En 2013, le New York Times révélait avoir été victime d'une cyberattaque venue de Chine et accusait le gouvernement chinois d'en être le commanditaire. La raison? Un article du quotidien paru quelques mois auparavant s'intéressant à la fortune du Premier ministre de l'époque, Wen Jiabao.
Si Pékin a alors réfuté être à l'origine de l'attaque, le journal s'est depuis doté d'une défense digne de ce nom. En 2016, Runa Sandvik, une hackeuse connue pour avoir travaillé sur l'anonymisation du réseau Tor, a pris la tête de son service de cybersécurité.
Les journalistes, cibles de choix
Les journalistes font régulièrement l'objet de cyberattaques, car les informations en leur possession sont rarement très bien protégées. C'est du moins ce qu'avance Runa Sandvik, qui a longtemps accompagné des journalistes freelance avant d'entrer au New York Times, auprès de Motherboard.
Au sein de la rédaction du quotidien, la hackeuse poursuit un travail pédagogique pour apprendre aux journalistes à se protéger. Ensuite, en fonction de la rubrique ou de l'investigation en cours, elle ajuste ses recommandations. Elle insiste particulièrement sur la protection des sources: «Vous ne pouvez dire que vous être prêts à tout mettre en œuvre pour protéger une source, si vous ne le faites pas avec les données numériques».
Pour mieux les sensibiliser à la question, Runa Sandvik est allée jusqu'à créer des ateliers «Doxing» (une pratique de hacking visant à révéler des informations sur la vie privée d'une personne), où les journalistes avaient pour mission de se pirater eux-mêmes.
Au New York Times, les menaces sont nombreuses: trolls, harcèlement en ligne, tentatives de phishing, etc. Mais Runa Sandvik est spécialement attentive à la sécurité des journalistes dépêchés dans des zones de conflits ou qui se rendent à l'étranger. «Moi-même, ce que je fais, c'est de toujours me déplacer avec un ordinateur portable et un téléphone “spécial voyage”.»
Une façon de minimiser les risques en cas de perte, de vol ou d'interrogatoire. «Si votre téléphone est volé ou confisqué, il ne pourra ainsi révéler que des choses liées à votre voyage. Rien sur votre vie.»
La cybersécurité pour les nuls
En fin d'interview, Runa Sandvik fournit quelques conseils pour qui veut renforcer sa sûreté. «La sécurité informatique, c'est d'abord rendre la tâche du hacker plus ardue. Il faut aussi penser à s'assurer que les mises à jour de nos téléphones et ordinateurs sont bien installées.»
Elle recommande l'identification à deux facteurs, l'utilisation de Signal, une application de messagerie cryptée ainsi que d'un gestionnaire de mot de passe comme Dashlane ou 1password. Quant à la question «Android ou iPhone?», Runa déclare sans hésiter choisir le téléphone d'Apple, dont elle préfère de loin la politique de confidentialité.
