Télécharger sur l'App Store

Comment les journalistes et militants peuvent protéger leurs sources SMS avec un archivage chiffré

En 2024, le Comité pour la Protection des Journalistes (CPJ) a documenté 43 cas de saisie de téléphones de reporters dans le monde. Dans chaque cas, l'appareil saisi contenait des SMS de sources — certaines confidentielles, certaines dont la sécurité dépendait de l'anonymat.

Quand votre téléphone est saisi, tout ce qu'il contient est exposé. Chaque source qui vous a envoyé un SMS. Chaque lanceur d'alerte qui a envoyé un tuyau. Chaque contact d'une enquête sensible. Tout — sur un appareil désormais entre les mains de quelqu'un d'autre.

Ce guide vous montre comment créer une archive continue et chiffrée de vos SMS qui existe de façon totalement indépendante de votre téléphone. Si votre appareil est saisi, volé ou détruit, les traces survivent — chiffrées, hors appareil, et sous votre contrôle.

Le modèle de menace

MenaceComment ça se produitCe qui est exposé
Saisie du téléphone par les autoritésPassage de frontière, garde à vue, commission rogatoire, « contrôle de routine »Tous les SMS, contacts, journaux d'appels, apps
Confiscation par les forces de sécuritéManifestation, zone de conflit, point de contrôleTout. Souvent sans cadre légal.
Vol ciblé du téléphoneVolé par des acteurs intéressés par vos sourcesIdentités des sources, enquêtes en cours
Déverrouillage contraintDécision de justice ou coercition pour fournir code/biométrieAccès total malgré le chiffrement
Compromission à distancePegasus, Predator ou logiciel espion similaireAccès en temps réel à toutes les communications

Le SMS est particulièrement vulnérable car il est stocké en clair sur l'appareil, ne peut pas être chiffré individuellement, et c'est la première chose que les outils forensiques extraient.

L'architecture : SMS → Email chiffré → Appareil séparé


La source vous envoie un SMS → Votre iPhone → SMS to Email Forwarder
                                                       ↓
                                            [votrenom]@protonmail.com
                                                  (chiffré au repos)
                                                       ↓
                                            Consulté depuis un appareil séparé
                                            (laptop, autre téléphone)
                                            que vous n'emmenez pas sur le terrain

Pourquoi ProtonMail ?

FonctionnalitéPourquoi c'est important
Chiffrement de bout en boutMême le personnel de ProtonMail ne peut pas lire les emails stockés
Juridiction suisseEn dehors des accords d'échange de données UE/US dans la plupart des scénarios
Pas de numéro de téléphone requisCréez un compte sans lier votre identité
Offre gratuite1 Go de stockage, suffisant pour des années d'archives SMS
Accès TorAccessible via le navigateur Tor pour un anonymat supplémentaire
Open sourceAuditable par les chercheurs en sécurité

Alternatives : Tutanota (basé en Allemagne, open source), email auto-hébergé (contrôle maximum, plus d'efforts).

Configuration (10 minutes)

Étape 1 : Créer un email d'archive dédié

Sur un appareil séparé (pas le téléphone que vous emmenez) :

  1. Allez sur protonmail.com via un VPN ou Tor
  2. Créez un nouveau compte avec un nom d'utilisateur qui ne révèle pas votre identité
  3. Définissez un mot de passe fort et unique — stockez-le dans un gestionnaire de mots de passe (Bitwarden, KeePassXC)
  4. Activez la 2FA avec une clé physique (YubiKey) ou une app d'authentification sur un appareil séparé
  5. N'installez pas ProtonMail sur le téléphone que vous emmenez sur le terrain

Étape 2 : Installer SMS to Email Forwarder

Sur votre iPhone (celui que vous emmenez) :

  1. Téléchargez SMS to Email Forwarder
  2. Saisissez votre adresse ProtonMail d'archive
  3. Complétez la configuration des Raccourcis
  4. Tous les SMS entrants sont désormais transférés vers la boîte chiffrée

Étape 3 : Vérifier le flux

  1. Demandez à un collègue de vous envoyer un SMS test
  2. Sur votre appareil séparé, connectez-vous à ProtonMail et vérifiez que l'email est arrivé
  3. Supprimez l'email test pour garder l'archive propre

Étape 4 : Compartimenter

  • Votre iPhone = appareil de terrain. Contient l'app. Peut être saisi.
  • Votre laptop/second téléphone = accès à l'archive. Ne l'emmenez jamais en situation sensible.
  • ProtonMail = le pont. Chiffré au repos. Accessible depuis n'importe quel appareil avec vos identifiants.

Sécurité opérationnelle pour les journalistes

Sur votre téléphone de terrain

  • N'installez pas ProtonMail. Si votre téléphone est saisi et qu'ils voient ProtonMail, ils savent que vous utilisez un email chiffré. L'app de transfert SMS est anodine — des milliers de personnes l'utilisent.
  • Renommez l'automatisation Raccourcis en quelque chose de générique : « Rapport batterie » ou « Mise à jour concentration »
  • Pensez aux métadonnées. Les emails de transfert contiennent le numéro de téléphone de l'expéditeur. Si une source vous envoie un SMS, son numéro sera dans l'objet de l'email transféré. C'est volontaire (c'est utile pour vous) mais considérez si l'email lui-même nécessite une protection supplémentaire.

Sur votre appareil d'archive

  • Chiffrement complet du disque (FileVault sur Mac, BitLocker sur Windows)
  • Ne restez pas connecté à ProtonMail. Déconnectez-vous après chaque session.
  • Envisagez une clé USB Tails pour accéder à l'archive — ne laisse aucune trace sur l'ordinateur hôte
  • Sauvegardez l'archive périodiquement en exportant les emails (ProtonMail Bridge pour l'accès IMAP)

Protection des sources

  • Dites aux sources sensibles d'utiliser Signal, pas le SMS. Le SMS est intrinsèquement non sécurisé — cette archive ne corrige pas ça.
  • Pour les sources qui ne peuvent utiliser que le SMS : l'archive garantit que vous conservez leurs messages même si votre téléphone est compromis. Mais soyez conscient : les emails transférés contiennent leur numéro de téléphone.
  • Envisagez de pré-convenir de mots de code avec les sources à haut risque pour que les messages transférés n'aient aucun sens pour quiconque d'autre.

Scénarios

Passage de frontière

Vous êtes journaliste d'investigation et vous entrez dans un pays connu pour inspecter les appareils des journalistes à la frontière.

Avant le passage : Votre archive SMS transfère depuis des mois. Votre boîte ProtonMail sur votre laptop (que vous avez expédié en avance ou consulté à distance) contient l'intégralité de l'enregistrement.

À la frontière : Ils prennent votre téléphone. Ils font une image de l'appareil. Ils voient vos SMS — mais seulement les récents. Ce que vous avez supprimé a disparu de l'appareil (ou est récupérable, mais incomplet).

Ce que vous conservez : L'archive complète et chiffrée dans ProtonMail — accessible depuis n'importe quel appareil, n'importe où. Les communications avec vos sources sont préservées et protégées.

Couverture de manifestation

Vous couvrez une manifestation. La police commence à interpeller des journalistes. Votre téléphone est confisqué.

Ce qui est exposé : Tout ce qui est sur le téléphone — SMS récents, photos, notes.

Ce qui est protégé : Chaque SMS que vous avez reçu depuis la mise en place de l'archive. Vous n'avez pas besoin de votre téléphone pour accéder aux traces. Vous empruntez le laptop d'un collègue, vous connectez à ProtonMail, et publiez votre article en utilisant les preuves SMS.

Réquisition judiciaire

Votre rédaction reçoit une réquisition judiciaire pour toutes les communications avec une source. Votre téléphone est remis pour examen forensique.

Votre défense : Les SMS sur le téléphone sont une copie. Votre archive ProtonMail chiffrée en est une autre, mais elle est protégée par :

  1. Le secret des sources journalistiques (loi du 4 janvier 2010)
  2. La protection des données suisse (ProtonMail ne se conformera pas aux réquisitions étrangères sans ordonnance d'un tribunal suisse)
  3. Le chiffrement de bout en bout (ProtonMail ne peut littéralement pas lire les emails même si contraint)

Ce que ça ne protège pas

Soyons honnêtes sur les limites :

LimitationExplication
Logiciel espion (Pegasus, etc.)Si votre téléphone est compromis au niveau OS, l'attaquant voit les SMS avant le transfert — et voit la destination de transfert
Vos SMS sortantsCeci n'archive que les SMS entrants. Vos réponses ne sont pas capturées.
Surveillance en temps réelSi quelqu'un surveille votre téléphone en direct, il voit les SMS en temps réel — l'archive est une sauvegarde, pas une défense
Métadonnées emailProtonMail chiffre le contenu, mais les métadonnées (expéditeur, horodatage, objet) peuvent être visibles pour l'infrastructure ProtonMail
Faiblesse inhérente du SMSInterception SS7, SIM swapping — ces attaques visent le canal SMS lui-même. Utilisez Signal pour les communications vraiment sensibles.

L'essentiel pour la liberté de la presse

Le téléphone de chaque journaliste est un réservoir de confiance des sources. Quand ce téléphone est saisi, cette confiance est violée — pas par le journaliste, mais par le système qui a pris l'appareil.

L'archivage SMS chiffré ne résout pas le problème systémique. Mais il garantit que votre dossier journalistique survit à la perte de votre appareil. Les communications de vos sources sont préservées. Votre enquête peut encore être publiée.

Ça vaut 10 minutes de configuration.

En lien : dispositif de sécurité SMS | transfert SMS pour protection de témoin

Vos sources vous font confiance. Protégez cette confiance.

Téléchargez SMS to Email Forwarder — archivage SMS chiffré, automatique, hors appareil.

Prêt à commencer ?

Configurez le transfert automatique de SMS en 2 minutes. Plan gratuit — sans carte bancaire.

Télécharger sur l'App Store