Format imprimable 

Comment protéger les données dans son ordinateur portatif avant de traverser la frontière

Par Luigi Benetton

Une politique américaine relative aux mesures de sécurité à la frontière pose un risque potentiel au secret professionnel de l’avocat. Voici ce qu’il faut savoir et comment protéger les données confidentielles.

Fouille des ordinateurs portatifs à la frontière américaine : nouvelles lignes directrices (août 2009):  « Quiconque se rend régulièrement aux États-Unis pour affaires devrait connaître les lignes directrices du département de la Sécurité intérieure (Department of Homeland Security – DHS) annoncées le 27 août 2009. » Lire la suite

Faites-vous souvent des voyages d’affaires aux États-Unis? Si vous emportez des renseignements confidentiels, prenez garde : une nouvelle politique permet aux agents de la Customs and Border Patrol (CBP) de fouiller et confisquer ordinateurs, téléphones, assistants numériques personnels, appareils photo, lecteurs de musique numérique et autres appareils de stockage de données. En vertu de la nouvelle politique américaine sur la recherche d’information à la frontière, les agents ont aussi déjà copié le contenu intégral de disques durs d’ordinateurs et autres dispositifs de stockage pour les examiner ultérieurement. (À noter : des situations semblables peuvent aussi se présenter à la frontière d’autres pays.)

Lectures Pour en savoir davantage sur les nouvelles lignes directrices, suivez les liens ci-dessous. U.S. Customs and Border Protection directive – Border Search of Electronic Devices Containing Information (directive sur la fouille à la frontière de dispositifs électroniques contenant de l’information)  (PDF) U.S. Immigration and Customs Enforcement directive – Border Searches of Electronic Media (directive sur la fouille à la frontière de supports électroniques) Department of Homeland Security – Privacy Impact Assessment: Border Searches of Electronic Information (évaluation des implications pour la protection de la vie privée des fouilles à la frontière de données électroniques)(PDF)

Pour de nombreux voyageurs, les assurances de la CBP que les données confidentielles seront traitées avec soin ne convainquent pas. Et les voyageurs qui résistent à une fouille, fût-ce simplement en insistant que de telles fouilles exigeraient un mandat et une cause probable si elles étaient effectuées à l’intérieur des États-Unis, peuvent être détenus, renvoyés dans leur pays d’origine ou subir d’autres conséquences fâcheuses.

Face à ces nouveautés, de nombreux juristes et autres affirment que les règles du jeu en matière de protection des renseignements personnels sont indiscutablement biaisées en faveur des agents frontaliers.

Le présent article suggère 10 mesures que vous pouvez prendre pour protéger des renseignements confidentiels, comme ceux protégés par le secret professionnel de l’avocat, lorsque vous franchissez la frontière. Chacune est assortie de réserves, dont la plus importante est qu’il n’y a aucune garantie. Vous voudrez peut-être consulter un spécialiste de la sécurité de la TI pour vous aider à choisir les meilleures options selon vos besoins.

1. Soyez anonyme

Des milliers de voyageurs traversent chaque jour les frontières américaines, transportant des milliers d’appareils. La CBP doit jauger les préoccupations en matière de sécurité en regard du temps limité pour effectuer des fouilles.

De nombreux voyageurs croient que la loi des probabilités continuera de jouer en leur faveur. Si ce n’est pas votre cas, lisez la suite.

2. Voyagez avec un ordinateur « nu »

Soyez « aseptisé »

La CBP ne peut pas lire ce qu’un ordinateur ne contient pas. C’est pourquoi certaines entreprises remettent à leurs employés des ordinateurs « aseptisés » lorsqu’ils voyagent. Ces ordinateurs contiennent le système d’exploitation, les applications nécessaires et peu ou pas de données.

Une fois à destination, les employés travaillent en sauvegardant leurs données sur des serveurs de l’entreprise au moyen d’un réseau virtuel privé sécurisé. (Des connexions sécurisées sont indispensables puisque dans certaines circonstances, la loi américaine permet l’interception de courriels et de données transmises par accès à distance à des serveurs.)

Les employés peuvent copier des fichiers sur leurs ordinateurs, charger les fruits de leur travail sur les serveurs de l’entreprise, puis « aseptiser » leurs ordinateurs de nouveau avant de repartir.
Vu la grande accessibilité à des connexions Internet à haute vitesse partout aux États-Unis, le fait de voyager avec un ordinateur portatif nettoyé ne présente guère de problèmes à moins que la nécessité d’échanger des fichiers particulièrement volumineux ou des problèmes d’accès à Internet n’entravent l’accès de l’employé à des données.

Utilisez du logiciel-service

Dans la foulée de phénomènes tels que Google Docs, un nombre croissant d’entreprises offrent des logiciels résidant sur Internet. Tout ce dont leurs clients ont besoin pour utiliser ces applications est un navigateur Web compatible.

Conceptuellement, les clients utilisent du logiciel-service ou « Software as a Service » (SaaS) (résidant sur les serveurs du développeur de logiciels) plutôt que du logiciel-produit (résidant sur le disque dur de l’ordinateur). Fait important à noter, les données sont conservées sur le même serveur que le logiciel-service.

Cette tactique est moins sûre que l’aseptisation complète, et ce, pour plusieurs raisons dont la moindre n’est pas votre navigateur Web. Celui-ci enregistre votre activité Internet au moyen de mouchards, historique et autres données. Supprimez toutes ces traces de votre activité Internet avant de prendre votre prochain vol. (Pour plus amples renseignements, voyez l’encadré « Fichiers à supprimer ».)

Logiciel-service : Un problème à prendre en compte

Que se passe-t-il si les agents frontaliers tiennent à obtenir vos données? Si un serveur (celui de votre entreprise ou d’un fournisseur de logiciel-service) est situé à l’intérieur des États-Unis, la Patriot Act américaine permet aux agents gouvernementaux américains d’accéder à vos données (et obligent le fournisseur de logiciel-service à garder le silence à ce sujet).

Si les données résident à l’extérieur des États-Unis mais que le siège social de l’entreprise ou les dirigeants sont établis aux États-Unis, les données doivent être remises sur demande sous peine d’accusations à l’endroit de l’entreprise ou des dirigeants.

Fichiers à supprimer Ce n’est pas tout le monde qui voyage avec un ordinateur aseptisé fourni par son entreprise. Si ce n’est pas votre cas, voici les types de fichiers que vous devriez envisager de supprimer des ordinateurs traversant des frontières. Documents Cherchez tous les fichiers ayant les extensions connues comme .doc, .xls, .ppt, .pdf et ainsi de suite. Si vous avez un Mac, comme votre ordinateur n’a pas besoin d’extensions aux noms de fichiers, une recherche sur ce critère peut être inefficace. Assurez-vous que votre Mac affiche toutes les extensions avant d’exécuter la recherche. Courriels et information des gestionnaires d’informations personnelles Passez soigneusement vos messages de courriel en revue pour trouver ceux que vous pouvez supprimer. Les gestionnaires d’informations personnelles enregistrent des calendriers, des tâches, des listes de contacts, des notes et d’autres informations. N’oubliez pas de les vérifier aussi. Fichiers et répertoires temporaires Divers programmes conservent des copies de documents et d’autres informations dans des répertoires temporaires, sans nécessairement les supprimer quand vous quittez le programme. Les fichiers temporaires peuvent se trouver en divers endroits. Une recherche générale du mot « temp » aidera à les repérer, mais vous pouvez aussi consulter la documentation du logiciel. Photos Cherchez des fichiers ayant des extensions comme .jpg, .png, .gif et autres, ainsi que de l’information conservée par les logiciels de traitement des images que vous utilisez (p. ex., Photoshop d’Adobe, iPhoto d’Apple). Certains appareils photo numériques produisent des photos en format RAW ou dans des formats exclusifs utilisant des extensions ésotériques. Vérifiez ce qu’indique votre manuel d’utilisateur. Mémoire virtuelle Pour augmenter la mémoire vive, le système d’exploitation peut utiliser une partie de votre disque dur comme mémoire virtuelle. Windows vous permet de désactiver la mémoire virtuelle. Si vous ne pouvez pas supporter la baisse de performance qui s’ensuit, assurez-vous que votre disque dur au complet est encodé. Données du navigateur Chaque fois que vous naviguez sur le Web, votre navigateur enregistre votre cheminement dans son historique des pages visitées, une mémoire cache contenant les pages téléchargées, les mouchards que des sites peuvent inscrire sur votre disque dur, les noms des fichiers que vous avez téléchargés et ainsi de suite. Par défaut, la plupart des navigateurs permettent d’enregistrer une certaine quantité de telles données sur votre disque dur. Modifiez ces options, de sorte que le navigateur supprime toute cette information après utilisation. À noter : le logiciel Mozilla Firefox peut automatiquement supprimer toute trace de votre navigation chaque fois que vous quittez le navigateur.

3. Éteignez votre ordinateur, et faites-le tôt

Si vous devez importer des données dans votre ordinateur, éteignez-le cinq minutes avant d’arriver aux douanes.

Quand ils fonctionnent, les ordinateurs conservent de l’information non chiffrée dans la mémoire vive. Si vous traversez les douanes avec un ordinateur en veilleuse, la mémoire vive révèle ce à quoi vous travailliez.

La mémoire vive ne se vide que cinq minutes après que l’ordinateur a été éteint. Donc dès que s’allume le signal d’attacher les ceintures, éteignez votre ordinateur.

4. Faites des copies de sauvegarde

Si des agents frontaliers confisquent votre ordinateur, cela ne vous empêchera pas de continuer à travailler utilement – pourvu que vous ayez laissé une copie de vos données en lieu sûr, comme un autre disque dur ou les serveurs de votre ordinateur, et que vous pouvez retrouver rapidement toutes les données voulues (documents, calendriers, courriels et ainsi de suite).

5. Utilisez un différent compte d’utilisateur pour vos renseignements confidentiels

Tout ordinateur moderne peut être utilisé par diverses personnes qui ont chacune leurs propres documents. Les utilisateurs peuvent protéger leurs comptes avec un mot de passe, de sorte que les autres utilisateurs ayant accès au même ordinateur ne puissent pas accéder à des documents qui ne leur appartiennent pas.

Moyen de protection : Le voyageur peut utiliser l’ordinateur au moyen d’un compte « aseptisé » de simple utilisateur pendant qu’il voyage, et conserver les documents confidentiels sous un compte « sûr » dont il ne connaît pas le mot de passe. Après confirmation de l’arrivée à la destination finale, le collègue qui a créé le compte « sûr » peut transmettre le mot de passe au voyageur par courriel sécurisé.

Entre-temps, si on l’interroge aux douanes au sujet des autres comptes, le voyageur ne peut guère que hausser les épaules. (Rappelez-vous que tous les comptes devraient être chiffrés.)

Choisissez des mots de passe bizarres Utilisez-vous comme mot de passe le nom de votre entreprise, votre propre nom, le mot « motdepasse » ou autre chose qui vous est facile à retenir? Voici matière à réflexion : des logiciels modernes peuvent générer des dizaines et mêmes des centaines de milliers de mots de passe à la seconde pour tenter de trouver le vôtre – et ils commencent par les plus couramment utilisés. Cependant, si votre ordinateur est confisqué, les experts tentent rarement de percer un mot de passe. Plutôt, ils cherchent là où soit l’ordinateur, soit vous-même pouvez l’avoir sauvegardé sur le disque dur – respectivement registre, fichiers de mémoire virtuelle, données supprimées, ou courriel, fiche de contact, fichier texte. Un chiffrement rigoureux du disque dur au complet est un excellent moyen de défense de première ligne. Les experts de la sécurité n’en recommandent pas moins de choisir des mots de passe aussi difficiles que possible à percer. Voici des conseils : n’utilisez pas des mots réels, qui sont vulnérables aux « attaques de dictionnaire », où un logiciel essaie chaque mot se trouvant dans le dictionnaire jusqu’à trouver celui qu’il faut; préférez des mots de passe longs plutôt que courts; n’utilisez pas votre nom, votre âge, votre adresse ou aucune autre information personnelle, non plus que celle d’une personne de vos connaissances; si le logiciel permet de les distinguer, mélangez des lettres en majuscule et en minuscule; si le logiciel permet d’utiliser des chiffres, des signes de ponctuation et des caractères spéciaux, insérez-en.

6. Partitionnez et chiffrez votre disque dur

La partition du disque dur, comme le chiffrement, est une pratique courante en TI permettant d’utiliser un disque dur comme s’il s’agissait de deux disques ou plus. Ces partitions peuvent être chiffrées et protégées par différents mots de passe. D’ailleurs, certains outils de partitionnement peuvent aujourd’hui dissimuler les partitions.

Moyen de protection : En recourant à la fois au chiffrement et au partitionnement, un voyageur peut déchiffrer uniquement une partition qui contient des données « sûres » que les agents frontaliers pourront inspecter. Les agents peuvent ne pas savoir qu’il y aurait d’autres partitions à inspecter si l’outil de partitionnement les dissimule – une tactique appelée stéganographie.

Pour accroître les chances de succès de ce subterfuge, munissez votre ordinateur portatif d’un plus gros disque dur, donnez à la partition « sûre » la même dimension que celle du disque dur de série de l’ordinateur, et placez le reste de l’espace disque dans d’autres partitions.

Même si vous ne faites pas une partition, un solide chiffrement de l’ensemble du disque dur et des données en tous genres est une pratique élémentaire en matière de sécurité qui ne devrait susciter aucun soupçon.

Pourquoi l’ensemble du disque dur? Certains programmes peuvent enregistrer de l’information à l’extérieur des zones chiffrées, sans que l’utilisateur le sache.

Bien qu’il soit vivement recommandé, le chiffrement n’est pas à toute épreuve : les agents frontaliers peuvent simplement vous demander de taper votre mot de passe. Un refus peut s’avérer lourd de conséquences.

7. Protégez les ports FireWire

Les ports FireWire permettent des transferts de données plus rapides que les ports USB. Certains ordinateurs Windows haut de gamme et pratiquement tous les Mac sont dotés de ports FireWire.
La CBP peut s’en servir pour copier rapidement un disque dur complet. Les Mac permettent au propriétaire de bloquer cette option en créant un mot de passe Open Firmware. Consultez vos spécialistes de la TI pour savoir comment protéger votre port FireWire.

8. Stockez vos données sur de petits dispositifs

Les cartes de mémoire et clés USB peuvent enregistrer de grandes quantités de données. Comme ils sont petits, vous pouvez les transporter discrètement. En revanche pour la même raison, ils peuvent facilement être perdus, ou confisqués par des agents frontaliers s’ils les trouvent. Veillez donc à utiliser aussi un solide chiffrement pour ces dispositifs.

La clé Ironkey est un lecteur USB de qualité militaire qui s’autodétruit après 10 tentatives infructueuses d’ouvrir une session (https://www.ironkey.com).

9. Protégez téléphones et assistants numériques personnels

Qu’il s’agisse du registre des appels, de messages texte, de courriels ou de documents, les téléphones modernes – surtout les téléphones intelligents tels que BlackBerry de RIM, iPhone d’Apple et Treo de Palm – emmagasinent des quantités impressionnantes d’information.

Veillez à ce que votre appareil soit aussi « propre » que possible si vous craignez qu’il puisse être confisqué. Et activez toute fonction disponible de chiffrement et de verrouillage par mot de passe.

Autre solution possible : certains téléphones intelligents peuvent être « vidés » à distance lorsqu’ils sont perdus. Et tous permettent à l’utilisateur de synchroniser les données qui s’y trouvent avec son ordinateur, de sorte qu’il peut les transférer aisément à un autre appareil au besoin.

10. Nettoyez votre ordinateur portatif en le récupérant

Les agents frontaliers pourraient restituer les ordinateurs portatifs confisqués avec un petit supplément : un logiciel espion qui surveille l’activité informatique du propriétaire et envoie des fichiers journaux à « Big Brother ».

Un « logiciel fédéral » peut être invisible aux logiciels anti-espions, donc dès que vous récupérez votre ordinateur, initialisez-le au moyen d’un lecteur externe et fouillez le disque dur pour repérer tout élément qui ne devrait pas s’y trouver.
 

Outils de protection pour vos données Vous voulez protéger vos données électroniques? Voici quelques outils qui peuvent être pratiques, dont certains que vous pouvez déjà posséder. (Des listes complètes de tels outils se trouvent sur www.VersionTracker.com et ailleurs sur le Web.) Chiffrement et partition du disque dur Les ordinateurs modernes sont livrés avec leurs propres outils de chiffrement. Microsoft intègre la fonction Chiffrement de lecteur BitLocker à certaines versions de Vista, tandis qu’Apple fournit FileVault avec chaque Mac. Si vous avez besoin d’options plus avancées, PGP Disk, TrueCrypt et d’autres offrent des solutions généralement excellentes pour le chiffrement du disque dur. Générateur de mots de passe Vous vous demandez si votre mot de passe est bien choisi? Téléchargez un générateur de mots de passe qui vous donnera la réponse. Les propriétaires de Mac bénéficient déjà, dans l’application réglant les préférences du système de comptes, d’une fonction que propose Apple pour aider les utilisateurs à créer le mot de passe d’un nouveau compte sur le Mac. Pour plus amples renseignements sur les mots de passe, voyez le texte Encadré : Choisissez des mots de passe bizarres, en page 14. Destructeurs de données Lorsque vous supprimez un fichier informatique en vidant la corbeille, le système d’exploitation ne le fait pas disparaître; il refuse simplement de reconnaître son existence et permet aux applications de réutiliser l’espace correspondant sur le disque dur. C’est pourquoi les fichiers que les utilisateurs croient partis depuis longtemps peuvent refaire surface lors d’une fouille. C’est comme la différence entre placer un document dans un bac de recyclage et le jeter dans un feu ardent. En plus de logiciels spécialisés, les principaux systèmes d’exploitation modernes sont livrés avec des fonctions de suppression sécurisée qui réécrivent sur des parties précises du disque dur, de sorte que le fichier original soit méconnaissable et irrécupérable.

 

Discussion Let's say someone gets a hold of your laptop. Is there a way to give them any type of a virus that will shut them down when they try to get into your files ? By: Anonymous Posted: 10-24-08 Reply to this Post Back to Top

It is important to note that deleting files via the trash or recycling bin does not actually erase them, but merely deletes the files necessary to easily access them. Data is only permanently erased from your hard drive when the space occupied by it is overwritten with other data. With a mac, when deleting confidential files and information, choose "Secure Empty Trash", rather than simply "Empty Trash", from the "Finder" menu. For the truly security-conscious, before travelling with your Mac laptop it is prudent to overwrite "empty" space on your hard drive. To do this, boot your computer from an external drive or CD, run Disk Utility, select your device from the list on the left, select the "Erase" tap near the top of the window, and select "Erase free space". You have the option of Zeroing out data or overwriting it 7 or 35 times. 7 is probably the best balance of practicality and security, but may take several hours with a larger hard drive. Zeroing the data may only take a couple of hours and will likely foil a border guard, and possibly even a data recovery service.   By: Ryan Androsoff Posted: 10-24-08 Reply to this Post Back to Top

The wonders of modern technology are also its hydras and medusas. This is ridiculous. There should be a follow up article on CARNIVORE and ECHELON (and there is one other, but I cannot recall the name) which are surveillance systems which sweep all phone calls, e-mails, cell calls and all other forms of communication. How do these systems impact on confidentiality and solicitor client privilege? I imagine that smoke signals are probably safe, as I do not believe that the Earth is observed in real time by those cameras above us, but there really is no way to hide. If it is to be confidential, store it in your wetware (i.e. your brain) and nowhere else. Everywhere else can be intercepted and cracked if the government (or anyone else for that matter) is that interested. Welcome to the world of "Enemy of the State" and "Eagle Eye." These films are not nearly as far fetched as you might think! By: Anonymous Posted: 10-24-08 Reply to this Post Back to Top

Great article! By: Anonymous Posted: 10-24-08 Reply to this Post Back to Top

It's sad what we have come to. I work in IT, and have been taking some of the aforementioned precautions, as well as some of my own tricks. Often times, however, I don't go through with it, and I've never been stopped by our Patriot Act-happy Customs Officers. By: Max Posted: 10-06-08 Reply to this Post Back to Top

There is a case where US authorities insisted that a traveler provide the password to an encrypted hard drive partition on his laptop because they suspected child porn. He refused, citing the 5th Amendment’s protection against self-incrimination. So far the US courts have agreed with the traveler but this case could find itself before the Supreme Court, who will decide whether encrypting hard drives and using complex passwords are good strategies for thwarting US border agents. Click here for a short summary.   By: Sandra Posted: 09-29-08 Reply to this Post Back to Top

Is this not an issue with the Canada Border Services Agency when returning to Canada?  By: Anonymous Posted: 09-29-08 Reply to this Post Back to Top

What of the extended reach that the US government claims over companies that have operations in the US and that are required to turn over their information. What of entities such as Telus, Shaw etc? How safe is our data when using those services in Canada? Do our privacy laws protect us from intrusion from the US government?.   By: David Mohr Posted: 09-25-08 Reply to this Post Back to Top

Some laptops come with a security feature where they cannot be enabled unless a finger print is taken and processed by the lab top. Would this feature potentially raise any other issues, or additional protection?  By: Brian Posted: 09-25-08 Reply to this Post Back to Top

Are we entitled not to tell the US agents our password if they ask? Would they be able to refuse entrance on that basis or would other adverse consequences follow?   By: Tim Kennedy Posted: 09-25-08 Reply to this Post Back to Top

This was an excellent article. Short and to the point. The issue was not on my radar, but should have been. Thanks. A good example of CBA informing its members.  By: Anonymous Posted: 09-24-08 Reply to this Post Back to Top

I like the "bare laptop" approach. Given that a lawyer would be expected to have a variety of solicitor-client privileged data on his/her laptop from time to time, what product or operating system function allows you to "shred" that data on your computer, to make it forensically clean ? (I cross borders all of the time, with Client sensitive customs data - problems, audit issues, exposures), which would not be good in the hands of customs itself). A fuller description on that operating system process or software (i.e., how to actually do it), would be helpful. Best regards, Rob.   By: Rob Posted: 09-24-08 Reply to this Post Back to Top

Good article and a must read for all computer users!  By: Jennifer Posted: 09-24-08 Reply to this Post Back to Top

 

Neither the author nor the CBA should be construed as endorsing any product or website listed in this article. The views expressed in this article are those of the author and do not necessarily reflect the views of the CBA. In this document, any reference to "jurist" or "lawyer" includes, where appropriate, "Québec notary".