Journal Préservation de l'identité des sources

Posté par  . Licence CC By‑SA.
Étiquettes :
9
26
oct.
2019

Je viens de recevoir ce message :

_Transparency France met à disposition des victimes et témoins de faits de corruption,
une plateforme de signalement sécurisée !

Alerte corruption est une plateforme de signalement sécurisée. Ce nouvel outil permet à tout citoyen de nous faire parvenir des messages et des documents de manière totalement sécurisée car cryptés de bout en bout, de manière anonyme, tout en préservant l’identité des sources.

La création de cette plateforme a été menée en partenariat avec l’ONG Nothing2Hide, experte de la sécurité informatique pour les journalistes et leurs sources.
_

Et le lien sur lequel on nous invite à cliquer pour accéder anonymement à la plateforme est :
https://transparency-france.us12.list-manage.com/track/click?u=62927g345fdf67de0eefb375b&id=9c75580910&e=5fb3a21d3b qui est un serveur mailchip.
Donc j'en conclue que pour l'anonymat en utilisant le lien dans ce mail, c'est raté, non ?
Et par la suite, même si j'y accède directement, si je ne cache pas mon IP, mon FAI va pouvoir transmettre les moments où je me connecte à la plateforme et faire le lien avec les données éventuellement récupérées légalement ou pas sur cette plateforme ?

  • # mailchimp

    Posté par  . Évalué à 2.

    Ah au fait, ne cliquez pas sur le lien, il ne marchera pas, je l'ai modifié.

  • # au service de quelle intelligence ?

    Posté par  (site web personnel) . Évalué à 10.

    Je n’aime pas la corruption et la combat quand je le peut, mais qui me dit que Transparency France est au service de mon pays ou même au service du bien ? À la corruption intérieure faut-il ajouter l’ingérence étrangère ?

    ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: au service de quelle intelligence ?

      Posté par  . Évalué à 3. Dernière modification le 27 octobre 2019 à 11:32.

      Signaler du blanchiment d'argent, en général lié à des activités mafieuses, c'est déjà pas mal. Mais vu les risques, il faut un système de signalement le plus possiblement abouti d'un point de vue sécurité, et c'est là que l'utilisation de Mailchimp me gêne.

  • # hein ?

    Posté par  (Mastodon) . Évalué à 5.

    Je comprends pas grand chose à ton histoire à vrai dire.

    Peux-tu donner le lien où l'on voit que Transparency France incite à utiliser mailchimp pour dénoncer de la corruption ? Tu dis "je viens de recevoir", mais par quel canal ?

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # Grossière tentative de hameçonnage?

    Posté par  . Évalué à 7.

    Je ne sais pas ce que tu as reçu comme message. J'ai fait une recherche simple:
    "Transparency International France" "Alerte Corruption" "nothing2hide" dans notre ami Google DuckDuckGo, et j'ai trouvé leur article:
    https://transparency-france.org/aider-victimes-de-corruption/cajac/

    et plus bas le lien vers le site de signalement:
    https://signalement-corruption.transparency-france.org/#/

    Je n'ai évidemment pas rempli le formulaire (hormis ma multitude de comptes cachés aux 4 coins du monde, je n'ai rien à déclarer… ah! on me fait signe que je n'ai pas de comptes cachés aux 4 coins du monde non plus! mince! tant pis, je serai riche et pourri dans une autre vie!!)

    Donc, j'ai la même question que le commentaire plus haut:

    Tu n'aurais pas reçu ça par email d'une source que tu n'aurais pas vérifiée?
    Parce que si je voulais démolir la crédibilité d'une organisation qui lutte contre la corruption, l'idée une campagne de hameçonnage de ce genre m'aurais sûrement traversé la tête!

  • # Usage de Tor

    Posté par  . Évalué à 3. Dernière modification le 26 octobre 2019 à 19:15.

    même si j'y accède directement, si je ne cache pas mon IP, mon FAI va pouvoir transmettre les moments où je me connecte à la plateforme et faire le lien avec les données éventuellement récupérées légalement ou pas sur cette plateforme ?

    Je ne sais pas si tu es allé sur le site web en question, mais chez moi un grand bandeau apparaît, me recommandant "fortement" de télécharger Tor Browser depuis son site officiel. Il y figure aussi l'adresse du service caché Tor qui sert pour les signalements. C'est bien sûr toujours possible qu'ils gèrent très mal les informations derrière, mais tes craintes vis-à-vis de ton FAI sont infondées.

    Quant au fait que ton anonymat serait menacé en cliquant sur le lien mailchimp, je ne comprends pas. D'une part, beaucoup de gens vont visiter cette page d'accueil sans pour autant signaler de la corruption, noyant les vrais utilisateurs dans la masse. D'autre part, si tu t'inquiètes à ce point qu'on sache que tu pourrais révéler de la corruption… pourquoi diable es-tu abonné à une liste de diffusion de Transparency France ? Mailchimp te connaît déjà, cliquer sur le lien ne va rien changer.

    • [^] # Re: Usage de Tor

      Posté par  . Évalué à 3.

      Et, si je ne me trompe pas, Tor fait bien son travail, car je suis allé voir le site de signalement avec Tor et j'ai aussi vu le bandeau me disant que je n'utilise pas Tor. Cela dit peut-être que le code du bandeau n'est pas très malin est s'affiche dés qu'on accède à cette page sans y arriver par le service caché Tor.

      • [^] # Re: Usage de Tor

        Posté par  . Évalué à 4.

        Le bandeau ne disparait que sur la page en .onion, il apparaît en permanence sur https://signalement-corruption.transparency-france.org/#/submission

        C'est juste codé comme ça, voir le js.

        La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

        • [^] # Re: Usage de Tor

          Posté par  . Évalué à 1. Dernière modification le 27 octobre 2019 à 11:30.

          En effet, ça limite fortement le risque de faire un signalement depuis le lien MailChimp. Mais pas mal de personnes étant incapables d'utiliser Tor voire de copier-coller un lien dans le navigateur ni de le mettre en marque-page, elles vont se contenter de conserver le mail de Mailchimp pour cliquer sur le lien quand elles feront un signalement. Le risque n'est pas nul.

          • [^] # Re: Usage de Tor

            Posté par  . Évalué à 2.

            Tout d'abord, sans Mailchimp, le "risque" de voir les gens conserver le mail pour cliquer sur le lien est exactement le même. Et les conséquences sont aussi les mêmes : le FAI serait potentiellement au courant que l'utilisateur se connecte à un site de Transparency France.

            Ensuite, la plupart des gens sont tout à fait capables d'installer des applications sur leur ordinateur et ça tombe bien puisque c'est exactement ce qu'est Tor Browser. Je viens de retourner sur leur site de téléchargement, le plus compliqué est probablement d'identifier le logo de son OS.

            Mais surtout, si utiliser Tor Browser est pour toi trop compliqué, je suis très curieux de savoir comment tu souhaiterais que Transparency France s'organise. Toutes les autres solutions me paraissent bien plus compliquées.

            • [^] # Re: Usage de Tor

              Posté par  (site web personnel) . Évalué à 4.

              Je ne connais pas Mailchimp et transparency-france, mais si j'avais eu ce mail j'aurai moi aussi été dubitatif.

              Ce n'est pas un problème en soi que ton FAI sache que tu est allé sur le site de transparency-france, ni même que Mailchimp sache que tu y es allé. Mais le lien donné peut apporter des indices pour retrouver l'auteur d'un signalement:

              • Il y a des variable u=…, id=.. et e=… qui sont très probablement liées au destinataire du mail. En faisant la redirection, est ce que Mailchimp envoie ces infos à transparency-france? Est-ce que ça apparaît dans le referer transmis par le navigateur?
              • Si cet identifiant n'est pas transmis, Mailchimp sais quand même à quel instant tel utilisateur a utilisé le lien. En sachant également à quel moment un lanceur d'alerte a posté sur transparency-france, ne peut-on pas faire de recoupement?

              Si on veut conserver un minimum d'anonymat, il faudrait que le lien pointe directement vers transparency-france en https, sur une page expliquant comment utiliser TOR.

              Un LUG en Lorraine : https://enunclic-cappel.fr

  • # Quel genre de corruption?

    Posté par  (site web personnel) . Évalué à 10.

    Est-ce que l'on peut dénoncer sur cette plateforme la socialisation des pertes et la privatisation des profits?

    Je ne veux pas le dénoncer publiquement, mais je connais le gouvernement d'un pays (et pas n'importe lequel) qui est coutumier de cette pratique !

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

    • [^] # Re: Quel genre de corruption?

      Posté par  . Évalué à 0.

      Est-ce que l'on peut dénoncer sur cette plateforme la socialisation des pertes et la privatisation des profits?

      Quel rapport avec la corruption ?
      Wikipedia : « La corruption est la perversion ou le détournement d'un processus ou d'une interaction avec une ou plusieurs personnes dans le dessein, pour le corrupteur, d'obtenir des avantages ou des prérogatives particulières ou, pour le corrompu, d'obtenir une rétribution en échange de sa complaisance. »
      Où est la rétribution ?

      Je ne veux pas le dénoncer publiquement, mais je connais le gouvernement d'un pays (et pas n'importe lequel) qui est coutumier de cette pratique !

      Ça irait plus vite de lister les pays qui ne pratiquent pas ce qui est le moteur même de l'enrichissement des classes dirigeantes.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.