Que dois-je faire pour protéger les données lorsque je traverse la frontière américaine avec un ordinateur?

21

Lorsque j'ai réussi à immigrer (légalement) aux États-Unis, j'ai dû déplacer certains de mes ordinateurs qui contiennent les données / projets sensibles d'un client.

J'ai été surpris quand j'ai trouvé un article qui dit que le CBP a le droit de scanner un ordinateur (et peut me forcer à entrer le mot de passe Truecrypt!)

Je ne suis pas en mesure d'effacer les données, mais la fuite de données extrêmement sensibles est un gros problème pour moi (que dois-je dire au client, "le gouvernement veut votre projet"?)

Je jure que je ne suis pas un terroriste bien sûr, mais je veux savoir ce que font les autres hommes d'affaires dans ce genre de situation.

usa borders electronic-items Affiche
la source
10
btw. cette question ne serait-elle pas mieux adaptée à la sécurité ? SE ?
vartec
1
@vartec +1, je ne sais pas si c'est mieux ici ou là, mais certains aspects de la question (par exemple les détails techniques sur la façon dont vous devez mettre vos données dans le cloud ou les récupérer) seraient clairement plus pertinents sur l'autre site.
Détendu
4
Connaissez-vous les volumes cachés? En un mot, vous pouvez masquer les données sur le lecteur et faire en sorte qu'il n'y ait aucune donnée du tout. Liens utiles: truecrypt.org/docs/plausible-deniability truecrypt.org/hiddenvolume truecrypt.org/docs/hidden-operating-system
ike
J'espère qu'il est entendu que les lois sur l'importation et l'exportation s'appliquent, et qu'il peut être complètement illégal d'importer / exporter des données d'un pays à un autre (en particulier lorsque le cryptage) à des fins lucratives. (évidemment en fonction des données et des pays). Cela s'appliquerait au téléchargement d'informations à partir du cloud ainsi qu'au transport manuel des informations avec vous.
Xantix
3
Vous devriez avoir une lecture de cette question sur la sécurité: security.stackexchange.com/q/11612/485
Rory Alsop

Réponses:

14

Avis de non-responsabilité: IANAL

Apparemment, si les agents du CBP trouvent quelque chose clairement marqué comme "confidentiel commercial" , ils ne peuvent pas procéder sans l'autorisation des supérieurs.

Des directives ont été décrites dans le document du DoHS intitulé "Privacy Impact Assessment: CBP and ICE Border Recherches of Electronic Devices" . Il semble que, selon cela, si les agents du CBP révélaient l'un de vos secrets commerciaux, ils seraient toujours légalement responsables.

Cependant, si vous ne voulez pas prendre de risques avec cela, la ligne de conduite recommandée est ( par exemple pour les avocats étrangers ):

  • utiliser un cryptage de haute qualité et télécharger des fichiers cryptés vers un cloud
  • stocker les clés de chiffrement (protégées par une phrase secrète) sur un petit appareil (par exemple, une carte microSD)
  • désinfecter votre ordinateur en supprimant les données sensibles et les clés de chiffrement
  • téléchargez et déchiffrez vos données au besoin

Notez que cela va un peu du côté paranoïaque des choses.

vartec
la source
Côté réception, la procédure CBP interne ne fait guère de différence. L'agence et au-delà de l'agence, le gouvernement américain dans son ensemble peut toujours rechercher des ordinateurs, exiger des mots de passe ou le décryptage sans aucune justification spécifique ou procédure régulière.
Détendu
@Annoyed: vrai, mais ce n'est pas parce que cela peut signifier que c'est quelque chose que Joe va vivre en moyenne.
vartec
Bien sûr (j'ai écrit autant dans ma réponse, soit dit en passant) mais c'était quand même le cas et cela n'a absolument rien à voir avec ce détail de la procédure.
Détendu
10

Une recherche aléatoire de vos ordinateurs semble très improbable, mais ce que je lis suggère également que vous n'avez fondamentalement aucun recours légal contre cela si cela se produisait. La seule solution viable à ma connaissance consiste à télécharger les données quelque part, puis à les télécharger une fois aux États-Unis.

Bien sûr, cela crée toutes sortes de nouveaux problèmes de sécurité (comment sécuriser le transfert et le serveur contre tous les risques qui vous inquiètent, etc.) mais cela empêcherait les garde-frontières d'accéder à vos données sans rien faire d'illégal. Je ne sais pas si beaucoup de gens (d'affaires) se donnent la peine de le faire.

Détendu
la source
3
Pour les voyages en dehors des États-Unis, mon employeur délivre des ordinateurs portables de prêt qui ne contiennent pas de données au-delà du strict minimum nécessaire pour le voyage qui ne peut pas être VPN à l'arrivée; mais AIUI est plus préoccupé par le vol / la perte que par le fait d'être espionné au poste frontière lui-même.
Dan Neely
5

Une possibilité consiste à effectuer un chiffrement complet du lecteur avec certains logiciels comme TrueCrypt . Vous pouvez ensuite stocker la clé sur une clé USB et demander à quelqu'un en qui vous avez confiance de vous l'envoyer une fois que vous aurez franchi la frontière.

De cette façon, vous n'êtes physiquement pas en mesure de décrypter l'ordinateur si vous y êtes invité / obligé. Assurez-vous que la clé USB ne vous est envoyée qu'une fois que vous avez traversé la frontière en toute sécurité. Le seul problème serait que le gouvernement fasse une copie des données chiffrées et intercepte le lecteur par la poste.

Une autre alternative consiste à demander à un ami de crypter la clé et de la télécharger dans le cloud. Ils pourraient alors vous dire le mot de passe une fois que vous êtes en sécurité aux États-Unis.

Ric
la source
Avec TrueCrypt, vous pouvez également crypter un "fichier", qui n'est en réalité qu'un conteneur qui stocke tous les fichiers que vous souhaitez crypter. De là, vous pouvez également avoir deux mots de passe différents. Un qui révèle un ensemble de données, un autre qui donne un ensemble distinct. Donc, si vous êtes obligé de fournir un mot de passe, vous pouvez fournir le moindre des deux: le déni plausible. TrueCrypt est idéal pour le voyageur international avec des données sensibles.
Eric
4
Si cela vient vraiment à lui, ne pas être en mesure de décrypter le contenu pourrait entraîner encore plus de problèmes, voire la confiscation du matériel ou la détention. Les informaticiens aiment les contre-mesures techniques élaborées, mais peu importe comment elles fonctionnent, cela ne vous sort pas de la situation difficile créée par le fait que vous n'avez pas le droit de ne pas partager vos données et aucun recours contre les garde-frontières ' demandes.
Détendu
3

Bien que je me demande ce qui pourrait être si exigeant pour importer un PC entier (un ordinateur de bureau) - je pense qu'il n'y a littéralement aucune option si le CBP est déterminé à vérifier tout ce que vous apportez aux États-Unis. Y compris les écrous et boulons qui maintiennent votre PC.

J'ai expédié des disques durs externes (images VM) dans le passé et FedEx / UPS n'a eu aucun problème pour livrer vers et depuis les pays du tiers monde. Je me suis déplacé librement dans le monde entier avec deux ordinateurs portables dans mon sac à dos, sans aucun problème et sans aucune inspection (à part les faire passer par les scanners de sécurité de l'aéroport).

Je pense qu'au maximum, les gars du CBP voudront inspecter ce qui se trouve dans la tour CPU par rapport à ce qui se trouve sur le disque dur. Si les informations ne sont pas un téraoctet, vous pouvez également les déplacer temporairement vers une clé USB. Je n'ai jamais entendu le portable de quelqu'un de la clé USB être parcouru pour les données.

happybuddha
la source
3

De notre question connexe sur Security Stack Exchange :

La première réponse de tylerl mentionne les recommandations du FEP:

  • Transportez le moins de données possible au-delà de la frontière.
  • Gardez une sauvegarde de vos données ailleurs.
  • Chiffrez les données sur votre appareil.
  • Stockez les informations dont vous avez besoin ailleurs, puis téléchargez-les lorsque vous atteignez votre destination.
  • Protégez les données sur vos appareils avec des mots de passe.

... La politique douanière américaine se donnant la permission et la responsabilité d'examiner tous les appareils entrants (et les données sur ces appareils), y compris les ordinateurs, les téléphones portables, etc.

... un certain nombre de cas de fonctionnaires des douanes qui placent un logiciel de surveillance / suivi sur des ordinateurs en transit

... Enfin, n'oubliez pas la valeur des volumes cachés de Truecrypt. Le déni plausible est utile lorsqu'il s'agit de gouvernements.

Et je dirais que ce ne sont pas des activités limitées aux paranoïaques, mais devraient être suivies par tout homme d'affaires voyageant aux États-Unis. Je ne prends aucun appareil avec des données professionnelles si je peux l'aider et, si possible, j'évite également de prendre des données personnelles.

Rory Alsop
la source
0

Vous pourriez être intéressé par la lecture de cet article. http://www.cba.org/CBa/PracticeLink/tayp/laptopborder.aspx

"Une fois à destination, les employés travaillent avec des données stockées sur les serveurs de l'entreprise via un réseau privé virtuel sécurisé (VPN). (Les connexions sécurisées sont indispensables car, dans certaines circonstances, la loi américaine autorise l'interception des e-mails et les connexions de serveurs distants.) Employés peuvent télécharger des fichiers sur leurs ordinateurs, télécharger les résultats de leur travail sur les serveurs de l'entreprise et «nettoyer légalement» leurs ordinateurs avant de repartir. »

jingyang
la source
Compte tenu des récents événements concernant les opérations de la NSA et d'autres agences américaines, la déclaration "la loi américaine autorise l'interception des e-mails et des connexions de serveurs distants" est au moins discutable.
Simon