Comment transporter des informations confidentielles au-delà des frontières en toute sécurité ?
Lors de voyages à l’étranger il est possible que les douanes contrôlent votre ordinateur portable, Smartphone, baladeur Mp3, ou même votre clé USB.
Différents blogs relatent les différentes expériences de passages aux douanes des États-Unis ou de Chine par exemple [Réf. 1]. Les douaniers peuvent – s’ils le désirent – appliquer à la lettre la législation de leurs pays. Aux États-Unis ils vont invoquer le « Patriot Act » [Réf. 2], en Chine par exemple ils vont invoquer la protection contre la fraude financière ou la lutte anti-terroriste.
Dans les faits : il est possible que l’on vous prenne votre ordinateur pour un contrôle de routine en réalisant une copie du contenu de l’ordinateur ou de vos données personnelles.
Cette règle est aussi appliquée à tout support pouvant contenir de l’information : clé USB, disque dur portable, mémoire flash des appareils photos, Smartphone, baladeur audio, les cas échéants DVD et CD.
Une partition de votre ordinateur est chiffrée ? Les douaniers risquent de gentiment vous demander de vous authentifier pour contrôler son contenu. Refusez et les douaniers vont vous informer que vous ne respectez les lois en vigueurs et qu’ils ont la possibilité de vous refuser le passage de la frontière si vous ne leur donnez pas accès à la totalité des données.
Quelles sont les alternatives ? Surtout lors de déplacements professionnels (nomades) qui peuvent nécessiter l’accès à des données critiques ou confidentielles de l’entreprise.
Aujourd’hui, les solutions les plus répandues sont :
-
Dissimuler les données critiques dans une partition chiffrée : C’est-à-dire utiliser les outils de chiffrement propre au système d’exploitation tel que Bitlocker ou des outils de chiffrement logiciel ou matériel comme des clés sécurisés, des disques biométriques certifiés FIPS 140-2 Level 2 ou autre. Ils peuvent être multiplateformes ou de grandes capacités mais ils ne passeront pas le douanier qui vous demandera de saisir le mot de passe, ou le code PIN pour contrôler le contenu de la clé ou du disque.
Risque lié au contrôle douanier : Important si le support est découvert.
Bilan : La donnée est sécurisée pour les cas de perte et vol mais ne résistera pas au contrôle douanier.
- Dissimuler les données critiques dans une partition cachée : C’est-à-dire utiliser ce que l’on appelle les « hidden partition » ou partition « cachée » qu’offrent des solutions logicielles comme TrueCrypt [Réf. 3] ou des solutions de chiffrement matériel multi-utilisateurs. L’utilisateur ne cache pas que l’ordinateur possède une partition chiffrée mais ne donne pas accès à la partition cachée. Par exemple avec TrueCrypt les deux types de partition se « montent » avec des mots de passe différents. De même qu’avec un disque biométrique multi-utilisateur, l’utilisateur s’authentifie – par exemple – avec le pouce de la main droite pour donner accès à la partition « publique » et avec le pouce de la main gauche pour donner accès à la partition « cachée ».
Risque lié au contrôle douanier : Faible mais réel dans le sens où cette technique est connue.
Bilan : Une bonne alternative aux destinations ne permettant pas un accès réseau à distance.
- La valise diplomatique : Sûrement le meilleur moyen mais pas à la portée de tout le monde.
Risque lié au contrôle douanier : Nul, à moins de vouloir faire passer des camions comme l’a tenté l’ancienne Union des républiques socialistes soviétiques (ex-URSS [Réf. 4]) à la frontière Suisse [Réf. 5].
Bilan : Un moyen sûr, pour une population très restreinte.
- Ne rien transporter de contrôlable et récupérer les informations sensibles via une connexion VPN, ou un espace d’échange privé par exemple : C’est-à-dire passer la douane avec un ordinateur vierge contenant uniquement le système d’exploitation et quelques documents pour ne pas attirer l’attention. Une fois la douane passée, le collaborateur pourra récupérer ses données confidentielles via une connexion VPN avec son entreprise, un portail d’échange privé ou public. D’autres réglementations s’appliquent, mais c’est une autre histoire.
Risque lié au contrôle douanier : Nul.
Bilan : Un moyen sûr et moins risqué pour faire passer de l’information à risque au travers des frontières. Une contrainte : posséder un accès réseau à distance une fois sur place.
Conclusion :
Les contrôles aux frontières ont tendances à s’étendre sur tous les supports numériques. Les éditeurs fournissent des solutions adaptées à la majorité des besoins, que ce soit pour un particulier ou pour une entreprise.
Cependant des faits divers – pour exemple le cas de données confidentielles copiées sur un disque gravé « Lady Gaga » [Réf. 6] et publiées sur WikiLeaks – prouvent, qu’avec un niveau de sécurité faible, les fuites d’information sont possibles et passent sans problèmes les frontières.
Le problème n’est plus de s’assurer que les données passent les frontières mais plutôt de s’assurer que les données confidentielles ne soient pas diffusées. Mais là c’est un autre problème…
Références :
- [Réf. 1] Passage en douane: http://securite.reseaux-telecoms.net/actualites/lire-passer-la-douane-avec-un-ordinateur-portable-18287.html
- [Réf. 2] Patriot Act : http://en.wikipedia.org/wiki/USA_PATRIOT_Act
- [Réf. 3] TrueCrypt : http://www.truecrypt.org/
- [Réf. 4] Union des républiques socialistes soviétiques : http://fr.wikipedia.org/wiki/Union_des_r%C3%A9publiques_socialistes_sovi%C3%A9tiques
- [Réf. 5] Valise diplomatique : http://fr.wikipedia.org/wiki/Valise_diplomatique
- [Réf. 6] Fuite d’information de l’US Army: http://www.dailymail.co.uk/news/article-1333982/WikiLeaks-US-Army-soldier-Bradley-Manning-prime-suspect-leaks-case.html