Visite aux États-Unis pour une conférence sur la sécurité
Je prévois de visiter une conférence sur la sécurité aux États-Unis et je ne sais pas comment me préparer moi-même et mes appareils à l'immigration. Quelles sont les mesures techniques raisonnables à prendre et les situations à prévoir?
Sur le plan personnel, je crains qu'en raison de mes antécédents en matière d'infosec et de mon intention de visiter une conférence sur la sécurité, je puisse être choisi pour un interrogatoire ou même refusé l'entrée si les agents des frontières décident que "hackers" peut ne sera pas autorisé. Sur le plan technique, j'ai bien peur qu'on me demande de donner accès à mon ordinateur portable et à mon téléphone auquel je veux me préparer de façon appropriée. Quelles sont les choses à considérer pour une personne ayant des antécédents infosec lors du passage de l'immigration américaine - en particulier en ce qui concerne la configuration technique?
(Je ne demande pas principalement des avis mais des conseils fondés sur les mesures (techniques) importantes lors d'un voyage aux États-Unis en tant que personne du domaine infosec.)
J'ai voyagé dans plusieurs pays pour prononcer des discours lors de conférences sur la sécurité. À mon humble avis, la bonne approche n'est pas de mentir, mais de ne pas en dire plus que nécessaire. Lorsqu'on m'interroge sur le but de mon voyage à la frontière, je dis sincèrement que je suis en voyage d'affaires, en allant à une conférence informatique. Personne ne m'a jamais demandé de détails sur la conférence, et personne ne m'a jamais demandé si je suis un visiteur ou un conférencier. Et si un jour ils m'interrogent plus profondément, tout ce que j'ai dit était 100% vrai.
Pour les mesures techniques, le post de Gruqq sur Medium a raison, la plupart des conseils donnés sont des conneries et ne vous causeront que des ennuis.
Cependant, nous avons tous des choses à cacher. Que ce soit des secrets commerciaux de notre entreprise, des photos nues de nos petites amies ou notre journal intime. La meilleure façon de cacher les choses que vous voulez cacher est bien sûr de ne pas les avoir sur l'appareil avec lequel vous voyagez. Stockez-les cryptés dans le cloud ou sur un serveur de fichiers.
Dans le même temps, conservez vos secrets pas très secrets sur l'appareil. Ne cachez que ce qui doit vraiment être caché. Si votre appareil est vérifié, le meilleur résultat pour vous n'est pas qu'il semble vide ou fraîchement installé ou crypté en toute sécurité, mais qu'il semble ennuyeux et ordinaire.
Gardez à l'esprit que s'il est tout à fait possible que cela se produise et que le nombre d'incidents ait augmenté, c'est encore très improbable. (impact sur la probabilité X et tout ça)
Un porte-parole du CBP anonyme a déclaré mardi au New York Times que de telles recherches électroniques étaient extrêmement rares: il a déclaré que 4444 téléphones portables et 320 autres appareils électroniques avaient été inspectés en 2015, soit 0,0012% des 383 millions d'arrivées (en supposant que toutes ces personnes en avaient une dispositif). (source)
Voici un guide de la mécanique pour vous assurer que si vous êtes sélectionné pour une attention supplémentaire, l'impact sera minimisé ou diminué:
- crypter ce que vous pouvez
- utiliser des mots de passe, pas la biométrie
- alerter un contact de confiance lorsque vous entrez en douane pour vérifier si vous ne sortez pas après un certain temps
- désinfecter complètement les appareils
- n'apportez pas d'appareils - envoyez-les par courrier et téléchargez les données une fois que vous êtes arrivé
- vous refuser l'accès - configurez une authentification à deux facteurs et supprimez votre accès au jeton.
- éviter la stéganographie - cela soulève des questions que vous ne voulez pas poser
https://www.wired.com/2017/02/guide-getting-past-customs-digital-privacy-intact/
Les tribunaux ont décidé que vous n'aviez aucune protection de la vie privée à la frontière. Non seulement ils peuvent inspecter votre équipement, mais ils peuvent le prendre pour examen, et même l'envoyer au NSA pour casser votre cryptage, s'ils le jugent utile). Tout cela est légal Cela étant dit, c'est aussi très rare.
Voici un excellent article avec de nombreux conseils: defending-privacy-us-border-guide-travellers-transporter-digital-devices .
Que vous soyez recherché est à 100% à l'agent des frontières. Ils ont une totale discrétion. Il peut aider à avoir une lettre officielle sur le papier à en-tête de votre entreprise expliquant le but de votre voyage et l'équipement que vous transportez ( exemple =).
Si vous êtes très inquiet, vous pouvez toujours expédier votre ordinateur portable à l'avance.
Une autre option consiste à retirer le disque dur et à le remplacer par un autre propre, à expédier votre disque dur ou à rendre ses fichiers disponibles au téléchargement une fois que vous atteignez votre destination.
Cela dépend vraiment de la probabilité que vous pensiez qu'ils vont vous fouiller spécifiquement.
Se refuser l'accès n'est nécessaire que si votre expérience est que vous êtes généralement séparé pour un examen supplémentaire. Toutes les mesures de sécurité drastiques attireront une attention indésirable, ce qui n'est bénéfique que si vous n'avez pas votre inaperçu à perdre.
Sinon, transportez simplement votre matériel (je présume FDE) comme d'habitude. Si vous voulez être en sécurité, effectuez une installation non chiffrée quelque peu propre et d'aspect civil et transférez vos fichiers lorsque vous y êtes.
J'ai entendu des expériences de voyage de quelques dizaines de voyageurs internationaux, et si les chances d'être recherché sont de 0,0012%, je peux vous dire que les personnes `` remarquables '' en ligne (blogueurs/activistes, experts techniques francs) connaissent quelques ordres de grandeur augmenter ces chances.
Si votre présence en ligne n'a pas été trop ouvertement critique à l'égard des projets du gouvernement américain, vous ne participez pas à des activités légalement douteuses et ne voyagez pas d'un pays à haut risque, les chances d'être dérangé en transportant du matériel normal sont négligeables.
Voilà une question intéressante. Je ne pense pas que voyager avec un ordinateur portable serait un problème, car beaucoup de gens "ordinaires" voyagent avec eux. Vous pouvez voyager avec de l'argent liquide et vous pouvez utiliser Internet lorsque vous y arrivez, donc ce serait un non-sens car quelle différence cela fait-il si vous configurez la même configuration aux États-Unis?
Le cryptage des ordinateurs portables est une sorte de banalité, j'exclurais toute possibilité d'accusation en raison de la saisie et de l'enquête de mon ordinateur portable. Je pense qu'il est beaucoup plus facile de récupérer vos appareils numériques saisis via les délégations plutôt que de prouver la législation américaine que vous n'êtes pas un risque pour la sécurité en fonction du contenu trouvé sur vos appareils.
Si jamais vous devez vous décrire ou expliquer la raison de votre voyage de manière officielle, étiquetez-vous en tant que consultant en sécurité plutôt qu'en pirate informatique.
Apportez avec vous des appareils jetables qui ne vous dérangeront pas d'être gardés en sécurité et/ou volés.
Lorsque je suis allé à une conférence Cisco en Afrique du Sud, j'ai laissé mon Macbook Pro à la maison et je n'ai pris avec moi qu'un netbook 200USD pour me garder connecté, obtenir des facebook, des chats, vérifier les e-mails ou la maintenance bizarre de skype/système. De nos jours, les machines de 200 à 300 USD sont beaucoup plus puissantes ...
J'ai également emporté mon téléphone professionnel, mais j'ai laissé mon téléphone personnel à la maison. N'eut été du téléphone de travail, que je devais toujours porter, je n'aurais probablement pris qu'un téléphone stupide 10-20USD.
Quant aux mots de passe des réseaux sociaux ... honnêtement je ne les connais pas. Ils sont générés par ordinateur depuis des années et possèdent une authentification 2FA. Sans mon téléphone personnel ni mon netbook personnel ...
Vous pouvez créer une image de votre ordinateur portable, la crypter et la télécharger sur un stockage réseau (Drop Box, Google Drive, etc.). Apportez un ordinateur portable avec disque dur que vous seriez prêt à remettre pour les recherches. Le système installé peut être une installation du système d'exploitation propre ou réduire les soupçons - avec quelques données dessus. Une fois dans un emplacement, téléchargez l'image et remplacez le disque dur par votre système, les outils et les données que vous souhaitez avoir pour les besoins de la conférence.
Au lieu de télécharger sur le stockage réseau, vous pouvez avoir quelques cartes SD avec des données d'image cryptées. Les cartes sont petites et peuvent être placées à côté de votre appareil photo par exemple. Il est fort probable que vous ne souhaitiez pas emporter avec vous des dizaines, des centaines de gigaoctets de données.
Quelque chose de similaire s'applique aux appareils mobiles.
Soit apporter vos données/code ouvertement, comme dans vous pouvez y accéder avec mot de passe etc. si nécessaire, ou ne pas les apporter, comme dans le télécharger après l'arrivée (ou pas du tout).
Bien sûr, c'est le cas s'il est légal d'importer les données/codes aux États-Unis.
Ne cachez jamais quelque chose. Tout d'abord, affirmer qu'il n'y a pas de données/codes cachés, puis on découvre qu'il y en a réellement, ce n'est pas la voie à suivre.
Quant à l'utilisation d'un mot de passe/autorisation à deux facteurs, vous n'obtiendrez que plus tard, puis il y a un simple appareil appelé téléphone qui peut le casser dans le temps qu'il faut à l'agent d'immigration pour dire: "Oh, vous n'obtiendrez le code d'accès que plus tard? Voici un téléphone, veuillez appeler et obtenir le code d'accès maintenant! ".