[Bruno Kerouanton - 15/05/2008]

Le souci lorsque l’on se déplace hors des frontières, c’est qu’il faut parfois prendre quelques précautions lorsque l’on embarque son matériel électronique. [Dans] certains pays réputés un peu tatillons, on peut se voir saisir son ordinateur portable pendant la durée du passage aux douanes. Dans les pays les plus indélicats, on risque même de ne pas le récupérer du tout. Dans d’autres, on le récupérera au bout d’un temps plus ou moins long… le temps pour les autorités locales d’en dupliquer les données.

Tout cela, on le savait déjà, du moins je l’espère pour ceux et celles qui voyagent. Là où cela devient plus ennuyeux, c’est que les Etats-Unis se sont mis procéder de la sorte. L’Angleterre et d’autres honnêtes pays aussi, ne soyons pas toujours contre les mêmes !

Pour preuve, un plaidoyer rédigé par ni plus ni moins que Bruce Schneier dans le quotidien The Guardian ce matin.

Dans son article, il indique que les agents de douane américains ont obtenu l’autorisation depuis un mois de “conserver” les ordinateurs mais également tout appareil électronique susceptible de contenir des données, pour en permettre “la fouille”, donc plus précisément la copie des informations Il leur est même permis de confisquer pour plusieurs jours le tout, téléphones portables, agendas électroniques etc… Pas de très bonne augure, n’est-il pas ?

Bruce Schneier a réagi en envoyant une lettre au Congrès afin de leur suggérer une enquête visant à limiter ces pratiques dignes des barbouzeries de la guerre froide.

Quoi qu’il en soit, il est nécessaire de trouver une solution. Lors du passage en douane, l’agent va vous demander d’allumer votre ordinateur, puis si il ou elle constate que celui-ci refuse de démarrer, vous serez certainement obligé-e de saisir le mot de passe de démarrage. Et je suppose qu’ensuite, vous n’aurez qu’à
laisser votre cher ordinateur sur place, je vous laisse deviner la suite.

L’histoire a démontré récemment que cela n’arrive pas que pour les ordinateurs portables… L’un des contributeurs du projet Gnu Radio qui cherchait à se rendre à une conférence sécurité pour y présenter ses dernières trouvailles en matière de cassage de chiffrement GSM à l’aide de FPGA et de rainbow-tables s’est tout bonnement vu confisquer sa carte SIM et son matériel électronique (mais pas son ordinateur !!!) par les agents de douane à l’aéroport d’Heathrow près de Londres. Il a pu récupérer le tout quelques jours après.

Chiffrer une partie de son disque dur, telle est l’option préconisée par B. Schneier. Des outils tels que PgpDisk ou l’excellent logiciel libre TrueCrypt sont capables de telles prouesses, et l’idée semble astucieuse. D’autres options sont envisageables, telles que la copie des données “sensibles” sur un carte mémoire d’appareil photo, mais la meilleure méthode consiste tout simplement à prendre avec soi un ordinateur vierge de toute donnée. Un EeePc à 300 Euros acheté le matin même fait souvent l’affaire, et tant pis si il est confisqué ! Quant aux données, il suffit de les faire acheminer via un tunnel sécurisé (VPN pour les intimes).

Quelques règles de bonne conduite :

  • Si possible ne prenez pas votre “vieux” PC qui contient toutes vos données depuis 5 an, mais un ordinateur “dédié” aux voyages dans ces pays, et dont le disque dur est soit neuf, soit totalement réinitialisé (format C: ou la corbeille, ça ne marche pas !!!) par exemple avec un outil gratuit comme celui-ci, DBAN.
  • Si vous devez malgré tout emmener votre PC de travail, nettoyez-le :
  1. un coup de CCleaner ou équivalent pour nettoyer les fichiers temporaires, les cookies, l’historique et le cache.
  2. Effacement sécurisé des fichiers et de l’espace libre avec l’outil libre Eraser (qui comprend également l’outil DBAN mentionné ci-dessus) ;
  3. Archivez tout ce qui n’est pas absolument indispensable (vieux emails, fichiers etc.) sur un média de sauvegarde externe, et détruisez de manière sécurisée (à coup d’Eraser par exemple) ces fichiers du disque ;
  4. Pensez à éteindre totalement votre ordinateur et à ne pas mettre votre ordinateur en veille ou en hibernation car certaines attaques sont désormais possibles !
  • Si vous devez absolument prendre les données avec vous et que vous êtes vraiment paranoïaques :
  1. la partition chiffrée que vous allez créer avec TrueCrypt pourra être cachée voire stéganographiée avec accès via deux clefs différentes… en cas de découverte, l’une ouvre la partition “saine” tandis que vous conservez la clef de la vraie partition pour vous.
  2. l’option de la carte microSD est envisageable également, ça ne prend vraiment plus de place et est quasi-invisible dans une poche. Tant qu’à faire, on peut ajouter une couche en chiffrant également le contenu, puis en l’enrobant de mie de pain et en l’avalant comme au bon vieux temps des microfilms, ou d’histoires plus récentes.

Ce n’est pas simple tout cela. Non que j’aie des choses à cacher, mais parce tout comme Bruce Schneier ou Ross Anderson je suis inquiet quant aux dérives à venir (j’en suis certain, malheureusement) liées à ce culte sécuritaire qui nous entoure.

Pourquoi je suis inquiet de la tournure que prennent les choses…

Pour enfoncer le clou, une brève publiée tout à l’heure sur Slashdot fait état de la volonté bien réelle de l’armée de l’air américaine de conçevoir des botnets militaires “pour contrôler tous les PC du monde”. Si vous ne me croyez pas, Slashdot avait commencé à en parler lundi dernier, un article de la revue “Armed Forces Journal” porte le doux titre de “Why America needs a military botnet” (sic !) par le Colonel Charles W. Williamson III (re-sic !!), et tant qu’à faire si vous voulez avoir tous les détails, jetez un oeil à l’appel d’offres public (!!) de 11M$ pour celui qui offrira un botnet haut de gamme à l’armée américaine, capable des pires choses (exfiltration furtive de données, prise de contrôle de tout système, etc.). De plus, quand tout cela se transforme en véritable remake des Croisades et qu’ils en sont rendus à ceci, il y a presque de quoi être désespéré quant à l’avenir du monde civilisé !

Mais bon, ne désespérons pas de suite… il y a encore plein de belles choses qui nous passionneront pour des années. Entre les failles d’OpenSSL parce que la personne chargée de maintenir le paquetage Debian a cru bon deux années durant de supprimer deux variables qui généraient des avertissements lors de compilation ; mettant alors en péril tous les fondements de sécurité réputés fiables, et les milliards de spams que de gentils botnets nous envoient avec amour tous les jours, on a de quoi s’amuser encore un bon bout de temps, nous les spécialistes…

http://bruno.kerouanton.net/blog/2008/05/15/vous-prendrez-bien-lavion/