Devenir Lanceur d’Alerte
Read Time:4 Minute, 26 Second
Vous avez des informations d’intérêt publique ? Qui feront le buzz ? Vous êtes employés d’une entreprise qui méprise le droit ?
Vous souhaitez alerter le public et les médias de vos découvertes ?
Ici, nous allons faire un tour des possibles.
Allez, suivez le guide !
Nous pourrions citer Edward Snowden, qui a révélé des informations sur le programme de surveillance américain, et Chelsea Manning, qui a divulgué des documents confidentiels relatifs à la guerre en Irak.
D’autres lanceurs d’alerte ont révélé des informations sur des produits illégaux ou potentiellement dangereux, tels que le scandale des produits laitiers contaminés en Chine.
Dans le cadre de cet article, j’ai fouillé un peu le net pour savoir comment faire pour libérer l’information de façon concrète, fiable et « professionnelle ».
En effet, juste balancer une info sur Facebook ou allez voir les autorités incompétentes n’est pas forcément la meilleur façon de lancer une alerte.
La loi
En me focalisant sur le sujet, rien n’était plus inévitable que de connaitre le statut légal d’un lanceur d’alerte.
Car, ce qui, à mon sens, différencie un lanceur d’alerte d’une autre déclaration, est la teneur de l’information qui est à fort potentiel de nuisance pour l’Etat ou l’entreprise en faute. De surcroit, l’information n’est pas forcément illégale.
Et oui, les déclarations de Snowden n’ont rien divulguées d’illégale. Il s’agit de pratiques douteuses mais rien de pénalement répréhensible et qui seraient même dans le sens de la protection de la nation.
Maintenant, la loi protège un tant soit peu les lanceurs d’alerte.
En France, il y a la loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte
La loi définie le lanceur d’alerte et donne des limites à la divulgation. Donc exit les documents classifiés secret ou santé. Et la protection reste toute relative, interdisant le licenciement de la personne. Mais peu de personne resterait dans l’entreprise pour laquelle on a libéré de l’information confidentielle.
Donc, si votre information concerne un Etat en utilisant des informations classifiées, vous n’êtes pas protégé.
Lisez la suite si vous désirez quand même lancer votre alerte.
Comment divulguer sans se faire repérer ?
Pour que votre alerte soit prise au sérieux et fasse l’effet recherché, il faut qu’elle soit vérifiée et validée par des tiers de confiance. Les meilleurs tiers, hormis dans les dictatures, restent les médias.
Source-sûre : Permet d’envoyer à 4 médias toutes les informations de façon « sûre ». Vos informations seront vérifiées et un travail d’enquête de la part de ses médias sera effectué afin de parfaire voir d’améliorer vos informations.
Côté technique : Le code source est facilement visible dans le navigateur. Le service utilise JAVA et le framework Angular.
Dès que vous cliquez, quelque informations sont créées et permettent de vous identifier.
Heureusement, vous êtes en HTTPS, car votre rôle est très très clair dans le fichier receipauth. Pour les fâchés de l’anglais, Whistleblower veut dire « lanceur d’alerte ».
Dans l’entête HTTP, j’ai découvert qu’il existait un site en version .onion
Pourquoi ne pas en faire la pub directement sur le site web ? Et qu’est-ce que cette information fait dans l’entête HTTP ?
Ensuite, le site est très libre dans sa façon de fonctionner, nous avons accès à l’intégralité du code java. La notion de back-end et Front-end leur est inconnu.
Nous pouvons voir que les médias recevant les informations sont plus nombreuses que ceux présentés au début. Vous me direz, ils font tous partis de la même chaîne. Mais bon.
J’ai pu voir que les pare-feu ne sont pas leur fort non plus. Le nombre de requête est illimité. Brute-force à volonté.
Côté serveur DNS, nous pouvons apercevoir les sous-domaine existant et leur localisation.
On reste en europe et avec Greenhost et openappstack.net
C’est pas foufou. On peut même voir que les NS de greenhost ne lui appartiennent pas physiquement pour la France et l’Allemagne. C’est de la location. Pourtant les boite MX en France lui appartiennent.
Je ne vais pas plus loin mais je suis sur qu’en grattant, on trouverait une faille.
Il n’empêche, cela reste un site fiable pour les lanceurs d’alerte.
Mlalerte : Site identique que le premier mais là, il s’agit d’une organisation à but non lucrative.
Voici les fondateurs :
Donc si vous voulez alerter sur les agissements de GreenPeace, de la CGT ou AntiCor, passez votre chemin.
Ce réseau est sûrement efficace mais très politisé à gauche, extrême-gauche.
Coté technique :
On est sur un bon vieux WordPress dégueulasse, tout comme moi !
Après un petit WP-scan, le site semble à peu près à jour. On va dire qu’ils ne passent pas tous les jours.
WP-scan nous trouve également 5 auteurs.
Pour une fois le dossier wp-admin est caché et ne permet pas l’accès à la page de login.
Côté Serveur DNS, on est sur du full OVH. Donc niveau sécurisation des données, c’est limite.
Si vous transmettez des fichiers interdits, une petite réquisition et les froce de l’ordre auront accès à tout le serveur.
Bref, niveau sécurisation, c’est pas fou. Et vu leur expertise de wordpress, le serveur n’est surement pas chiffré…
Conclusion :
Il existe des possibilités de pouvoir transmettre des informations aux bonnes personnes. Même si on le voit, niveau sécurité informatique, ça reste à voir. Politiquement aussi mais ça, c’est un autre sujet.
Happy
67 %
Sad
0 %
Excited
33 %
Sleepy
0 %
Angry
0 %
Surprise
0 %
2
0
One thought on “Devenir Lanceur d’Alerte”
Comments are closed.
[…] du protonmail ? Chiedsu va ! D’ailleurs, si vous relisez mon article sur les VPN ou sur les lanceurs d’alerte, vous verrez que ProtonMail est une très mauvaise idée […]