« Les journalistes ont besoin des hackeurs »

Article  par  Vincent BRESSON  •  Publié le 14.09.2018  •  Mis à jour le 14.09.2018
Jean-Marc Manach
 Les outils numériques apportent aux rédactions une aide précieuse dans la collecte d’informations. Les hackeurs, bidouilleurs informatiques, s’inscrivent parfois dans un travail journalistique. Entretien avec Jean-Marc Manach, journaliste d’investigation sur les liens entre hackeurs et journalistes. 
Comment expliquer le rapprochement entre journalistes et hackeurs ces dernières années ?
 
Jean-Marc Manach : Il y a 20 ans quand j’ai commencé le journalisme sur Internet j’ai tout de suite compris que les hackeurs étaient du côté de la solution et pas du problème. C’est grâce à des hackeurs et sous leur influence que j’ai développé à la fois des compétences en matière de sécurité informatique et d’investigation en ligne. J’ai pu commencer à aborder l’état d’esprit, la façon de travailler sur Internet : chercher des failles de sécurité, trouver des solutions, expérimenter, bidouiller et apprendre de mes erreurs.

Cela reste un phénomène minoritaire, mais il y a de plus en plus de journalistes qui arrêtent de considérer qu’un hackeur c’est un criminel qui met des masques d’Anonymous et des gants pour ne pas laisser ses empreintes digitales sur un ordinateur.

Sur Google Images, quand vous tapez « hackeur », le résultat est caricatural et méprisant à un point ! Depuis l’affaire Snowden, ce qui a changé c’est qu’un nombre non négligeable de journalistes commence à comprendre qu’il faut sortir de la caricature. Le problème c’est qu’une majorité d’entre eux continue néanmoins à propager cette image. Mais avec l’essor du data journalisme, de plus en plus de journalistes comprennent qu’il faut travailler avec des développeurs, et avoir des compétences en informatique et en code. Ils découvrent que les hackeurs et les développeurs ne sont pas uniquement des ingénieurs informaticiens, et qu’on a besoin d’eux.

Pendant longtemps, Internet était considéré comme un problème et on ressent encore les effets de cette représentation. On voyait ça comme quelque chose de compliqué, de technique. Donc les gens et pas seulement les journalistes, avaient peur d’Internet et des hackeurs qui, dans l’imaginaire collectif, sont des gens qui maîtrisent Internet.
 
 
Que cherchent les journalistes en sollicitant des hackeurs ? Que cherche le hacker réalisant un travail journalistique ?
 
Jean-Marc Manach : Je ne sais pas si les hackeurs ont besoin des journalistes. Par contre, les journalistes ont besoin des hackeurs. Qu’est-ce qu’un journaliste peut y gagner ? D’abord une meilleure compréhension du fonctionnement d’Internet, donc, de la façon d’y trouver des informations, de les recouper et de repérer les bons outils. Je me souviens des premiers cours que je donnais à des journalistes, ils ne savaient pas si l’information qu’ils cherchaient était disponible sur Internet. Ils étaient complètement perdus. Alors que si l’information existe, je peux la trouver. C’est moi qui contrôle l’ordinateur. C’est moi qui suis aux commandes. La majorité des utilisateurs sont contrôlés par leurs ordinateurs qui les empêchent de faire des choses avec des « logiciels privateurs », selon l’expression de Richard Stallman. Car quand vous n’avez pas le droit d’examiner le code source d’un logiciel, ce qui est le cas de Windows par exemple, vous êtes contrôlés par le logiciel.

Le journaliste peut donc gagner de l’aisance dans sa façon de travailler, avec plus d’outils et plus de pouvoir. Et je ne vous parle même pas en termes de protection des sources. Si vous êtes journaliste d’investigation, vous avez le devoir de protéger vos sources. Et pour pouvoir le faire, il faut savoir comment fonctionne un ordinateur, comment fonctionne Internet. Ça ne sert à rien d’acheter une porte blindée si vous laissez la fenêtre ouverte. Le problème, c’est que la majeure partie des gens pense qu’il suffit d’installer un antivirus ou un logiciel de chiffrement pour pouvoir protéger ses sources. Alors que vous risquez de faire des erreurs si vous ne maîtrisez pas le fonctionnement de vos terminaux et d’Internet. On peut avoir un faux sentiment de sécurité. Donc un hacker a énormément de choses à apporter aux journalistes.
 
 
Pourquoi certains hackeurs comme Bluetouff avec le site reflets.info ou l’équipe de ThinkerView se lancent-ils dans un travail journalistique ?
 
Jean-Marc Manach : Reflet.info est parti d’une discussion entre Kitetoa et Bluetouff [respectivement Antoine Champagne, journaliste, et Olivier Laurelli, hackeur, NDLR], qui constataient un vide dans le paysage médiatique français sur les sujets qu’ils traitent. Constat avec lequel j’étais et je suis toujours d’accord.

ThinkerView, c’est pareil. Ils sont partis de l’idée que la majeure partie des journalistes se contentent de « servir de la soupe ». Ce n’est pas en faisant des interviews pendant trois minutes qui vont être coupées pour passer aux JT de 20 h qu’on va comprendre un phénomène. Sur ThinkerView, une interview prend souvent une heure. Ils prennent le temps de poser des questions. Si la réponse ne suffit pas, elle sera posée à nouveau. Dans les deux cas ils n’ont pas besoin de journalistes. ThinkerView est animé par quelqu’un qui n’est pas journaliste. Antoine Champagne, c’est un journaliste qui s’est associé avec un hackeur parce qu’il pensait qu’il y avait un vide sur la question d’Internet.
 En France il n’y a pas énormément de journalistes qui comprennent et maîtrisent Internet 
Dans la presse anglo-saxonne, on a des journalistes qui maîtrisent la matière première qu’ils traitent dans le domaine informatique. Alors qu’en France il n’y a pas énormément de journalistes qui comprennent et maîtrisent Internet.
 
 
Peut-on parler d’une spécificité française dans les relations entre journalistes et hackeurs ?
 
Jean-Marc Manach : La spécificité réside dans l’histoire du CCCF (le Chaos Computer Club France). À la fin des années 1980, les services de renseignements américains découvrent que quatre hackeurs allemands sont payés par le KGB pour espionner les ordinateurs de l’OTAN. Ils sont arrêtés. Et là c’est un séisme dans le monde du renseignement occidental. On est en pleine guerre froide et les services de renseignements découvrent que des « adulescents », petits génies de l’Internet, peuvent travailler pour le KGB. Donc ça change la donne en matière de contre-espionnage. Et la DST, le service de contre-espionnage français, ne trouve rien de mieux à faire que créer le CCCF pour attirer les jeunes hackeurs français et éviter qu’ils ne se retrouvent dans les griffes du KGB. Plus personne en France ne va se définir comme hackeur ou se réclamer du hacking, car c’est prendre le risque d’avoir les services de renseignements aux fesses.

La spécificité française c’est donc ça : le mot hackeur est devenu tabou. Il a fallu attendre 2007 pour qu’un premier festival utilise le mot « hackeur » en France : le Hacker Space Festival. Mais ce mot a été tabou pendant près de 20 ans. À cause de ce qui s’est passé avec le CCCF. C’est ce qui fait qu’on a cette imagerie populaire du hackeur comme un criminel.
 Quand le mot hackeur est utilisé dans les médias, c’est pour définir des comportements criminels  Cent pour cent des djihadistes se réclament de l’islam. Ça ne veut pas dire que 100 % des musulmans sont des terroristes. C’est la même chose avec les hackeurs. La quasi-totalité des hackeurs sont bien intentionnés. Ce ne sont pas des délinquants, ils ne font pas des choses hors-la-loi. Si depuis l’affaire Snowden, la tendance a un peu évolué, aujourd’hui encore, la majeure partie du temps, quand le mot hackeur est utilisé dans les médias c’est pour définir des comportements délinquants ou criminels. C’est une aberration totale !

Il y a un autre congrès de sécurité informatique en France, le SSTIC. C’était organisé [à l’origine] dans l’enceinte même d’une caserne militaire, à l’École des transmissions à Rennes. Aux États-Unis les colloques de hackeurs s’organisaient dans des hôtels à Las Vegas et ils avaient un jeu : d’identifier qui était l’agent du FBI ou de la NSA. En Allemagne, le Chaos Communication Camp était organisé dans d’anciennes bases militaires de la RDA, avec un esprit de contre-culture. En France, la moitié des gens était en uniforme. Il y a une sorte de consanguinité avec l’armée ou la police. Et du coup, peu de journalistes ont eu l’occasion de discuter avec les hackeurs de manière sérieuse en France.
 
 
Existe-t-il une prise de conscience en matière de sécurité informatique au sein des journalistes ?
 
Jean-Marc Manach : Le premier site que j’ai créé pour expliquer comment sécuriser ses conversations sur Internet, j’ai dû le concevoir en 1999 ou 2000. Nous sommes en 2018, Edward Snowden est sorti du bois en 2013 et il a fallu attendre l’année dernière pour que l’École supérieure de journalisme de Lille me demande de former l’ensemble de sa promo de première année. L’an passé, une étude, basée sur un questionnaire envoyé aux 14 écoles reconnues par la profession, a révélé que, sur les 11 répondants, 4 proposaient une « sensibilisation » théorique à travers des cours non spécifiques, 4 des conférences de quelques heures, et 3 (CFJ, ESJ et EJDG) des formations d’au moins deux voire quatre jours. Cinq ans après le début des révélations Snowden, c’est juste hallucinant ! Cette formation devrait être un prérequis dans toutes les écoles de journalisme. Mais aussi dans les écoles de médecine, d’ingénieurs … Il y a de nombreux métiers soumis au droit de réserve et où l’on doit protéger des données.

Concernant les rédactions, avant les révélations d’Edward Snowden, aucune ne m’avait demandé de dispenser des formations internes. Depuis, ça a dû arriver deux fois dans des petites rédactions, il y en a une qui m’a donné deux heures et l’autre une matinée ... Ça fait des années que sur les catalogues de formation continue pour les journalistes, il y a des formations à la sécurité informatique, mais aucune rédaction ne les achète. Mais ce qui a un petit peu changé, c’est que les journalistes, d’eux-mêmes, apprennent. L’information est aujourd’hui disponible.
 
 
Quelle en est la cause, selon vous ?
 
Jean-Marc Manach : « Faites ce que je dis, pas ce que fais. » Beaucoup de journalistes se scandalisent sur les révélations d’Edward Snowden sans comprendre de quoi il retourne exactement, et pour autant, ils ne vont pas faire l’effort d’apprendre à se protéger. C’est de l’inconscience totale, de la paresse intellectuelle, de la faute professionnelle. Je ne dis pas que tous les journalistes devraient apprendre. Tous n’ont pas vocation à faire de l’investigation et donc intérêt à savoir protéger leurs sources.

Mais depuis les révélations Snowden ou Cambridge Analytica, notamment, des journalistes dénoncent la surveillance de masse, le fait qu’Internet soit du capitalisme de surveillance ... Les médias écrivent là-dessus. Par contre, prendre le temps d’apprendre à protéger ses sources et donc à faire face à ces technologies de surveillance, ils ne le font pas. C’est une forme d’hypocrisie.
 
 
Quelles formes peut prendre le rapprochement entre les hackeurs et les journalistes ?
 
Jean-Marc Manach : Aux États-Unis, le New York Times a recruté quelqu’un pour sécuriser les communications de ses journalistes. En France, certaines rédactions ont embauché des data-journalistes, des gens qui avaient des compétences en matière de journalisme et de code, pour traiter les données. Mais ce ne sont généralement pas des hackeurs au sens « sécurité informatique » ou de quelqu’un qui va pouvoir développer un logiciel.

Deux exemples. Le projet OWNI, c’était un média français qui a été pionnier du data-journalisme en France. On y avait cassé (physiquement) le mur entre les développeurs et les journalistes. Nous y avions des développeurs, des journalistes, des graphistes et nous travaillions ensemble. On a vraiment « hacké » l’information.

L’autre exemple c’est celui de Nicolas Kayser-Bril, lui aussi pionnier du data-journalisme. Quand il est parti d’OWNI, il s’est fait un nom. Il a été approché par un certain nombre de rédactions. Il voulait bien travailler avec celles-ci, mais il avait besoin pour cela d’un développeur et d’un graphiste, et les rédactions ont dit non. Elles voulaient un journaliste qui soit bon en code, bon en graphisme et bon en journalisme. Je connais un certain nombre de data-journalistes qui ont été recrutés dans de grandes rédactions mais qui en sont partis parce qu’on leur demandait de tout faire, même et y compris des camemberts, sur des sujets pas très intéressants et sans réelle plus-value « data ». Ils ne pouvaient pas faire des choses aussi intéressantes que ce qu’on faisait à OWNI où l’on avait ces trois compétences-là.
 
 
Sur certains sites américains il est possible d’envoyer à la rédaction des informations chiffrées. En France, pourquoi si peu de médias le font-ils ?
 
Jean-Marc Manach : En France, Mediapart le fait mais sans passer par SecureDrop, qui est le système de référence dans ce domaine depuis les révélations Snowden. C’est un logiciel qui a été conçu pour permettre aux lanceurs d’alerte de contacter de manière sécurisée et anonyme des rédactions. Ça a été fait pour que quelqu’un qui travaille dans les services de renseignements puisse contacter anonymement un journaliste pour envoyer des informations. Un peu moins d’une centaine de médias l’utilisent. Pour la plupart, ils sont américains. Quand l’un des principaux développeurs de SecureDrop a approché les rédactions en France pour leur proposer de l’installer, bénévolement ou contre une petite somme d’argent, ils ont refusé.

Après, il y a des journalistes au Monde ou à Libération notamment, qui indiquent dans leurs profils Twitter ou sur leur site personnel comment les contacter sur Signal, mais ce sont des initiatives individuelles. Aux États-Unis, dans de plus en plus de médias, les journalistes précisent leur numéro sur Signal ou WhatsApp à côté de leur signature, avec leur nom. Ça devient la norme aux États-Unis. En France, pas du tout.
 
 
Certains hackeurs créent leur propre site internet indépendant, d’autres travaillent par intermittence avec journalistes. Vous avez fait les deux. Entre ces deux options, quelle est la plus intéressante pour délivrer la meilleure information possible ?
 
Jean-Marc Manach : J’ai deux réponses à ça. La première, c’est comme si vous me demandiez ce que peuvent faire les médecins pour améliorer le journalisme, ce que peuvent faire les policiers pour améliorer le journalisme… Je ne sais pas si les hackeurs, les médecins et les policiers veulent améliorer le journalisme, mais ils peuvent y contribuer en aidant les journalistes à améliorer leurs compétences dans leurs domaines respectifs : quand un journaliste ou un média écrit une ânerie il faut lui expliquer. Il faut arrêter la désinformation. Tout citoyen doit contribuer au fait qu’on ait de moins en moins de fake news. Ce n’est pas seulement un travail de journalistes. On a besoin de personnes qui s’y connaissent mieux que nous.
La deuxième, et c’en est la parfaite illustration, c’est quand Le Monde a fait une une expliquant que la DGSE surveillait l’intégralité des communications en France. À l’époque, j’avais cherché à savoir comment la DGSE aurait pu le faire, parce que vu le maillage décentralisé des télécommunications en France ça me semblait extrêmement complexe à mettre en œuvre. J’avais contacté des ingénieurs, des informaticiens, des hackeurs qui travaillaient au cœur des réseaux internet et je leur ai demandé ce qu’ils en pensaient, et si c’était possible.

Une des réponses qui m’a été faite, c’est que techniquement et financièrement, c’était inenvisageable, il aurait fallu installer des dizaines de milliers de logiciels espions partout en France. Ce qui aurait coûté des milliards d’euros. Et quand je leur ai demandé : « pourquoi n’avez-vous pas réagi quand il y a eu la une du Monde qui racontait ça ? Pourquoi attendez-vous que je vous pose la question, et pourquoi ne dites-vous pas que c’est faux ? ». La réponse qui m’a été faite, c’est qu’ils avaient tellement l’habitude que les médias racontent n’importent quoi en matière d’Internet qu’ils ne réagissent même plus. Le problème c’est aussi ça.

Donc je ne sais pas dans quelle mesure il y a des hackeurs qui veulent changer les médias, même s’il existe des mouvements comme Cryptoparty, qui vont essayer d’expliquer aux gens comment sécuriser leurs communications. Mais ça reste une minorité, tout comme du côté des policiers ou des médecins … Tout le monde se plaint des médias sans s’impliquer pour autant. Alors que les journalistes ont besoin que les gens qui s’y connaissent mieux qu’eux les aident à comprendre et maîtriser les sujets dont ils parlent, afin de pouvoir les contextualiser et les remettre en perspective, tant pour les profanes que pour les experts.
 


--
Crédit photo : Capture d'écran d'un entretien sur la chaine Youtube de ThinkerView, avec l'aimable autorisation de ThinkerView.

Vous souhaitez nous apporter un complément, rectifier une information ? Contactez la rédaction