Un moteur de recherche sécurisé et décentralisé pour les journalistes

Carmela Troncoso, au SPRING © 2020 Alain Herzog

Carmela Troncoso, au SPRING © 2020 Alain Herzog

Afin de garantir un échange d’informations sans risque de fuites entre les journalistes d’investigation, un Laboratoire de l’EPFL a mis au point un moteur de recherche décentralisé et une messagerie sécurisée permettant de préserver leur anonymat. Un article scientifique à ce sujet sera présenté durant la conférence Usenix Security Symposium qui se tiendra en ligne du 12 au 14 août.

Le Consortium International des Journalistes d’Investigation (ICIJ), fort de plus de 200 membres dans 70 pays, a permis de révéler de nombreuses affaires, notamment concernant des fraudes médicales et fiscales. La plus célèbre est certainement les Panama Papers, qui a révélé l’existence de plusieurs centaines de milliers de sociétés-écrans dont étaient actionnaires des personnalités du monde artistique, politique, des affaires, du sport, etc. Seule une coopération internationale entre journalistes a permis de mener à terme une telle enquête, basée sur plusieurs millions de documents. Une fuite lors de l’échange des dossiers aussi sensibles aurait cependant compromis non seulement la parution dans les médias, mais également la sécurité des journalistes et des sources. Mandaté par le Consortium, le Laboratoire SPRING de l’EPFL a récemment mis au point un système de recherche et d’échange d’informations décentralisé entièrement anonyme : Datashare Network. Ce dernier sera présenté durant la conférence Usenix Security Symposium, une référence mondiale pour les spécialistes, qui se tiendra en ligne du 12 au 14 août.

Anonymat durant tout le processus

L’anonymat constitue le point central du dispositif. Tant la recherche que l’échange d’informations peuvent se faire sans divulguer son identité ou le contenu des requêtes, ni aux collègues, ni à l’organisation. Cette dernière est garante du bon fonctionnement du système mais n’a pas connaissance des échanges. Elle émet des jetons virtuels que les journalistes apposent à leurs messages et à leurs documents afin de garantir aux autres leur appartenance au Consortium. Un système de gestion centralisé serait une cible trop évidente pour les hackers. L’organisation ne possédant pas de serveurs décentralisés dans diverses juridictions, les documents restent donc sur les serveurs ou ordinateurs des membres. Les utilisateurs enregistrent dans le système seulement quelques informations permettant aux autres de faire le lien avec leur enquête.

L’utilisateur qui cherche une information tape quelques mots clefs dans le moteur de recherche. Si sa requête aboutit, il peut contacter ses collègues - dont il ne connaît toujours pas l’identité- possédant des documents potentiellement intéressants via un système de « bulletin » qui lui permet de diffuser son message à tous. Les recherches sont envoyées cryptées à tous les utilisateurs. Si des informations concordent, le demandeur reçoit une alerte et décide s’il souhaite entrer en communication et éventuellement échanger des informations. « Étant donné les différents fuseaux horaires et le fait que certains membres n’ont accès à internet que quelques heures par jour, il était important que la recherche et les réponses puissent se faire de manière non synchronisée », souligne Carmela Troncoso, directrice du SPRING. Un autre système de messagerie également sécurisé et anonyme permet ensuite des échanges bilatéraux.

Deux programmes sécurisés entièrement nouveaux

« Ce système résolument tourné vers la pratique a permis au SPRING de relever d’intéressants défis », relève l’informaticienne. L’équipe de chercheurs a utilisé des éléments connus comme des mécanismes d’authentification et de communication anonymes qu’ils ont optimisés pour ce type d’utilisation. Mais ils ont également développé deux éléments sécurisés entièrement nouveaux qui font l’objet de l’article qui paraît aujourd’hui dans Usenix Security Symposium : un moteur de recherche non synchronisé ainsi que la messagerie. La sécurité du premier est assurée par un nouveau protocole -appelé « multi-set private set intersection » (MS-PSI)- qui permet de rechercher efficacement dans de nombreuses bases de données sans augmenter le risque de fuites. Quant au serveur de messagerie, il utilise un très grand nombre de boîtes virtuelles utilisables une seule fois. Ce développement est basé sur le système bien connu en informatique dit du « trou de pigeon » qui choisit au hasard une des options, ici les boîtes de messagerie. Le système ne permet pas l’échange de documents pour l’instant. « À ce stade des discussions, les journalistes utilisent d’autres systèmes de messages sécurisés existants », explique-t-elle.

La collaboration du laboratoire avec l’organisation de journalistes a permis de dessiner un nouveau corpus de besoins, rarement étudiés dans les publications scientifiques. Le Datashare Network s’adapte efficacement à des milliers d’utilisateurs et des millions de documents tout en assurant un cryptage sur toute la communication. « Les contraintes spécifiques à ce développement ouvrent cependant un nouvel espace de recherche présentant un gros potentiel pour d’autres domaines », conclut-elle.