34c3
Au cours des deux dernières années, nous avons entendu parler d’un certain nombre d’histoires inquiétantes au sujet de personnes arrêtées aux postes frontaliers et de la fouille de leurs appareils numériques. Lors du Chaos Communication Congress, Kurt Opsahl et William Budington de l’Electronic Frontier Foundation ont fait le point sur ce qui se passe réellement dans ce domaine. Voici un résumé de la conférence avec une douzaine de faits et de conseils.
1. Les agents ne se soucient pas de votre vie privée
Les gouvernements traitent les frontières comme des zones particulièrement dangereuses et ont tendance à affirmer qu’ils y ont plus de pouvoir et d’autorité pour effectuer des fouilles que dans le reste du pays.
Il est prudent de supposer que les agents frontaliers dans tous les pays que vous visitez suivent des politiques ou des lois qui leur permettent de fouiller vos appareils numériques. Il est également pertinent de supposer qu’ils ne se soucient pas beaucoup de protéger votre vie privée. (Dans les cas où ces fouilles ne sont pas permises, Opsahl et Budington, les défenseurs de la protection de la vie privée, n’ont pas non plus fait l’éloge du respect des règles par les agents frontaliers.)
Que se passe-t-il si vous refusez de donner vos mots de passe aux agents pour faciliter leurs recherches ? Les agents frontaliers ont assez de pouvoir pour vous compliquer la vie si vous n’obtempérez pas. Ils peuvent :
- Refusez votre entrée si vous êtes un visiteur dans le pays (pas si vous êtes citoyen ou résident permanent) ;
- Vous faire perdre beaucoup de temps, ce qui pourrait vous faire manquer un vol de correspondance et bouleverser votre planning de voyage ou d’affaires ;
- Saisir vos biens, y compris les appareils numériques.
Dans l’ensemble, tout cela est très stressant, surtout après un long vol international, quand on a hâte de quitter l’aéroport le plus vite possible. Mais cela ne signifie pas que vous devez renoncer à votre confidentialité sans tarder. La meilleure méthode, c’est de se préparer à l’avance, et c’est exactement sur cela que porte cet article.
2. Les fouilles numériques n’arrivent jamais lors de la vérification en première ligne
L’agent frontalier que vous voyez à l’arrivée fait un contrôle dit de première ligne. Si tout semble correct, vous êtes autorisé à entrer, et c’est tout. Mais si vous semblez suspect, l’agent vous enverra à la vérification de deuxième ligne – c’est là que vos biens, y compris les appareils numériques, peuvent être fouillés.
Par conséquent, si vous voulez éviter les fouilles numériques (ainsi que les autres recherches), il est préférable d’éviter les vérifications de deuxième ligne. Bien sûr, ce n’est pas totalement à vous de décider, mais au moins, vous pouvez faire de votre mieux pour ne pas paraître suspect. Certains déclencheurs typiques qui peuvent causer un contrôle secondaire sont :
- Difficultés de communication ;
- Irrégularités dans la documentation ;
- Les signaux de la base de données ou la base de données ne correspond pas avec vos documents papier (par exemple, dates erronées ou orthographe différente de votre nom sur votre visa de voyage).
Avant de voyager, assurez-vous donc que vos documents sont en règle. Préparez-vous à montrer à l’agent frontalier tous les documents supplémentaires que l’on pourrait vous demander (billets de retour, réservations d’hôtel, etc.). À la frontière, soyez poli, calme, confiant et prêt à expliquer où vous allez et pourquoi, quand vous comptez rentrer chez vous, etc.
3. Les fouilles numériques ne sont pas fréquentes
Même si vous êtes envoyé à la vérification de deuxième ligne, cela ne signifie pas nécessairement que vos appareils seront fouillés. Les chiffres varient fortement pour les plus grands aéroports européens, de 7 % à Francfort à 48 % à Paris Charles de Gaulle. Quoi qu’il en soit, il y a de fortes chances que la présélection de deuxième ligne se limite à un entretien et à une vérification de documents supplémentaires.
Dans l’ensemble, bien que le nombre de fouilles numériques ne cesse d’augmenter, elles ne se produisent pas encore très souvent. Par exemple, aux États-Unis, le nombre de fouilles dans les médias aux frontières est passé de 4 764 en 2015 à 23 877 en 2016 et à environ 30 000 en 2017, mais sur environ 400 millions de passages frontaliers par année, soit environ 1 sur 13 000.
4. Il est déconseillé de mentir aux agents frontaliers – et ne pensez même pas à en venir aux mains
Mentir aux agents frontaliers est un crime dans la plupart des pays. Ce n’est probablement pas quelque chose à essayer. De plus, si l’on vous attrape, les chances que votre appareil soit fouillé montent en flèche. Ceci dit, le mensonge consistant à déclarer que vous ne pouvez pas déverrouiller votre téléphone parce que vous avez oublié votre mot de passe n’est pas particulièrement intelligent ou original.
Essayer d’interférer physiquement avec les agents frontaliers qui fouillent dans vos affaires est probablement la pire solution : ils sont bien entraînés, et les conséquences pourraient être fâcheuses.
5. Les agents peuvent avoir plus d’un tour dans leur poche
Les agents frontaliers peuvent disposer d’équipements spéciaux pour extraire rapidement et efficacement les données des dispositifs mobiles. Les exemples les plus remarquables sont les dispositifs fabriqués par Cellebrite qui peuvent même extraire des informations supprimées. Au moins dans certains cas, cet équipement peut extraire des données même de dispositifs verrouillés.
Remarquez que le logiciel Cellebrite montre même les éléments effacés de l’historique des appels, des messages et d’autres fonctions d’un téléphone
6. Les empreintes digitales sont moins sûres que les mots de passe
Les mots de passe sont plus ou moins protégés par le droit à garder le silence (ce n’est pas une protection parfaite, mais c’est mieux que rien), mais ce n’est pas le cas des empreintes digitales. Il est donc plus facile pour les agents frontaliers de vous ordonner de débloquer un appareil protégé par empreinte digitale qu’un appareil protégé par mot de passe.
De plus, les agents frontaliers n’ont pas à vous demander vos empreintes digitales : ils peuvent saisir votre doigt et déverrouiller votre appareil. Et, bien que cela soit extrêmement improbable pour un voyageur lambda, s’ils ont vos empreintes digitales dans une base de données, ils peuvent déverrouiller vos appareils avec une copie contrefaite.
La meilleure façon de s’assurer que cela ne se produira pas, c’est en activant le chiffrement intégral du disque dur (Full Disk Encryption – FDE) dans votre système d’exploitation et en éteignant le périphérique avant d’arriver à la frontière. Vous serez invité à saisir votre mot de passe lorsque vous allumerez l’appareil, même si vous utilisez normalement une empreinte digitale pour déverrouiller l’écran. L’utilisation du FDE est de toute façon une pratique à recommander.
7. Les personnes ayant été fouillées doivent tout documenter et changer leurs mots de passe
Si vous êtes fouillé, notez tous les détails : quelles agences ont été impliquées, le nom des agents, les numéros de badge, ce qu’on vous a ordonné de faire, et ainsi de suite. Si l’un de vos biens est saisi, demandez un reçu.
Après la rencontre, changez immédiatement les mots de passe que vous avez donnés aux agents frontaliers. Un bon gestionnaire de mots de passe peut rendre cela bien plus facile pour vous en créant des mots de passe forts aléatoires et en les stockant pour vous.
8. Les données sur le cloud sont probablement mieux protégées que les données locales.
De nos jours, nous sommes habitués à ce que la vie privée soit bafouée au quotidien par des agences gouvernementales qui fouinent sur le cloud tout en ne faisant pas grand-chose des données stockées localement sur vos appareils. Mais lorsque vous franchissez une frontière, les données sur le cloud sont probablement mieux protégées que les données stockées dans la mémoire de l’appareil. C’est tout du moins le cas aux États-Unis. Les agents frontaliers peuvent effectuer des recherches sur votre appareil et les données stockées sur celui-ci, mais ils n’ont pas le droit de rechercher vos données du cloud.
9. Les politiques des employeurs s’appliquent aux périphériques de travail
Assurez-vous que votre employeur est d’accord pour que vous transportiez vos appareils de travail au-delà d’une frontière et prêt à assumer les possibles conséquences d’une recherche numérique. Vérifiez que vous n’encourez aucune responsabilité dans le cas où de telles conséquences se produiraient, notamment une perte de données d’entreprise ou une fuite de données. Songez à laisser vos périphériques de travail si vous n’en avez pas vraiment besoin avec vous.
10. La meilleure solution, c’est de ne pas amener vos périphériques ou vos données.
Songez à laisser derrière vous non seulement vos appareils de travail, mais aussi vos appareils personnels. Si vous n’avez pas les appareils sur vous, il n’y a rien à chercher. Cependant, le fait de n’avoir aucun dispositif peut sembler très suspect aux agents frontaliers, et une solution peut donc être d’apporter des dispositifs temporaires.
Il en va de même pour vos données : ne les amenez pas avec vous si vous n’en avez pas vraiment besoin. Stockez les données sur le cloud, mais de manière sécurisée : utilisez un stockage sur le cloud qui supporte le chiffrement côté client (malheureusement, la plupart des services populaires ne le proposent pas, mais nous avons un guide des services qui le font) ou chiffrez les données avant la mise en ligne.
11. La sécurité des données n’est jamais garantie
Faites une copie de sécurité de toutes vos données avant de voyager. Utilisez des mots de passe forts pour chaque service ou application et déconnectez-vous des services avant de franchir des frontières. Il va sans dire que vous devez également protéger les systèmes d’exploitation de vos périphériques avec de bons mots de passe. En outre, ces mesures vous aideront si votre appareil est volé, ce qui est plus probable lorsque vous voyagez que quand vous êtes chez vous.
Supprimez toutes les données dont vous n’avez pas besoin ou qui pourraient susciter des questions dans votre lieu de destination (comme des photos qui peuvent ne pas avoir d’importance chez vous mais qui seraient problématiques dans d’autres pays, par exemple parce qu’elles montrent beaucoup de peau, disons, ou la consommation de drogues). Gardez à l’esprit que lorsque vous supprimez simplement des fichiers, ils ne sont pas vraiment effacés du disque ; supprimez donc vos données en toute sécurité.
Supprimer des fichiers en toute sécurité est assez facile sur les ordinateurs portables : là, vous avez beaucoup d’options ici, y compris le formatage pur et simple de disque (mais gardez à l’esprit que vous devez effectuer un « formatage de bas niveau », pas un « formatage rapide »), ou l’utilisation d’utilitaires spéciaux qui sont disponibles pour tous les systèmes d’exploitation de bureau. Par exemple, BleachBit supprime les fichiers et peut nettoyer le navigateur et l’historique de navigation récente ainsi que certaines choses plus obscures comme les miniatures (oui, ces petites prévisualisations de vos fichiers peuvent subsister même après la suppression de ceux-ci).
La suppression sécurisée sur les appareils mobiles est beaucoup plus délicate, mais tout de même possible : activez le chiffrement intégral du disque, puis effacez les clés de chiffrement, ce qui rendra les données indéchiffrables. Cette opération est intégrée dans la réinitialisation d’usine en iOS et dans la fonction » power wash » sur les Chromebooks (malheureusement, elle n’est pas disponible sur Android).
Pour en savoir plus, je vous recommande de suivre tout le discours de Kurt Opsahl et Daniel Wegemer. Il contient beaucoup de nuances juridiques et techniques supplémentaires.
Conseils