20/05/2014

Le journaliste-hacker donnait une conférence pour la Street School

La leçon de journalisme d'investigation 2.0 de Jean-Marc Manach

Par Johan Weisz

Jean-Marc Manach, pionnier du journalisme d'investigation sur le web, nous parle des hackers des débuts d'Internet, de datajournalisme et nous rélève la liste des centres d'écoute de la DGSE.

Lundi 12 mai au Numa – Jean-Marc Manach qui raconte 15 ans de métier dans une conférence, c’est une liste sans fin de « trucs rigolos » – c’est comme ça qu’il qualifie ses scoops, découverts à force de bidouille et de bon sens. « Animatrice de Minitel rose et vidéaste expérimental », Manach est devenu journaliste, « par hasard », à 29 ans. Quelques connaissances en programmation web plus tard, il devient @manhack, journaliste-hacker que le manuel « de recherche sur Internet » de la NSA fait bien rigoler :

« En fait, toutes les techniques présentées par la NSA pour faire de l’open source intelligence, on les connaissait déjà, c’est plutôt rassurant ! »

Mais passer une heure et demie à écouter Manach, c’est aussi refaire une partie de l’histoire du webjournalisme made in France : Transfert.net, Vendredi, Owni.fr, ou encore Lemonde.fr où Manach raconte comment il a hacké le CMS pour pouvoir intégrer des vidéos dans ses articles, quand le service informatique ne l’autorisait pas.

1 Les extraits de la conférence

Aux débuts d’internet, des « pédo-nazis » et des hackers

« A la fin des années 1990, on parlait d’Internet au 20 heures pour dire que c’était vachement bien, qu’il y avait la bibliothèque du Congrès et les œuvres du Louvre en ligne, mais qu’il y avait des pédophiles, des terroristes et des nazis. C’est à ce moment-là qu’on a inventé cette expression de « pédonazi », pour se moquer de cette diabolisation d’Internet et des hackers.

« Sauf que je m’aperçois que ce sont les hackers qui défendent la vie privée en ligne : ce sont des hackers qui ont développé PGP ou qui ont créé l’Electronic Frontier Fondation qui est l’ONG pionnière dans la défense des libertés sur Internet.

« A cette époque, je cherche à apprendre à protéger mes sources. Et je me retrouve à traduire des modes d’emploi faits par des anarchistes canadiens et des éco-terroristes américains pour pouvoir faire mon métier ! Ca a donné le site BugBrother, qu’à l’époque je faisais complètement sous pseudonyme. »

Hacker Échelon

« A l’automne 1999, est lancée l’idée du Global Jam Echelon Day. L’idée, c’était de truffer ses emails de mots-clés subversifs, pour qu’ils soient interceptés par la NSA et ainsi brouiller les écoutes d’ Echelon. C’était complètement pipeau, parce que les ordinateurs de la NSA sont beaucoup plus puissants que ça, et pouvaient facilement détecter une liste prédéfinie de mots-clés !

« Alors j’ai créé un générateur de mails subversifs, sur le modèle de l’ Insultron : de manière aléatoire, mon générateur rédigeait un mail soi-disant des services de renseignement iraniens aux services russes, qui parlaient d’une unité de renseignement nord-coréenne, en lien avec une unité nucléaire… bref, des choses qui étaient potentiellement intéressantes pour la NSA. Il suffisait d’appuyer sur le bouton !

« Au lieu de raconter, en mode texte, une histoire, j’avais développé un petit script. On était en 1999, et je trouvais que mon générateur était une autre manière, plus intéressante, de véhiculer l’information. »

A l’époque, je faisais Bug Brother sous pseudonyme…

L’idée, c’était de truffer ses emails de mots-clés subversifs, pour qu’ils soient interceptés par la NSA

Chercher… ailleurs que sur Google

« Ce que j’avais appris, c’est que Google c’est bien, mais Google en recherche avancée c’est mieux. Et qu’il n’y a pas que Google. Typiquement, tout Legifrance n’est pas forcément bien indexé sur Google. Les pages jaunes ne sont pas du tout indexées sur Google. Plein de bases de données existent, qui permettent de trouver des informations. J’avais créé pour Transfert.net un métamoteur qui allait taper directement dans Internet Archive, dans la mémoire cache de Google et dans plein d’autres bases de données. Aujourd’hui, cet outil est disponible ici »

…Par exemple sur Yahoo…

« Au moment du printemps arabe, il y a eu toute une polémique dans les médias, parce que – scandale – des photos de Sarkozy avec Kadhafi ont été effacées du site Elysee.fr. On avait beau les chercher, on ne les trouvait pas. Et le service de presse de l’Elysée se confondait en excuses, en disant “je vous jure qu’on n’a pas effacé les photos”…

« Le truc, c’est que Google avait rapidement désindexé les photos. Mais Yahoo qui a moins de puissance informatique… ne l’avait pas encore fait ! Mais il fallait rechercher via Yahoo “Qaddafi” orthographié en anglais sur le domaine Elysee.fr pour les retrouver ! Donc les photos que l’Elysée avait “perdues”, c’est moi qui les ai retrouvées ! »

…Ou dans le code source de la page

« Une semaine après avoir retrouvé les photos de Kadhafi sur le site de l’Elysée, on me contacte en me disant qu’une photo de Moubarak et Sarkozy tout sourire a disparu du site de l’Elysée. On est le lendemain de la fuite de Moubarak du Caire. Et effectivement, la photo on ne la retrouvait plus !

« En cherchant dans le code source de la page web, je vois que la galerie de photos a été modifiée le dimanche où Moubarak a fui. Et je m’aperçois que les noms des photos sont tous de la même forme, avec une suite de chiffres, qui est logique. Donc j’ouvre un tableur et puis je recrée l’URL pour tous les numéros de photos manquants. Et je découvre 7 photos désindexées du CMS, qui ne s’affichaient plus sur Elysee.fr… mais qui étaient toujours hébergées sur le site. Ce qu’avaient fait les petites mains de l’Elysée, c’est qu’elles avaient simplement dépublié certaines photos. Et le point commun de toutes ces photos dépubliées, c’est que Sarkozy était hilare aux côtés de Moubarak !

« Il fallait juste penser à regarder le code source et à faire la manip’ que je vous ai montrée. Ce n’est pas quelque chose qu’on apprend en école de journalisme, mais qu’un hacker ou un développeur peut avoir le réflexe de faire ! »

Les photos que l’Elysée avait “perdues”, c’est moi qui les ai retrouvées !

Le lendemain de sa fuite, une photo de Moubarak et Sarkozy tout sourire a disparu du site de l’Elysée

Comment j’ai trouvé des trucs plutôt rigolos sur la DGSE

« J’ai fait un quizz sur Slate qui s’appelle Rions un peu avec la DGSE, parce que j’ai passé 15 jours, l’été dernier, à lire les appels d’offre de l’agence de renseignement. Et j’ai trouvé des trucs plutôt rigolos.

« En fait, dans les appels d’offres de la DGSE, ils utilisent un acronyme “BCAC-CG”. Et une fois qu’on sait que ça correspond à la DGSE et bien… on peut trouver les stations d’écoute de l’agence. Et ce qui était intéressant avec les appels d’offres, c’est qu’un champ d’antennes c’est littéralement un champ avec des antennes. Et qui dit champ, dit herbe. Et qui dit herbe, dit jardiniers. Donc il y a deux choix pour la DGSE : soit ils embauchent des jardiniers pour tondre la pelouse, soit ils passent un marché public : “On cherche un jardinier pour les champs radioélectriques de Dôme, Feucherolles, etc.” J’ai eu la preuve que ce qui ressemblait sur Google Maps à des stations d’écoutes des télécommunications, l’étaient vraiment, grâce aux appels d’offres ! »

Le datajournalisme, avec la carte des morts aux frontières

« Cette carte des morts aux frontières, c’est une des choses à laquelle je suis le plus content d’avoir contribué du temps d’Owni : un jour, je tombe sur une ONG néerlandaise, United against racism qui depuis 1993 documentait les migrants qui mourraient en essayant de passer les frontières de l’Europe. Et ils comptabilisaient à l’époque 14.037 morts. En ouvrant le pdf, je m’aperçois que ça ressemble vachement à un tableur.

« Réflexe : je contacte l’ONG et je demande : “ça ne serait pas un tableur à l’origine, votre pdf ?” (…) A partir de ces données, on a créé la carte des morts aux frontières. A l’époque, quand j’ai proposé de faire ça à Owni, ça a pris un an. Car le problème qu’on avait c’est qu’on avait grandi tellement rapidement qu’il fallait beaucoup d’argent pour arriver à financer les salaires de tout le monde. Et il a fallu que j’attende plus d’un an avant qu’un développeur et qu’un graphiste puissent travailler avec moi sur cette carte ! Et ensuite, ça nous a pris 10 jours.

« La carte permet de naviguer par type de morts (de faim, de soif…) ou par pays. On peut visionner les histoires qu’avait indexées l’ONG. Ca donnait plus de chair qu’un document pdf.

« Et il y a quelques mois de ça, on a dédoublonné la base de données de l’ONG qui comptabilisait 17.000 morts aux frontières depuis 1993 avec celle faite par un journaliste et blogueur italien, qui lui arrivait au chiffre de 19.000. On a mis en place un consortium de>23.000 morts répertoriées. Soit 50% de plus que les estimations de l’ONG. Cela fait plus que tous les morts du temps de l’Apartheid ! »

2 Le podcast vidéo de la conférence

Ca ne serait pas un tableur à l’origine, votre pdf ?

Cela fait plus que tous les morts du temps de l’Apartheid !