Le premier contact n’est que le début. Au-delà de cela, une fois que Whistleblower Aid a signé les clients, il recommande d’utiliser Signal pour la plupart des messages. “Nous passons beaucoup de temps à essayer de sécuriser nos appareils sécurisés”, déclare Tye.
Toutes les dénonciations ne sont pas identiques et chaque dénonciateur a son propre ensemble de risques. Quelqu’un qui dénonce les malversations de Big Tech sera confronté à différentes menaces possibles pour un dénonciateur de sécurité nationale, par exemple. Tye dit que Whistleblower Aid effectue une modélisation des menaces pour chacun de ses clients, évaluant les risques auxquels ils sont confrontés et d’où ou de qui ces risques peuvent provenir. Une considération, dit-il, est de savoir si certains services de cloud computing peuvent être utilisés – un service peut être plus risqué à utiliser s’il a une relation avec un gouvernement.
“Avec de nombreux clients, nous donnons aux gens des appareils spéciaux qu’ils n’utilisent qu’avec nous”, explique Tye. La plupart des communications se font via Signal. Parfois, Whistleblower Aid utilise des téléphones qui n’incluent pas de puces de bande de base, qui contrôlent les signaux radio émis par l’appareil, pour réduire les risques. «Nous trouvons des moyens d’isoler les appareils, nous les utilisons sans puces de bande de base. C’est un vecteur d’attaque que nous avons éliminé », déclare Tye. Dans certains cas, l’organisation utilise des configurations VPN personnalisées ; dans d’autres, les téléphones sont transportés dans des sacs Faraday. “Il existe des moyens de fournir des appareils aux personnes qui, si elles les utilisent conformément aux instructions, il n’y a aucun moyen de retracer les métadonnées jusqu’à cette personne”, explique Tye.
Pour les dénonciateurs, il peut être crucial de prendre des mesures supplémentaires pour essayer de garder leur anonymat. Le système de signalement des lanceurs d’alerte de la Commission européenne conseille aux personnes utilisant son propre outil de signalement de ne pas inclure leur nom ou toute information personnelle dans les messages qu’ils envoient et, si possible, d’accéder à son outil de signalement “en copiant ou en écrivant l’adresse URL” plutôt qu’en cliquant sur un lien pour réduire la création d’enregistrements numériques supplémentaires.
Il n’y a pas que la sécurité numérique qui doit être prise en compte – dans certains cas, la sécurité physique des personnes peut également être mise en danger. Cela pourrait inclure des questions de sécurité nationale ou des sujets controversés. Par exemple, les responsables du FBI, de la CIA et du Département d’État ont tenu des réunions quotidiennes pour trouver des moyens de capturer Edward Snowden, qui a divulgué une mine de documents détaillant les programmes de surveillance classifiés de la NSA.
« En cinq ans, nous avons eu deux cas où nous avons dû mettre des gardes armés sur des personnes, des avocats et des clients », dit Tye. Parfois, cela inclut de rencontrer des clients dans des «lieux inhabituels», y compris la réservation d’Airbnbs pour des réunions – parfois, des tiers sont utilisés pour effectuer la réservation afin qu’elle soit sous un autre nom. « Il ne semble même pas que nous louions l’endroit pour rencontrer quelqu’un », dit Tye.
Mais dans un monde où nous sommes constamment suivis à travers nos appareils et les signaux qu’ils diffusent dans le monde, la meilleure chose peut être de conserver les enregistrements hors ligne. “En personne, c’est le meilleur”, dit Tye. L’organisation à but non lucratif conseille d’organiser des réunions loin des appareils. “Nous avons même une machine à écrire que nous utilisons pour les documents sensibles.”
