Une rédaction sous pression
Imaginez la scène. Un journaliste d’investigation travaillant sur un dossier sensible reçoit une alerte inhabituelle. Quelques heures plus tard, des experts soupçonnent que son téléphone mobile a été compromis par Pegasus, l’un des logiciels espions les plus sophistiqués au monde.
Les conséquences potentielles sont immenses :
– Sources confidentielles exposées ;
– Communications interceptées ;
– Enquêtes compromises ;
– Risques pour la sécurité physique des journalistes ;
– Atteinte à la crédibilité de la rédaction.
C’est précisément ce scénario que nous avons exploré à travers le Serious Game « Rédaction Assiégée — Crise Pegasus en direct », conçu pour les médias, ONG, organisations de défense des droits humains et rédactions africaines confrontées à des menaces numériques de plus en plus sophistiquées.
Première urgence : contenir l’incident
Dans les premières minutes suivant la découverte d’un appareil potentiellement compromis, la rapidité de réaction est déterminante.
Les participants ont appris qu’il est essentiel de :
– Isoler immédiatement le téléphone concerné en activant le mode avion ;
– Le placer dans une cage de Faraday ou un environnement empêchant toute communication ;
– Fournir un appareil de remplacement sécurisé au journaliste ;
– Lancer une analyse forensique à l’aide de Mobile Verification Toolkit (MVT) ;
– Évaluer l’étendue potentielle de la compromission.
Cette phase permet de stopper l’exfiltration éventuelle des données tout en assurant la continuité opérationnelle de la rédaction.
Comprendre l’étendue de l’exposition
Une attaque Pegasus ne concerne rarement une seule personne. Le Serious Game a mis en évidence la nécessité de réaliser rapidement une cartographie des interactions professionnelles récentes du journaliste concerné.
Les équipes ont ainsi été amenées à :
– Identifier tous les contacts des six dernières semaines ;
– Auditer les téléphones et ordinateurs des personnes ayant participé à des réunions sensibles ;
– Réinitialiser ou modifier les accès aux serveurs éditoriaux ;
– Informer les sources potentiellement exposées afin qu’elles puissent adopter des mesures de protection.
Cette approche permet d’éviter qu’une compromission individuelle ne se transforme en crise systémique.
Continuer à informer malgré l’attaque
L’un des dilemmes les plus complexes abordés durant l’exercice concernait la continuité éditoriale.
Faut-il suspendre l’enquête ?
Reporter la publication ?
Ou continuer coûte que coûte ?
Les participants ont convergé vers une stratégie équilibrée :
1. Protéger les sources avant toute autre considération ;
2. Transférer immédiatement les travaux en cours vers des équipements sûrs ;
3. Renforcer la collaboration avec des partenaires médias ou organisations internationales ;
4. Poursuivre les investigations dans un environnement sécurisé ;
5. Publier uniquement lorsque les risques pour les sources ont été réduits au maximum.
La mission d’informer demeure essentielle, mais elle ne peut s’exercer au détriment de la sécurité des personnes.
Former en urgence : les compétences qui sauvent
Face à une crise de cybersurveillance, les connaissances théoriques ne suffisent pas. Le Serious Game a démontré l’efficacité d’un programme d’urgence concentré sur quelques compétences critiques :
Activation du Lockdown Mode
En 30 minutes, les journalistes apprennent à activer les protections avancées disponibles sur les appareils compatibles.
Configuration sécurisée de Signal
L’objectif est de maîtriser rapidement :
– Les messages éphémères ;
– La vérification des identités ;
– Les paramètres avancés de confidentialité.
Gestion sécurisée des rendez-vous avec les sources
Les participants découvrent les protocoles permettant de limiter les risques lors des rencontres physiques.
Exercices de réaction à incident
Des simulations réalistes permettent aux équipes de répéter les bons réflexes avant qu’une nouvelle attaque ne survienne.
Construire une résilience durable
La principale leçon du Serious Game est qu’aucune technologie ne constitue une protection absolue. La résilience repose avant tout sur une architecture organisationnelle adaptée. Parmi les mesures recommandées :
Une sécurité à plusieurs niveaux
Toutes les activités ne nécessitent pas le même niveau de protection. Une classification simple peut être mise en place :
– Niveau quotidien ;
– Niveau sensible ;
– Niveau ultra-sensible.
Cette approche évite à la fois la sous-protection et la sur-sécurisation des opérations.
Des audits réguliers
Des contrôles trimestriels utilisant des outils spécialisés comme MVT permettent de détecter précocement les signes de compromission.
La rotation des équipements
Pour les enquêtes les plus sensibles, l’utilisation d’appareils dédiés et régulièrement renouvelés réduit considérablement les risques.
Le recours à des partenaires spécialisés
Les rédactions ont intérêt à développer des relations de confiance avec :
– Des CERT civils ;
– Des laboratoires de recherche en cybersécurité ;
– Des organisations spécialisées dans la protection des journalistes.
Un budget dédié à la sécurité
La cybersécurité ne peut plus être considérée comme une dépense exceptionnelle. Elle doit être intégrée comme un poste budgétaire permanent au même titre que les équipements de reportage ou les infrastructures éditoriales.
Conclusion : la résilience est devenue une compétence journalistique
Les attaques de type Pegasus rappellent une réalité désormais incontournable : la protection des sources, des journalistes et des enquêtes dépend autant de la sécurité numérique que de l’éthique journalistique. Dans un contexte où les capacités de surveillance deviennent toujours plus sophistiquées, les rédactions africaines doivent développer une véritable culture de résilience numérique. Le Serious Game « Rédaction Assiégée, Crise Pegasus en direct » montre qu’une organisation préparée, formée et structurée peut transformer une crise majeure en opportunité d’apprentissage et de renforcement. La question n’est plus de savoir si une rédaction sera ciblée un jour, mais si elle sera prête à réagir lorsque cela arrivera.
Florent Youzan