Journalisme & lignes sécurisées
Tuyaux de sources, signalements de lanceurs d'alerte, dépôts de documents et formulaires de contact lecteurs — conçus pour rédactions, cellules d'investigation et journalistes indépendants qui ont besoin d'un canal qui protège réellement leurs sources. Chiffrement à connaissance nulle, hébergement suisse, architecture dans laquelle la plateforme elle-même ne peut identifier qui vous a écrit.
Le journalisme d'investigation dépend d'une seule propriété fragile : une source doit pouvoir atteindre un reporter sans être identifiée. Cette propriété n'a jamais été purement technique — elle combine privilège légal, pratique éditoriale et précautions physiques prises ensemble par la source et le reporter. Mais le canal lui-même compte. Un tuyau soumis via un formulaire dont le fournisseur peut le lire est un tuyau qui existe, en clair, sur le serveur d'un tiers avant même que le reporter ne l'ouvre.
Schweizerform part du postulat inverse. Chaque soumission — un tuyau court, une note longue, un document téléversé — est chiffrée dans le navigateur de l'expéditeur avant d'atteindre nos serveurs. Nous ne pouvons physiquement pas la lire. Pour les cellules d'investigation, les reporters d'intérêt public, les rédactions de petits titres et les journalistes indépendants, cette propriété fait la différence entre une ligne que l'on peut prendre au sérieux et une ligne qui ne devrait recevoir que des messages anodins.
À qui s'adresse cette page
Cellules d'investigation et services politiques de titres établis, journaux locaux recevant des signalements d'intérêt public, petits magazines indépendants, équipes podcast et documentaire, journalistes indépendants acceptant des tuyaux directement, ONG de liberté de la presse et de surveillance exploitant leurs propres canaux sécurisés. Cette page traite d'un contrôle technique — elle ne remplace pas un conseil juridique, éditorial ou de protection des sources adapté à votre juridiction et à votre sujet.
Pourquoi la plupart des formulaires de contact ne sont pas sûrs pour les sources
La plupart des outils de formulaire en ligne fonctionnent selon un modèle SaaS classique : le navigateur de l'expéditeur envoie des données en clair via HTTPS, et le serveur du fournisseur les stocke. Ce serveur peut tout lire. Tout comme son personnel, ses partenaires d'intégration, toute personne compromettant son infrastructure et toute autorité qui lui signifie une ordonnance. Pour une enquête marketing, c'est acceptable. Pour une source qui veut partager un document d'intérêt public, non.
- Une source soumet via le formulaire de contact la description d'une corruption alléguée ; la base du fournisseur en contient un récit lisible avant que le reporter ne le lise
- Un champ de téléversement accepte un contrat scanné ; le fichier est traité par l'antivirus du fournisseur, mis en cache par un CDN et souvent stocké dans des régions cloud hébergées aux États-Unis
- Une injonction, un mandat ou une demande d'accès vise le fournisseur de formulaire ; la demande atteint le contenu des sources sans que la source n'en soit jamais informée
- Le fournisseur subit une violation ; tous les tuyaux historiques — y compris ceux qui identifient des sources — sont exposés d'un coup
- Les notifications e-mail du fournisseur envoient des résumés en clair aux reporters, exposant du contenu sensible en dehors de tout flux chiffré
La protection des sources est plus qu'une déclaration de politique
En Suisse, l'art. 28a CP et l'art. 172 CPP reconnaissent aux journalistes le droit de refuser de révéler leurs sources dans la plupart des cas. Dans les États membres de l'UE, des protections similaires existent au titre de l'art. 10 de la Convention européenne des droits de l'homme et de la Recommandation R(2000)7 du Conseil de l'Europe. Mais ces privilèges s'attachent au journaliste, pas au fournisseur de formulaire. Un sous-traitant ayant accès en clair aux soumissions sort du privilège — un point faible où la confidentialité de la source peut être compromise sans que le journaliste ne soit dans la boucle.
Comment Schweizerform protège le canal
Schweizerform est une plateforme de formulaires chiffrée de bout en bout à connaissance nulle. Le chiffrement a lieu dans le navigateur de la source, avant toute sortie de l'appareil. Seuls les détenteurs du code d'accès du formulaire peuvent déchiffrer les soumissions. Nous — le fournisseur — ne le pouvons pas.
La rédaction génère un formulaire et un code d'accès
Quand une cellule crée un formulaire de tuyau, Schweizerform génère une paire de clés et un code d'accès. La clé publique est dans le formulaire ; le code d'accès reste chez le reporter ou l'équipe d'investigation. Nos serveurs ne le voient jamais.
La source soumet depuis n'importe quel appareil
Quand la source ouvre le lien, son navigateur chiffre chaque champ — texte, pièces jointes, coordonnées optionnelles — avec un chiffrement symétrique fort, puis encapsule la clé symétrique avec la clé publique du formulaire. Nos serveurs reçoivent des blobs chiffrés qu'ils ne peuvent pas déchiffrer.
Le reporter déchiffre dans le navigateur
Quand le reporter ouvre la soumission, son navigateur récupère le blob, déballe la clé symétrique à l'aide du code d'accès et déchiffre localement. Le clair ne touche jamais nos serveurs.
La plateforme ne sait pas qui est la source
Par défaut, la soumission est anonyme. Nous n'exigeons pas de compte et ne capturons pas de métadonnées identifiantes au-delà du strict nécessaire à la livraison du chiffré. Une ordonnance qui nous serait signifiée pour obtenir « l'identité de la personne qui a soumis ce formulaire » ne peut recevoir de réponse — nous ne possédons pas cette information.
Ce que la connaissance nulle protège et ne protège pas
Le chiffrement à connaissance nulle protège le contenu de la soumission de nous et de quiconque pourrait nous contraindre, nous attaquer ou nous citer à comparaître. Il n'anonymise pas l'identité réseau de la source. Une source qui soumet depuis un ordinateur professionnel sur un réseau d'entreprise, sans précautions supplémentaires, peut rester identifiable via les journaux réseau et l'analyse de son propre appareil. Pour des sources à haut risque, utiliser Tor Browser, un appareil personnel sur un réseau public et éviter les systèmes professionnels importe au moins autant que le chiffrement du formulaire. Les rédactions exploitant des lignes à haut risque doivent combiner cette plateforme avec des consignes claires aux sources — et envisager, quand la menace le justifie, des plateformes dédiées comme SecureDrop.
Cas d'usage journalistiques concrets
Ligne générale de la rédaction
Un formulaire chiffré unique, lié depuis la page contact, remplace l'adresse « tuyaux@titre » non sécurisée pour les soumissions sensibles. Les sources peuvent envoyer un court message ou joindre des documents ; chaque champ est chiffré dans leur navigateur, et seul le responsable de la ligne peut déchiffrer. Suffisant pour la plupart des sujets ; les sujets à haut risque appellent des canaux en couches au-dessus.
Dépôt documentaire de la cellule d'investigation
Les unités d'investigation doivent souvent accepter des documents volumineux — contrats, jeux de données, notes internes — d'initiés. Un formulaire de dépôt chiffré dédié accepte des téléversements sous forme chiffrée-par-navigateur, déchiffrés sur le poste de l'investigateur et déplacés dans l'espace sécurisé interne. Le fournisseur ne détient jamais de copie déchiffrable.
Tuyaux pour indépendants
Les journalistes indépendants n'ont souvent pas accès à des plateformes sécurisées de type entreprise. Une ligne Schweizerform donne à un reporter indépendant la même garantie architecturale — le fournisseur ne peut pas lire — à un prix et à une complexité opérationnelle tenables pour une seule personne.
Canal confidentiel rédac-chef
Certaines soumissions ne doivent atteindre que la rédaction en chef ou le service juridique, pas la boîte générale. Un formulaire séparé avec son propre code d'accès, détenu par ces personnes seules, crée un compartiment plus étroit — utile pour des corrections impliquant des personnalités puissantes, des prises de contact sensibles ou la coordination face à des menaces juridiques.
Canal lecteurs avec protection d'identité
Les rubriques courriers et opinions reçoivent des contributions de personnes potentiellement exposées si leur identité est largement divulguée — dissidents, mineurs, survivants, salariés d'organisations nommées. Un formulaire contact lecteurs chiffré protège leur texte d'être mis en cache, indexé ou analysé par des tiers, tout en laissant la rédaction décider, avec le contributeur, comment gérer l'attribution.
Admission d'investigations transfrontalières
Pour des investigations collaboratives entre plusieurs rédactions — où un tuyau doit atteindre un petit groupe de reporters pré-convenu — les codes d'accès par formulaire peuvent être détenus collectivement par l'équipe projet. Une soumission unique ne devient déchiffrable que par ce projet, pas par un système rédactionnel plus large.
Ce que voient sources, adversaires et injonctions
| Perspective | Fournisseur générique | Schweizerform |
|---|---|---|
| Source remplissant le formulaire | Formulaire en clair, stocké sur le cloud du fournisseur | Formulaire en clair, chiffré dans le navigateur avant envoi |
| Support / personnel du fournisseur | Peut lire tuyaux et pièces jointes | Ne peut pas déchiffrer ; ne voit que des blobs chiffrés |
| Injonction visant le fournisseur | Tuyaux en clair producibles | Uniquement du chiffré ; inutilisable sans le code d'accès |
| Incident chez le fournisseur | Tuyaux et pièces lisibles exposés | Chiffré exposé ; contenu illisible |
Contexte légal et éthique
La Suisse dispose d'une protection légale des sources établie : l'art. 28a CP et l'art. 172 CPP donnent aux journalistes le droit de refuser de témoigner sur leurs sources, sous réserve d'exceptions étroites. La CEDH a confirmé à plusieurs reprises, via des arrêts comme Goodwin c. Royaume-Uni et Sanoma c. Pays-Bas, que la protection des sources est une pierre angulaire de la liberté de la presse au titre de l'art. 10. La Recommandation R(2000)7 du Conseil de l'Europe en détaille les principes.
Ces protections s'attachent aux journalistes. Elles ne s'étendent pas automatiquement aux prestataires tiers qui traitent en clair les communications de sources. Le choix du canal d'entrée conditionne la part de cette protection que l'architecture fournit effectivement. Un formulaire à connaissance nulle restreint le cercle des personnes et systèmes pouvant voir l'identité ou le contenu d'une source — en accord avec l'esprit de la jurisprudence presse, même si la plateforme elle-même n'est pas journaliste.
Le chiffrement est une couche d'un programme de protection des sources
Un programme crédible comprend aussi la pratique éditoriale (pas d'attribution publique identifiant une source), la formation opsec des sources, la gestion soigneuse des métadonnées dans les outils internes, l'examen en clean-room de documents sensibles et le soutien juridique en cas d'injonction. Schweizerform est la couche du canal de soumission — une composante parmi plusieurs.
Fonctionnalités utiles au journalisme
- Chiffrement de bout en bout à connaissance nulle sur chaque soumission — pas d'accès en lecture pour le fournisseur
- Véritable soumission anonyme — pas de compte, pas de métadonnées de source collectées par défaut
- Téléversements de documents chiffrés — contrats, notes, images, enregistrements, PDF — chiffrés dans le navigateur de la source
- Formulaires multilingues (EN / DE / FR / IT) — essentiel pour rédactions servant un public multilingue ou investigations transfrontalières
- Codes d'accès par formulaire scopés à des cellules ou projets précis, pour séparer nettement ligne générale et dépôt investigation
- Hébergement suisse avec posture alignée nLPD — les charges utiles de tuyau ne quittent pas la Suisse
- Journal d'audit des ouvertures sans exposer le contenu
- Palier gratuit adapté à un journaliste seul ou à un petit titre indépendant pilotant une ligne sécurisée
Objections courantes
« Nous utilisons déjà une adresse e-mail simple pour les tuyaux. »
L'e-mail est le défaut, mais aussi le canal le moins contrôlé — non chiffré entre serveurs, conservé sur appareils, consultable plus tard, soumis au régime d'accès du fournisseur d'e-mail. Un formulaire chiffré clairement identifié sur la page de la rédaction dit à la source qu'elle peut soumettre sans s'identifier, et donne une posture plus nette que la boîte générique.
« Cela ne va-t-il pas générer du spam et des canulars ? »
Tout canal public attire du bruit, et un canal à connaissance nulle n'est pas magique. Les parades sont opérationnelles : expliquer clairement l'objet du canal, trier comme on trie les e-mails, demander des champs de catégorisation facultatifs qui aident à filtrer. Le signal sera meilleur qu'une boîte ouverte ; il ne sera pas parfait.
« Si nous perdons le code d'accès, nous perdons les tuyaux. »
Exact — propriété voulue. Pratique recommandée : garde documentée, enveloppe scellée chez le rédacteur en chef, copie chez l'avocat du titre, ou HSM. Cela évite la défaillance d'une personne seule, tout en préservant la propriété « on ne peut pas nous forcer à lire ce que nous n'avons pas ».
« Nous utilisons déjà SecureDrop pour les sources à haut risque. »
SecureDrop relève d'un modèle de menace plus fort — Tor uniquement, postes air-gapped isolés, infrastructure dédiée — et reste l'outil adéquat pour les lignes d'investigation à haut risque. Schweizerform ne le remplace pas. Il complète, en couvrant les tuyaux lecteurs et rédaction du quotidien où le workflow SecureDrop serait disproportionné — avec la même garantie que le fournisseur ne peut pas lire.
Déployer une ligne Schweizerform
Choisir les premiers canaux
Couple typique : un formulaire général rédaction et un dépôt documentaire investigation. Les garder séparés pour que le cercle de lecteurs de chacun soit clair.
Fixer la garde des clés
Décider qui détient le code d'accès par formulaire (p. ex. le responsable de la ligne et la tête d'investigation), documenter la procédure et tester la récupération via la copie en séquestre avant publication.
Publier dans les langues pertinentes
Pour un titre suisse, typiquement DE / FR / IT / EN. Le même formulaire s'affiche dans chaque langue et reste chiffré de bout en bout dans toutes.
Publier des consignes autour du formulaire
Une courte page « comment nous contacter en sécurité » liée au formulaire : ce que fait le chiffrement, ce qu'il ne fait pas, conseils pratiques (utiliser un appareil de confiance, éviter les réseaux employeur pour les tuyaux sensibles, envisager Tor pour le matériel à haut risque). Être honnête sur les limites construit la confiance.
Répéter le workflow
Tester une soumission avec un confrère : déchiffrer, traiter via le processus normal, supprimer la copie de travail une fois l'article publié. Détecter les failles avant l'arrivée d'une vraie source coûte beaucoup moins cher qu'après.
En résumé
La protection des sources est un système : privilège légal, pratique éditoriale, sécurité opérationnelle, et le canal de soumission lui-même. L'essentiel est déjà en place dans une rédaction sérieuse. Le canal de soumission est souvent le maillon faible — parce qu'il est peu cher, commode et invisible, et parce que ses défauts ne se révèlent que le jour d'une injonction ou d'un incident chez le fournisseur.
Schweizerform offre une amélioration étroite mais importante : chiffrement de bout en bout à connaissance nulle sur chaque formulaire, hébergement suisse, architecture dans laquelle la plateforme ne peut identifier qui vous a écrit. Pas d'upgrade payant pour la sécurité. Pas de dépendance cloud US pour le contenu des tuyaux. Pas de copie lisible par un tiers de matériel source sur un serveur hors de votre contrôle.
Commencez avec un formulaire de ligne unique sur le palier gratuit. Hébergement suisse, chiffrement à connaissance nulle et support complet EN / DE / FR / IT — sans carte bancaire.
Avertissement : Cette page est une information générale et du contenu marketing, non un conseil juridique, éditorial ou de protection des sources. Les références à l'art. 28a CP, à l'art. 172 CPP, à l'art. 10 de la Convention européenne des droits de l'homme, à la Recommandation R(2000)7 du Conseil de l'Europe, à la jurisprudence presse et à des plateformes tierces comme SecureDrop sont résumées conceptuellement et sujettes à interprétation juridictionnelle, à application au cas par cas et à évolution législative. La responsabilité de la protection des sources, de la stratégie juridique et des décisions éditoriales reste celle de la rédaction, du rédacteur en chef ou du journaliste. Pour des sujets à haut risque ou des sources en juridiction hostile, consulter un conseil qualifié en droit des médias et un spécialiste en sécurité numérique avant de s'appuyer sur un seul canal d'entrée.