PGP Tool

Apprendre · 9 min de lecture

Configurer PGP pour les journalistes : un guide pratique de 30 minutes

Les sources contactent les journalistes par le canal qui leur semble sûr. PGP est l'un des rares qui résiste à une assignation à comparaître. Voici la configuration minimale qui fonctionne vraiment.

L'e-mail d'un journaliste est assigné et le procureur lit chaque message en clair. Un journaliste avec PGP reçoit la même assignation et le procureur voit du texte chiffré qu'il ne peut pas déchiffrer sans contraindre le journaliste à remettre la clé (ce qui est son propre combat juridique, avec des protections plus fortes dans la plupart des juridictions).

PGP n'est pas le seul outil — Signal, SecureDrop, les fournisseurs d'e-mail chiffrés ont tous leur place. Mais PGP est d'une durabilité unique : il fonctionne avec tous les clients e-mail, ne laisse aucune métadonnée chez un opérateur tiers, et a un historique de 30 ans de résistance aux attaques gouvernementales. Chaque journaliste couvrant la sécurité ou la politique devrait en avoir un.

La configuration en 30 minutes

  1. Allez sur /generate. Choisissez ECC Curve25519 (valeur par défaut moderne). Utilisez votre vrai nom (ou un pseudonyme sous lequel vous publiez).
  2. Définissez une passphrase solide — 5+ mots aléatoires d'une liste de mots, pas une phrase courante. Écrivez-la sur papier, pas dans un gestionnaire de mots de passe sur le même appareil.
  3. Téléchargez les deux clés. Le fichier de clé privée (.asc) va dans un endroit que vous seul pouvez atteindre : un token matériel, une clé USB chiffrée dans un coffre, ou une sauvegarde protégée par passphrase.
  4. Publiez la clé publique. Ajoutez le .asc à votre bio sur le site de l'organisation de presse, vos profils sociaux et un serveur de clés (keys.openpgp.org).
  5. Imprimez l'empreinte sur votre carte de visite. Les sources qui vous rencontrent en personne peuvent vérifier qu'elles ont la bonne clé.

Le flux de travail quotidien

  • Une source colle son message dans /encrypt avec votre clé publique. Elle envoie le texte chiffré par n'importe quel canal — même les DM Twitter conviennent.
  • Vous recevez le texte chiffré, le collez dans /decrypt, tapez votre passphrase, lisez le message.
  • Vous répondez en collant la clé publique de la source (qu'elle vous a envoyée en clair) dans /encrypt avec votre réponse.
  • Pour les pièces jointes, utilisez /files. Pour les longs documents, /vault. Pour les annonces autodestructibles, /paste avec une date d'expiration.

Hygiène opérationnelle

  • Générez des clés sur un appareil propre. Un ordinateur portable compromis génère une clé compromise.
  • Utilisez le mode air-gap dans cette application pour les opérations sensibles.
  • Définissez une expiration de 2 ans sur votre clé. Si vous arrêtez de l'utiliser, elle expire automatiquement et les sources cessent de chiffrer vers elle.
  • Conservez un certificat de révocation — généré par Générer des clés et stocké séparément. Si votre clé est compromise, publier la révocation dit au monde d'arrêter de lui faire confiance.
  • Ne partagez jamais la même passphrase entre PGP, votre connexion d'ordinateur portable et votre gestionnaire de mots de passe.

Pour les sources qui lisent ceci

Trouvez un journaliste qui publie son empreinte PGP. Confirmez l'empreinte sur un deuxième canal (son e-mail professionnel, une carte de visite imprimée, un profil social vérifié). Utilisez /encrypt avec sa clé publique. Envoyez le texte chiffré par n'importe quel chemin qui ne lie pas votre identité à la sienne — un Wi-Fi public, un navigateur Tor, un e-mail jetable. Le journaliste déchiffre de son côté. La chaîne tient.