [2], nous vous conseillons fortement d’utiliser un mot de passe spécifique à a-louest (et un mot de passe unique par compte en général). À noter que le logiciel KeePassX permet de conserver de manière sécurisée un grand nombre de mots de passe pour ne pas avoir à les mémoriser et éviter d’utiliser tout le temps les mêmes.

Pour toute question supplémentaire ou point qui resterait obscur, n’hésitez pas à contacter le collectif d’animation, via notre mail ou quand vous nous croisez.

[1] Plus d’infos sur Tor dans cet article. Vous pouvez le télécharger ici.
[2] Vous pouvez changer votre mot de passe en vous rendant sur votre page d’utilisateur. Pour cela, cliquez sur votre pseudo tout en haut à gauche dans l’interface de publication.

Compléments d'info à l'article

Publiez !

Comment publier sur A l’ouest - Site coopératif d’informations locales et d’ailleurs, sur Rouen et alentours?

A l’ouest - Site coopératif d’informations locales et d’ailleurs, sur Rouen et alentours n’est pas qu'un collectif de rédaction, c’est un outil qui permet la publication d’articles que vous proposez. Quelques infos rapides pour comprendre comment être publié !
Si vous rencontrez le moindre problème, n’hésitez pas à nous le faire savoir
via le mail alouest@riseup.net