TL;DR : Journalistes, avocats, défenseurs des droits, et militants font face à un modèle de menace différent du public général : adversaires potentiellement bien financés, enjeux légaux, protection des tiers (sources, clients). Ce guide couvre les outils essentiels — Signal, Tor, cloisonnement des identités, protection des appareils — adaptés au contexte légal québécois et canadien.
La sécurité numérique n’est pas universelle. Les conseils pour un utilisateur ordinaire — activer le 2FA, utiliser un gestionnaire de mots de passe — sont nécessaires mais insuffisants si tu travailles dans un domaine où tu protèges des tiers contre des adversaires sophistiqués.
Un journaliste qui protège une source gouvernementale. Un avocat dont les communications client-avocat doivent rester absolument confidentielles. Un militant documentant des abus dans un contexte potentiellement hostile.
Le point de départ est de définir ton modèle de menace — qui voudrait accéder à tes données, pour quoi, et avec quels moyens.
Définir ton modèle de menace
Avant de choisir des outils, répondre à ces questions :
Qui est l’adversaire potentiel ?
- Un individu privé (ex-partenaire, harceleur) → niveau 1
- Une entreprise avec des ressources légales (SLAPP) → niveau 2
- Un gouvernement canadien ou provincial → niveau 3
- Un gouvernement étranger → niveau 4
Que cherche-t-il ?
- Ton identité
- Tes sources / clients
- Preuves d’une activité
- Ton contenu de communication
Quels sont ses moyens ?
- Demandes légales (ordonnances)
- Piratage ciblé
- Surveillance physique
- Surveillance de réseau
Ce modèle détermine le niveau de protection nécessaire — et évite la sur-protection qui crée de la friction inutile.
Communications — Signal comme base
Pourquoi Signal
Signal est le standard recommandé par le Comité pour la protection des journalistes (CPJ), Freedom of the Press Foundation, et l’Electronic Frontier Foundation (EFF).
Architecture :
- Chiffrement E2EE avec le Signal Protocol (également utilisé par WhatsApp et iMessage, mais Signal le fait mieux)
- Sealed Sender — l’identité de l’expéditeur est cachée même au serveur Signal
- Minimisation des métadonnées — Signal ne stocke pas qui tu contactes ni quand
- Note to Self — utile pour le stockage de notes E2EE personnelles
En 2021, lors d’une ordonnance d’un grand jury américain, Signal a fourni exactement : la date de création du compte et la date de la dernière connexion. C’est l’intégralité de ce qu’ils possèdent.
Configuration Signal pour usage professionnel sensible
Messages éphémères : Signal → Conversation → Paramètres → Messages éphémères → choisir la durée (24h recommandé pour les conversations très sensibles)
Note de disparition : Même avec les messages éphémères activés, l’autre partie peut faire une capture d’écran. Pour les sources, établir un accord verbal préalable.
Numéro de téléphone : Signal nécessite un numéro de téléphone pour l’inscription. Si tu travailles sur un dossier très sensible, envisager un numéro dédié (prépayé, acheté en argent comptant) pour ce canal spécifique.
→ Pour comprendre pourquoi iMessage n’offre pas le même niveau de protection : Métadonnées iMessage et vie privée
Navigation — Tor et Firefox pour les recherches sensibles
Tor Browser
Téléchargement : torproject.org
Tor fait passer ta connexion par 3 relais chiffrés — le site consulté ne voit qu’une IP de sortie de Tor, pas la tienne. Ton FAI voit que tu utilises Tor, mais pas tes destinations.
Cas d’usage journalistique :
- Rechercher des informations sur tes sujets d’investigation sans te trahir
- Accéder à des documents sensibles
- Consulter des sources qui pourraient alerter si elles voyaient ton IP
Limites de Tor :
- Lent — les trois relais ajoutent de la latence
- Certains sites bloquent les IPs de sortie Tor
- Ne chiffre pas les communications au-delà du réseau Tor (le site lui-même doit utiliser HTTPS)
- Ne protège pas si tu te connectes à un compte lié à ton identité depuis Tor (tu t’es dé-anonymisé)
Règle fondamentale : N’utilise jamais Tor pour accéder à tes comptes personnels (email, réseaux sociaux). Cela annule l’anonymat.
SecureDrop — pour les sources
Si tu travailles pour un média, SecureDrop est la plateforme standard pour recevoir des documents de sources de manière anonyme.
Le New York Times, The Globe and Mail, La Presse, Radio-Canada utilisent SecureDrop. Les sources accèdent via Tor, soumettent des documents, et peuvent communiquer avec les journalistes sans révéler leur identité.
Protection des appareils
iPhone en mode de protection maximale
Pour les journalistes et militants à risque élevé :
Mode Lockdown : Réglages → Confidentialité et sécurité → Mode Lockdown → Activer
Le mode Lockdown désactive les vecteurs d’attaque utilisés par Pegasus et des logiciels espions similaires — JIT Safari, prévisualisations iMessage, accessoires USB, profils MDM.
→ Guide complet sur le mode Lockdown : Mode Lockdown iPhone : l’arme ultime contre les logiciels espions
Biométrie en situation à risque : 5 clics sur le bouton latéral → désactive Face ID jusqu’au prochain déverrouillage par code. À faire avant toute interaction avec les autorités, manifestation, ou traversée de frontière.
Advanced Data Protection : Activer pour que tes sauvegardes iCloud soient E2EE (Apple ne peut pas les déchiffrer même sur ordonnance).
→ Pour activer ADP : iCloud Advanced Data Protection — guide complet
Chiffrement du Mac
FileVault : Réglages Système → Confidentialité et sécurité → FileVault → Activer
Sans FileVault, le disque d’un Mac confisqué peut être lu directement. Avec FileVault, les données sont chiffrées AES-XTS 128 bits — inaccessibles sans ton mot de passe.
Cloisonnement des identités — compartimentalisation
Le principe
Séparer les contextes en identités numériques distinctes qui ne peuvent pas être reliées.
Pour les journalistes :
- Téléphone personnel (usage courant, famille) → séparé du
- Téléphone/SIM de travail (communications professionnelles standard) → séparé du
- Téléphone dédié / SIM prépayée (dossiers très sensibles uniquement)
Utiliser le même appareil pour les trois contextes signifie que compromettre un compromet tous les autres.
Email professionnel
ProtonMail (siège en Suisse, E2EE avec d’autres comptes Proton) est recommandé pour les communications avec des sources qui ne peuvent pas utiliser Signal.
Tutanota — alternative allemande, similaire.
Règle : Les emails non chiffrés (Gmail, Outlook, Videotron) sont des cartes postales — lisibles par le serveur, l’opérateur, et sur demande légale.
Cadre légal canadien — ce que tu dois savoir
Protection des sources journalistiques
La Loi sur la protection des sources journalistiques (2017) protège les journalistes contre les ordonnances de divulgation des sources — avec des exceptions pour les affaires de sécurité nationale (Loi sur la communication d’information ayant trait à la sécurité du Canada).
Limite technique importante : La loi protège la divulgation volontaire de la source. Si les métadonnées (qui a appelé qui) révèlent la source sans que tu aies divulgué son identité explicitement, la protection légale n’a pas pu être exercée — les données l’ont trahie à ta place.
Secret professionnel de l’avocat
La confidentialité avocat-client est un principe constitutionnel au Canada (Lavallee, Rackel & Heintz v. Canada, 2002). Elle est quasi-absolue.
En pratique : Les communications par email non chiffré sont techniquement saisissables via les serveurs — même si le contenu est privilégié légalement, la bataille judiciaire pour le faire reconnaître est coûteuse. Le chiffrement E2EE empêche ce problème d’arriver.
Traversée des frontières
À la frontière américaine, les agents douaniers peuvent demander l’accès à tes appareils. Tu peux refuser (au risque d’être refoulé). Les données stockées dans le cloud ne sont pas directement accessibles à la frontière — mais elles peuvent être demandées légalement après.
Pratique recommandée pour les voyages sensibles : Voyager avec un appareil “propre” (peu de données locales) et restaurer l’accès à tes données après avoir passé la frontière.
Checklist par rôle
Journaliste
- Signal activé, messages éphémères configurés
- SecureDrop configuré (si applicable au média)
- Tor Browser installé et utilisé pour les recherches sensibles
- Mode Lockdown sur iPhone pour les dossiers à haut risque
- Cloisonnement des appareils selon la sensibilité du dossier
- ProtonMail pour les communications email sensibles
- Advanced Data Protection iCloud activé
Avocat
- Signal pour communications client sensibles (avec accord explicite du client)
- FileVault activé sur Mac de travail
- Gestionnaire de mots de passe (Bitwarden, 1Password)
- Authentification à deux facteurs sur tous les comptes professionnels
- Politique claire sur la conservation et suppression des communications
Militant / Défenseur des droits
- Signal pour les communications internes
- Pseudonyme en ligne séparé de l’identité réelle si le contexte le nécessite
- 5 clics bouton latéral iPhone — réflexe avant toute interaction à risque
- Aucune photo publiée des participants sans consentement explicite
- VPN de confiance pour la navigation quotidienne
→ Comprendre tous les réglages iPhone pour la sécurité maximale : Checklist sécurité iPhone et Mac → OPSEC de base pour tous : OPSEC — sécurité opérationnelle pour les gens ordinaires
