Outils et fonctionnement pour limiter les risque de surveillance et d'infitration

Des participants d’un mouvement informel constitué de personnes qui ne se connaisse pas forcement entre elles sont à la recherche d’outils numériques libres et décentralisés et de mode d’organisation pour communiquer entre eux, s’échanger des infos, décider d’actions,… en réduisant le risques de surveillance ET d’infiltration.
Que conseillez vous comme outils, mode de fonctionnement des outils (ex gestion des droits) et comme mode d’organisation ?

Si l’objectif est de réduire la surveillance et le risque d’infiltration, j’en déduit qu’il s’agit de lutter contre une surveillance qui serait dans ce cas ciblée. C’est difficile de répondre sans un modèle de menace clair et dans le même temps, il ne faut probablement pas publier des infos qui décrivent ça sur un forum public (potentiellement indexé).

Sortir des outils connus (GAFAM et autres) et utiliser des outils chiffrés peut créer des difficultés pour certains surveillants, surtout dans une surveillance passive où il y a surveillance pour récupérer les infos plus tard éventuellement. En revanche, si il y a les moyens humains pour infiltrer, l’affaire se corse si le groupe ne se connaît pas entièrement…

Typiquement les cas qui me viennent en tête, c’est la police par exemple via une instruction judiciaire, des journalistes, des groupes d’idéologies opposés (exemple: ultra droite/antifa). Ces 3 cas sont différents car les moyens d’une instruction judiciaire peuvent être très gros (cf Bure) là où un journaliste lambda n’a pas un temps illimité (mais ça dépend de sa motivation aussi).

Le problème d’un groupe informel qui ne se connaît pas et qui doit faire face à l’infiltration c’est qu’il n’y a pas de moyen évident pour accorder la confiance et intégrer une personne (sauf rare cas où le groupe informel, regroupe des personnes avec une identités visibles spécifiques). Même un langage commun peut ne pas être suffisant ; à Bure les policiers qui faisaient les interrogatoires parlaient et agissaient comme celles et ceux qui se faisaient interroger, de facto iels étaient sous écoute humaine depuis des mois (comme 120 autres personnes liées à Bure).

A NDDL, les zadistes ont du faire face à des cas d’infiltrations de personne, certains sous-groupe pratiquaient du coup leurs actions en comité restreint et avait développer des stratégies pour résister aux personnes qui demandaient des infos.
Donc pour les actions, décider en cellule/très petit groupe est une piste, quitte à répartir collectivement les décisions dans plusieurs petits groupes (si besoin).

En général, dans ce genre de cas (si le risque d’infiltration n’est pas fantasmé) le plus simple (si possible) est d’éviter les communications via le numérique (ou en présence de micro/caméra/smartphone/box de salon/télé/tel fixe…). Se donner rendez-vous dans un lieu pour ensuite aller ailleurs est une bonne stratégie.

Attention également, aux métadonnées, je ne sais plus quel collectif déclenchait sans le savoir des alertes lorsque plusieurs téléphones s’éteignait au même endroit en même temps. (il me semble que c’est Bure).

Face à certains type de surveillance ciblée (typiquement étatique) et lorsqu’il y a des moyens, le fait d’adopter des outils chiffrés peut être trompeur (au sens où les correspondants ne feront plus assez attention se pensant protégés). Le problème ce n’est pas les apps mais la fiabilité des terminaux et des personnes elles-mêmes. Par exemple, lors d’une GAV avec des pressions pour débloquer un accès (si il était bloqué).

Si ça se passe sur un lieu. la piste de l’auto-hébergement peut être une idée dans certains cas, mais faut bien réfléchir son trucs. Il y a moyen de créer des dispositifs peu saisissables.

Enfin, il faut bien comprendre que la sécurité dans un collectif a un coût (en énergie et en efficacité de l’orga), donc si on est trop parano et qu’on met trop de moyen par rapport à ce qu’il faudrait ça peut empêcher l’action.

Typiquement, les chatons qui doivent accueillir des nouvelles personnes dans l’équipe d’adminsys peuvent dans certains cas freiner l’intégration en donnant des accès insuffisant ou en créant de la lourdeur. Il faut donc placer le curseur au bon endroit en fonction des risques éventuels, de ce qu’on est prêt à risquer et aussi de ce risque de décourager tout le monde.

Sinon côté outils et pratique numérique: naviguer avec Tor Browser, utiliser Tails, utiliser un chat chiffré (genre Matrix ou XMPP), réfléchir à la façon dont sont stockées les données du groupe, apprendre à effacer les meta données des fichiers publiés sur les médias du collectifs, utiliser des pseudos, bien gérer ses mots de passe… C’est tout un apprentissage. Et ça ne fait pas tout, les moyens de surveillances d’aujourd’hui étant à mon sens considérables et la population en dessous de ce qu’il faudrait qu’elle sache faire (même pour un modèle de menace non ciblé classique, genre « pas se faire pirater son compte insta en cliquant sur un lien… »).

NB: je précise que les informations que j’ai donné sont issues pour la plupart de la presse et de quelques discussions que j’ai pu avoir avec des personnes militantes. En vrai, je sais pas de quoi je parle.

1 Like

Sinon ma réponse est très fouillis. Il faut probablement partir des menaces possibles (types d’info qui fuites, entrisme, …) et déterminer lesquels sont acceptables et lesquels seraient trop graves.

J’en profite pour citer un document du site zad.nadir.org qui expliquait comment venir sur place :

C’est le point le plus délicat. Devant la présence plus que probable d’infiltrés ou de balances, les mesures de sécurité nécessaires peuvent vite tourner à une ambiance délétère et paranoïaque, ce qui serait catastrophique pour un mouvement aussi ouvert que le notre. Ce ne serait pas la première fois que des rumeurs d’infiltrations savamment orchestrées pourrisse un mouvement plus surement que des infiltrés réels.

Il y a d’ailleurs fort plein de belles choses sur ce site, bien que certaines infos légales ne sont probablement plus à jour.

Je pense qu’il y a des liens intéressants sur https://stopfossilfuels.org/security-culture/

Super, merci beaucoup pour vos avis, conseils et liens :slight_smile: des fois je me demande si les meilleurs outils ne sera pas d’éviter les outils numériques … et de faire comme à l’époque des free party du début des années 90 ou il n’y avait pas de tel portable, ni internet…

2 Likes