Passeport, mot de passe et code PIN, s’il vous plaît !

Sus à l’islamonaute et à son téléphone arabe  !

Citoyen américain depuis plusieurs décennies et ingénieur chez Cisco, Habib Kamram rentrait d’une mission à l’étranger lorsque la police aéroportuaire de San Francisco l’obligea à fournir son mot de passe Windows et son code PIN, farfouilla son PC portable et son mobile, copia intégralement les contenus de son disque dur et de son répertoire téléphonique avant de le laisser repartir avec ses biens sans la moindre explication. Depuis cette troisième mésaventure, il voyage avec un ordinateur et un téléphone appauvris en données confidentielles.

Après quelques vacances en Jordanie, Nabila Mango, médecin américain depuis 1965, subit un interrogatoire en règle dans un bureau isolé de SFX pendant que des agents douaniers décortiquaient son téléphone et son ordinateur portables. Plus tard, elle constata que les appels manqués, les messages vocaux et les SMS de sa fille - qui l’attendit dans le hall durant plus d’une heure et demi - avaient été effacés de son mobile.

Si vous êtes une directrice en systèmes d’informations appelée Samira ou un passionné d’arts électroniques nommé Hamid, Oncle Sam vous interpellera probablement en aparté sur son palier. Pour peu que le Coran côtoie Windows ou qu’un chapelet enlace un PDA dans votre bagage à main, le cauchemar américain s’abattra vertement sur vous...

Citoyenne britannique et responsable marketing dans le Maryland, Maria Udy vit son PC portable professionnel saisi pour « raison de sécurité » par la police aéroportuaire de Washington, condition sina qua non à son embarquement dans le vol pour Londres. L’officier inspecta savamment ses fichiers Word, son répertoire « Mes documents » et son interface Outlook Express, l’enjoigna fermement à délivrer son login et mot de passe d’e-mail et lui ordonna de réceptionner immédiatement ses messages ! Heureusement pour elle, l’interruption momentanée de la connexion Wi-Fi du terminal fit avorter cette requête hautement intrusive. Nous étions en 2006. Aujourd’hui encore, sa machine ne lui a toujours pas été restituée malgré les promesses de la direction aéroportuaire. Depuis, elle procède comme Habib, change régulièrement ses mots de passe, évite les banques en ligne et accède à ses données professionnelles via des serveurs sécurisés.

Depuis environ trois ans, les cyber-contrôles appuyés se multiplient dans les aéroports internationaux américains. Le plus souvent mais pas toujours, ils ciblent des voyageurs portant des patronymes islamiques et/ou à la physionomie moyen-orientale, nord-africaine ou centre/sud-asiatique. Leurs PC portables, téléphones mobiles, PDA, baladeurs MP3, mémoires USB, appareils photo et caméscopes sont passés au peigne fin voire confisqués ad nutum, leurs contenus sont dupliqués et certaines données sont carrément modifiées ou effacées. Plusieurs incidents aux cyber-contrôles sont régulièrement signalés au Canada et au Royaume-Uni par les associations de voyageurs.

Terminalor

Dès lors, l’Electronic Frontier Foundation, l’Asian Law Caucus, l’Association of Corporate Travel Executives, maintes associations de voyageurs, des communautés arabo/islamo-américaines, de droits civiques et de libertés électroniques portèrent plainte contre les US Customs and Border Protection afin d’obtenir des explications sur ces inspections de matériel électronique, sur les traitements dont leurs contenus sont l’objet et sur les fréquents ciblages de voyageurs moyen-orientaux, nord-africains et centre/sud-asiatiques.

Devant un tribunal californien, les USCBP nièrent tous agissements arbitraires et tout ciblage ethnique dans leurs opérations de cyber-contrôle. Elles déclarèrent être légalement tenues (cf. Patriot Act) d’inspecter en détail un ordinateur portable, un téléphone mobile ou un PDA autant qu’un bagage à main, notamment au cas où il pourrait contenir des informations plus ou moins liées au terrorisme, au trafic de drogue ou d’armes, à la pédophilie, à l’immigration clandestine, au cyberpiratage ou à toute autre activité criminelle. D’éventuels transits ou séjours précédents du matériel électronique ou de son propriétaire dans des pays concernés par ces facteurs entrent aussi en jeu.

Vos dernières vacances au Mexique, au Sénégal, en Egypte, en République tchèque, en Turquie ou en Thaïlande ne plaideront guère en votre faveur lorsqu’un golgothe de New York-JFK ouvrira votre cartable. Refrénez vite votre peur enfantine de l’avion avant qu’il ne vous regarde droit dans les yeux !

Vu les facteurs incriminés par les USCBP, leurs agents ont peut-être plus de boulot dans leurs dos que devant leurs pupitres. Personnellement, je suis d’autant plus inquiet du sort des ordinateurs et des PDA confisqués lorsque j’apprends que le FBI est en quête d’une approbation parlementaire pour son logiciel CIPAV (Computer and Internet Protocol Address Verifier). Ce spyware s’incruste en profondeur dans la mémoire d’amorçage, les clés de registre, les ports entrant et sortant, inventorie le disque dur et le réseau local environnant, enregistre et analyse la navigation Web et les adresses IP des correspondants d’e-mail. Formater conventionnellement votre disque dur n’y fera rien : c’est du « made in NSA »  ! Qu’est-ce que vous croyiez ? Le Bureau aimerait l’exploiter à loisir contre des individus simplement suspectés d’activités illégales. A bon entendeur...

Pour David D. Cole, professeur de droit à l’université de Georgetown, «  un ordinateur portable est bien plus confidentiel qu’un agenda. Il archive nos e-mails, notre historique Web, nos activités financières et commerciales, nos photos et vidéos de famille et autres données personnelles. C’est un peu comme si nous franchissions la frontière avec notre maison dans notre cartable. » A terme, le voyageur devra prouver la légalité des fichiers audio/vidéo dans son baladeur, les secrets commerciaux et industriels n’en seront plus, l’avocat exposerait des informations sensibles sur ses clients, le journaliste sur ses sources, le médecin sur ses patients... « Quelle différence entre cela et le fait de cibler des personnes simplement parce qu’elles sont d’origine arabe ou de confession musulmane ? », ajoute Cole.

Eloge de la fuite numérique

La meilleure défense contre le cyber-contrôle consiste à ne pas exposer ses données sensibles en première ligne. Avez-vous vraiment besoin de vos e-mails 2005-2008 ou du répertoire complet clients et fournisseurs lors de vos déplacements ? De plus en plus d’entreprises anglo-saxonnes incitent leurs employés à crypter ou à appauvrir leurs PC portables et leurs téléphones mobiles avant de prendre l’avion et à se rabattre sur leurs serveurs sécurisés. Certaines optent même pour un formatage bas, une réinstallation du système d’exploitation et l’ajout de quelques données purement décoratives.

Gourou de la technosécurité, Bruce Schneier recommande vivement le logiciel de cryptage PGP Whole Disk Encryption, convivial et suffisamment efficace pour protéger les disques durs internes et les mémoires externes. Pour les utilisateurs de Windows Vista, il conseille Bitlocker, gratuit mais uniquement destiné au disque dur central. Libre à vous de recourir à un puissant logiciel de votre choix pour vos données confidentielles, qui devront d’abord être cryptées, puis zippées et enfin gravées sur CDVD-ROM. 

En plus des pertinentes recommandations de Schneier, je vous conseille des rangements virtuels comme Adrive, pour ne citer que celui-ci, permettant d’archiver plus de 50 Go de données en version gratuite et beaucoup plus en version payante. Multipliez donc ce type de comptes afin de stocker vos données confidentielles selon une répartition connue de vous seul ou de votre entreprise. En outre, vous pourrez emporter votre ordinateur appauvri dans votre bagage en cabine, conserver vos CDVD-ROM/mémoires USB dans votre bagage en soute ou, solution extrême, vous les faire expédier par colis express recommandé à votre lieu de destination. Dans tous les cas, n’omettez jamais de crypter-zipper vos fichiers et ne soyez pas avare en mots et phrases de passe que vous mémoriserez aisément avec Roboform, remarquable gestionnaire de codes d’accès.

A défaut de protéger votre ordinateur portable du vol, du hacking ou du cyber-contrôle, vos données confidentielles sont un minimum éloignées et sécurisées. Sachez toutefois que le refus d’obtempérer aux autorités frontalières peut coûter cher, garde à vue ou détention préventive en sus. A vous de faire la part des choses lors d’une situation critique face à la police aéroportuaire.

Les lignes jaunes de la frontière

Sur tous ces points, Canadiens et Européens feraient bien de ne pas trop vite régler leurs comptes avec l’Oncle Sam : des dispositions tacites ou formelles quasiment identiques à celles américaines existent déjà ou bourgeonnent au sein de leurs administrations. L’expérience des passeports biométriques, l’hyper-inflation des listes noires et l’imminent fichage morphobiométrique « des restes du monde » (empreintes digitales et oculaires des voyageurs sud-américains, africains, moyen-orientaux, russes, chinois, indiens et centre/sud-asiatiques) démontrent à quel point l’Amérique du Nord et l’Europe sont méticuleusement alignées en matière de technosécurités frontalières, pour de bonnes et de mauvaises raisons.

Absolument nécessaires pour la vie privée et les activités confidentielles, les stratégies d’évitement décrites précédemment sont au final hautement dégradantes pour les démocraties post-industrialisées, elles en disent long sur leur évolution. Car, il s’agit moins de se prémunir contre des malfrats que contre un Etat cyberprétorien où le citoyen et l’étranger sont des ennemis potentiels.

Doit-on appréhender cette permanente suspicion généralisée comme un inéluctable dégât collatéral de la sécurité nationale aussi longtemps qu’on n’en est point victime ? Ici, loin de moi toute idée visant à éluder ou à minimiser les menaces bien réelles de ce sacré XXIe siècle... Schneier affirme que cette technosécurisation addictive des frontières normalisera surtout les fausses alertes, et qu’en plus, tout système prétendant identifier le risque posé par chaque individu génère d’abord et surtout son abyssal déficit budgétaire.

De très nombreux voyageurs ont été blacklistés en Amérique du Nord et en Europe simplement parce qu’ils s’appellent « Zarkaoui » ou « Moussaoui », patronymes aussi répandus dans le monde arabe que « Smith » ou « Williams » dans le monde anglo-saxon. En janvier 2008, un enfant moyen-oriental de 5 ans voyageant en mineur accompagné fut accueilli à sa sortie de l’avion par une brigade de douaniers et de SWATS puis placé en garde à vue... Sa tante américaine ne put même pas le réconforter, lui donner un verre d’eau ou un sandwich pour la simple et bonne raison qu’il représentait « un risque pour la sécurité nationale » ! Il fallut huit heures aux USCBP pour réaliser que le petit garçon derrière la vitre sans teint n’était que l’homonyme d’un individu blacklisté. Tout aussi cocasse et tragique : les parents d’un enfant américain de 5 ans nommé « Sam Adams » (= Saddam ?!) eurent toutes les peines du monde à lui obtenir un passeport, le garçonnet vit systématiquement un calvaire à chaque checkpoint aéroportuaire de son pays. Devra-t-on s’habituer à cet effacement du bon sens derrière les dérives de la technologie ?

Je cite un article de Michel Monette publié sur Agoravox : « Donnant l’exemple du Automated Targeting System qui attribue une note à chaque voyageur se présentant dans un aéroport américain, note correspondant au degré de menace terroriste qu’il pose, Schneier rappelle un simple chiffre pour illustrer sa prétention  : sur les 431 millions de visiteurs qui sont passés par les douanes américaines en 2005, même un système fiable à 99,9 % produit 431 000 fausses alarmes !  »

Par ailleurs, l’hypersurveillance intérieure et frontalière ne recrée-t-elle pas sournoisement les conditions de la vulnérabilité nationale : obésité informationnelle, ultra-complexité organisationnelle, nuisances pour la conduite des affaires, les relations diplomatiques, les activités touristiques, les échanges culturels et universitaires, la coopération scientifique et technologique ? Comporte-t-elle des risques cachés de bunkérisation géoéconomique et sociale voire de néo-soviétisation rampante à mesure que citoyens et voyageurs l’intériorisent par paliers ? L’avenir nous le dira.

Vivement le prochain avion ?

Sources  :

1. Washington Post : U.S. Agents Seize Travelers’ devices

2. New York Times : At U.S. Borders, Laptops Have No Right to Privacy

3. The Register : FBI sought approval to use spyware against terror suspects

4. Bruce Schneier : How Does Bruce Schneier Protect His Laptop Data ?

5. Michel Monette : La surveillance électronique franchit les frontières et les limites

6. Boing Boing : TSA searches, detains 5 year old because his name was on no-fly list

7. Boing Boing : Another five-year-old on the no-fly list : meet Sam Adams