Vous prendrez bien l’avion ?

Le souci lorsque l’on se déplace hors des frontières, c’est qu’il faut parfois prendre quelques précautions lorsque l’on embarque son matériel électronique. A destination de certains pays réputés un peu tatillons, on peut se voir saisir son ordinateur portable pendant la durée du passage aux douanes. Dans les pays les plus indélicats, on risque même de ne pas le récupérer du tout. Dans d’autres, on le récupérera au bout d’un temps plus ou moins long… le temps pour les autorités locales d’en dupliquer les données.

Tout cela, on le savait déjà, du moins je l’espère pour ceux et celles qui voyagent. Là où cela devient plus ennuyeux, c’est que les Etats-Unis se sont mis procéder de la sorte. L’Angleterre et d’autres honnêtes pays aussi, ne soyons pas toujours contre les mêmes !

Pour preuve, un plaidoyer rédigé par ni plus ni moins que Bruce Schneier dans le quotidien The Guardian ce matin.

Dans son article, il indique que les agents de douane américains ont obtenu l’autorisation depuis un mois de « conserver » les ordinateurs mais également tout appareil électronique susceptible de contenir des données, pour en permettre « la fouille », donc plus précisément la copie des informations Il leur est même permis de confisquer pour plusieurs jours le tout, téléphones portables, agendas électroniques etc… Pas de très bonne augure, n’est-il pas ?

Bruce Schneier a réagi en envoyant une lettre au Congrès afin de leur suggérer une enquête visant à limiter ces pratiques dignes des barbouzeries de la guerre froide.

Quoi qu’il en soit, il est nécessaire de trouver une solution. Lors du passage en douane, l’agent va vous demander d’allumer votre ordinateur, puis si il ou elle constate que celui-ci refuse de démarrer, vous serez certainement obligé-e de saisir le mot de passe de démarrage. Et je suppose qu’ensuite, vous n’aurez qu’à
laisser votre cher ordinateur sur place, je vous laisse deviner la suite.

L’histoire a démontré récemment que cela n’arrive pas que pour les ordinateurs portables… L’un des contributeurs du projet Gnu Radio qui cherchait à se rendre à une conférence sécurité pour y présenter ses dernières trouvailles en matière de cassage de chiffrement GSM à l’aide de FPGA et de rainbow-tables s’est tout bonnement vu confisquer sa carte SIM et son matériel électronique (mais pas son ordinateur !!!) par les agents de douane à l’aéroport d’Heathrow près de Londres. Il a pu récupérer le tout quelques jours après.

Chiffrer une partie de son disque dur, telle est l’option préconisée par B. Schneier. Des outils tels que PgpDisk ou l’excellent logiciel libre TrueCrypt sont capables de telles prouesses, et l’idée semble astucieuse. D’autres options sont envisageables, telles que la copie des données « sensibles » sur un carte mémoire d’appareil photo, mais la meilleure méthode consiste tout simplement à prendre avec soi un ordinateur vierge de toute donnée. Un EeePc à 300 Euros acheté le matin même fait souvent l’affaire, et tant pis si il est confisqué ! Quant aux données, il suffit de les faire acheminer via un tunnel sécurisé (VPN pour les intimes).

Quelques règles de bonne conduite :

  • Si possible ne prenez pas votre « vieux » PC qui contient toutes vos données depuis 5 an, mais un ordinateur « dédié » aux voyages dans ces pays, et dont le disque dur est soit neuf, soit totalement réinitialisé (format C: ou la corbeille, ça ne marche pas !!!) par exemple avec un outil gratuit comme celui-ci, DBAN.
  • Si vous devez malgré tout emmener votre PC de travail, nettoyez-le :
  1. un coup de CCleaner ou équivalent pour nettoyer les fichiers temporaires, les cookies, l’historique et le cache.
  2. Effacement sécurisé des fichiers et de l’espace libre avec l’outil libre Eraser (qui comprend également l’outil DBAN mentionné ci-dessus) ;
  3. Archivez tout ce qui n’est pas absolument indispensable (vieux emails, fichiers etc.) sur un média de sauvegarde externe, et détruisez de manière sécurisée (à coup d’Eraser par exemple) ces fichiers du disque ;
  4. Pensez à éteindre totalement votre ordinateur et à ne pas mettre votre ordinateur en veille ou en hibernation car certaines attaques sont désormais possibles !
  • Si vous devez absolument prendre les données avec vous et que vous êtes vraiment paranoïaques :
  1. la partition chiffrée que vous allez créer avec TrueCrypt pourra être cachée voire stéganographiée avec accès via deux clefs différentes… en cas de découverte, l’une ouvre la partition « saine » tandis que vous conservez la clef de la vraie partition pour vous.
  2. l’option de la carte microSD est envisageable également, ça ne prend vraiment plus de place et est quasi-invisible dans une poche. Tant qu’à faire, on peut ajouter une couche en chiffrant également le contenu, puis en l’enrobant de mie de pain et en l’avalant comme au bon vieux temps des microfilms, ou d’histoires plus récentes.

Ce n’est pas simple tout cela. Non que j’aie des choses à cacher, mais parce tout comme Bruce Schneier ou Ross Anderson je suis inquiet quant aux dérives à venir (j’en suis certain, malheureusement) liées à ce culte sécuritaire qui nous entoure.

Pourquoi je suis inquiet de la tournure que prennent les choses…

Pour enfoncer le clou, une brève publiée tout à l’heure sur Slashdot fait état de la volonté bien réelle de l’armée de l’air américaine de conçevoir des botnets militaires « pour contrôler tous les PC du monde ». Si vous ne me croyez pas, Slashdot avait commencé à en parler lundi dernier, un article de la revue « Armed Forces Journal » porte le doux titre de « Why America needs a military botnet » (sic !) par le Colonel Charles W. Williamson III (re-sic !!), et tant qu’à faire si vous voulez avoir tous les détails, jetez un oeil à l’appel d’offres public (!!) de 11M$ pour celui qui offrira un botnet haut de gamme à l’armée américaine, capable des pires choses (exfiltration furtive de données, prise de contrôle de tout système, etc.). De plus, quand tout cela se transforme en véritable remake des Croisades et qu’ils en sont rendus à ceci, il y a presque de quoi être désespéré quant à l’avenir du monde civilisé !

Mais bon, ne désespérons pas de suite… il y a encore plein de belles choses qui nous passionneront pour des années. Entre les failles d’OpenSSL parce que la personne chargée de maintenir le paquetage Debian a cru bon deux années durant de supprimer deux variables qui généraient des avertissements lors de compilation ; mettant alors en péril tous les fondements de sécurité réputés fiables, et les milliards de spams que de gentils botnets nous envoient avec amour tous les jours, on a de quoi s’amuser encore un bon bout de temps, nous les spécialistes…

10 Comments »

Bruno Kerouanton on mai 15th 2008 in IT Security

10 Responses to “Vous prendrez bien l’avion ?”

  1. Ghost' responded on 16 mai 2008 at 1:10 #

    Bonjour Bruno, bonjour à tous,

    Je ne connaissais pas toutes ces mesures dignes de Big Brother et n’ayant rien à envier au roman 1984…

    Décidemment, ces anglo-saxons nous étonneront toujours…

    Et dire qu’ils ne sont même pas capables d’arrêter Ben Laden qui doit certainement circuler sur un mulet !

    De qui se moque t’on ?

    En tout cas, celà n’engage vraiment pas à faire du tourisme dans ces 2 pays.

    On devrait nous aussi copier la formule du Coca Cola…

    Ce n’est même pas digne d’un film d’espionnage ! Vous voilà, vous, les experts en sécurité informatique, devant en plus faire du contre-espionnage vis à vis d’états souverains (et voyous ?). Je sais que nous parlons d’intelligence économique (terme je pense dérivé de l’intelligence militaire). Faut-il faire de l’intelligence informatique et du contre-espionnage digne de James Bond ? Et là celà ne touche plus les seuls intérêts militaires et des industries sensibles mais la vie quotidienne, économique et privée de toutes les personnes désirant voyager.

    Et puis les botnets envisagés par l’armée US… Quelle vaste rigolade ! Déjà qu’ils se font pirater les sites de l’USAF et de la NASA !

    A quelques mois des élections présidentielles, je voudrais savoir ce qu’en pense les candidats et électeurs démocrates ?

    Bon maitenant s’ils veulent partir en croisade, God bless America et God save the Queen ! Je crois qu’ils en auront bien besoin !

    Sur ce bonne soirée et surtout regardez bien sous votre lit avant de vous coucher : un espion y a peut être déjà fait son nid :)

    Ghost’

  2. ITI responded on 16 mai 2008 at 9:02 #

    Bjr.

    Je pose ici les mêmes questions que celles postées chez Zyhtom sur un sujet identique :

    la procédure douanière veut qu’en cas de refus de donner son pwd, le matériel soit séquestré. Soit.
    En cas d’acceptation de remise du mot de passe (eeek!!!), j’ai cru comprednre qu’il est également prévu de faire une image du support mémoire pour analyse ultérieure si nécessaire, probablement par manque de temps avant l’embarquement.

    J’émets un doute sérieux sur le banquier / PDG / artiste / conseil financier / expert informatique qui abandonnera qui son mot de passe système, qui son portable dernier cri (par refus de donner le dit password) à un douanier probablement cyber-déficient.

    Car, pour ma part, en premier lieu, je doute sérieusement des compétences informatiques des douaniers. Je conais les nôtres, j’ai une peure retrospective simplement pour le matériel.

    Mais ce qui me préoccupe le plus, c’est le séquestre des données et/ou du matériel. Dispose-t’on d’un certificat de non-divulgation, avec archivage sur support sécurisé, accès restreint, etc…. lorsqu’on laisse prendre une image de son disque de portable / hdd usb / ipod / carte SIM / smartphone ?
    De même, dispose-t’on d’un autre certificat de destruction physique confirmée des données une fois la non-dangerosité établie ?
    Enfin, a-t’on une attestation sur l’honneur que le douanier (ou la personne en charge de l’analyse du contenu) n’exploitera pas les données analysées ????

    Des avis ???

  3. ITI responded on 16 mai 2008 at 9:40 #

    désolé, je tape trop vite et donc mal. :(

  4. Bruno Kerouanton responded on 16 mai 2008 at 9:47 #

    c’est bien pour cela que je suis préoccupé. Les agents de douane ne seront très probablement pas formés à ces opérations de duplication, je suis persuadé qu’ils se borneront à l’emprunt pour quelques jours des éléments suspects, le temps de les confier aux « gens qui savent quoi en faire ». C’est pour cela que je préconise l’ordinateur à pas cher genre EeePC, ça fait toc mais au moins si on se le fait confisquer ce n’est pas une trop grosse perte.

    Les soucis restant sont les suivants :
    - le professionnel qui a besoin de son portable pour des contrats/conférences/etc. et qui se retrouve démuni durant son voyage d’affaires, ce qui fait toujours mauvais effet.
    - comme tu le disais, le risque que les données dupliquées soient exploitées à l’insu de leur propriétaire. A mon avis lorsqu’ils saisissent, tu n’as pas ton mot à dire et je crains que si tu réclames que l’agent de douane te signe un NDA ou te produise une charte de bon usage de tes données, il te rigole au nez et te mette en salle d’attente quelques heures de plus… Tiens, d’ailleurs comment ça se passe même chez nous en cas de perquisition ?

    En ce qui me concerne, je reste sceptique quant à l’issue de toutes ces dérives sécuritaires… A force de mettre en place des petites mesures un peu partout, on risque de tomber dans l’excès. Sans vouloir lancer la polémique, quand Berlin s’est massivement armé en 1936 personne n’y rien trouvé à y redire… on a vu le résultat. Tiens, saviez-vous que l’histoire du botnet militaire cité ci-dessus n’est qu’anecdotique par rapport au projet complet… voir mon prochain post !

  5. denis responded on 16 mai 2008 at 10:10 #

    Tout d’abord, un grand bravo pour ton blog, Bruno: une référence!

    Ensuite une solution, mais qui ne sera sans doute pas définitive au moment du passage de douane, est proposée par ma boite: le globull.
    Voir http://www.myglobull.fr/

    Qu’en pensez-vous?

    Denis
    lecteur franc-comtois, donc presque voisin!

  6. ITI responded on 16 mai 2008 at 10:26 #

    Merci pour ce point de vue.

    Je pense qu’il faut faire une différence entre le séquestre du matériel et le séquestre des données.

    Autant un PC « jetable » comme l’eePC ne me gène pas (mais il faudrait savoir intégrer le cout de la machine dans les frais de déplacement à l’étranger), autant les risques de perte, de diffusion ou d’exploitation des donénes conservées me gène très fortement.

    En gros, les douaniers deviennent pourvoyeurs d’informations en masse pour le compte de Big Brother, qui en plus du whatching you dispose maintenant du Trace You, Judge You, Fake You, etc….

    sinon : « …rapport au projet complet… voir mon prochain post !… »

    Oh, l’affreux procédé commercial éculé pour nous accrocher à la lecture de ce blog… ! :o D LOL

  7. Bruno Kerouanton responded on 16 mai 2008 at 11:34 #

    @Denis : merci pour le compliment ;) Je suis depuis quelques semaines le fil de discussion sur la liste de l’OSSIR au sujet de ces fameux disques sécurisés, et étais allé voir la description technique. Ca m’a l’air en effet assez bien, mais on restera de toute manière confronté face au douanier *qui veut* le mot de passe !!! Et là, disque dur chiffré ou non, ça devient difficile. On peut toujours dire qu’on l’a trouvé par terre et qu’on ne connait pas son mot de passe, mais bon… c’est un peu gros !

    @ITI : je partage ta préoccupation, mais de toute manière le problème est déjà résolu d’une certaine façon, puisque G. Bush a signé en janvier une directive demandant à la NSA de monitorer tous les ordinateurs gouvernementaux, puis de surveiller toutes les données qui entrent et sortent du territoire. Ca fait partie de mo prochain post (!).

    Et pour répondre à ta pique concernant mon affreux procédé commercial, disons que tu n’as qu’à moitié tort. Au début lorsque j’ai rédigé mon billet je voulais juste parler de la sécurité des disques durs dans les aéroports, puis de fil en aiguille je me suis rendu compte de tout le reste, et que cette histoire de botnets militaires ne serait que la partie émergée de l’iceberg. D’où ma volonté de scinder en deux ce billet, par souci de lisibilité pour mon sympathique lectorat.

    Et hop.

  8. Bruno Kerouanton » Escalade malsaine responded on 23 mai 2008 at 12:40 #

    [...] un billet dont j’avais entamé la rédaction immédiatement après mon dernier post sur les soucis d’aéroports, de disques durs et d’autres futilités pour les [...]

  9. COMMENT EVITER DE SE FAIRE PIRATER LE CONTENU DE SON DISQUE DUR LORS DU PASSAGE EN DOUANE « Libertes & Internets responded on 06 juin 2008 at 16:21 #

    [...] http://bruno.kerouanton.net/blog/2008/05/15/vous-prendrez-bien-lavion/   [...]

  10. Yann responded on 21 juil 2008 at 23:16 #

    Je viens de tomber sur un article qui resume bien la mauvaise foi du gouvernement américain :

    http://www.theregister.co.uk/2008/07/21/cyberspy_olympics/

    En tant que connaisseur (du moins, beaucoup plus que la majorité des gens de nos régions) de la Chine, et pour y avoir passer 2 mois (avec mon laptop), j’ai jamais ressenti ce genre de comportement.

    Il suffit d’aller en Angleterre pour ressentir ca…

Trackback URI | Comments RSS

Laisser un commentaire