Deux personnes ont été inculpées par les tribunaux britanniques pour ne pas avoir remis aux autorités les mots de passes donnant l'accès à leurs données cryptées. Ces deux personnes risquent jusqu'à cinq années d'emprisonnement.

Le cas n'est pas sans rappeler un certain paradoxe dans lequel un particulier peut se trouver lorsqu'il fait usage de cryptographie pour le stockage de ses données personnelles et se retrouve soudainement contraint de divulguer ses mots de passes lors de son passage aux douanes.

Bruce Schneier, référence dans le domaine de la cryptographie, a récemment abordé la question en proposant une méthode relativement simple pour toute personne à l'aise avec son outil de chiffrement de données.



La réponse: en ne connaissant pas votre mot de passe!


Le concept est astucieux et consiste à vous permettre de répondre aux douanes que vous ne connaissez pas les clés d'accès à vos données sans devoir mentir.

En résumé :
  • La veille du départ en avion, demander à l'outil de chiffrement de générer une clé aléatoire suffisamment complexe pour que vous n'ayez pas la capacité de vous en souvenir.
  • Échanger le mot de passe actuel protégeant vos données chiffrées avec la nouvelle clé générée.
  • Imprimer cette clé et l'envoyer à votre propre adresse, par courrier postal ou par fax.
  • Supprimer toute trace de cette clé.

En appliquant ce procédé, vous serez garanti(e) de :
  • Pouvoir récupérer l'accès à vos données personnelles dès retour à votre domicile, car la clé de chiffrement vous y attendra.
  • Pouvoir répondre aux douanes que vous ne connaissez pas le mot de passe d'accès à vos données sans devoir mentir. Vous diriez tellement la vérité que passeriez même un test au détecteur de mensonges sans faillir !
  • Pouvoir narguer les autorités en leur fournissant le lien vers la page de Bruce Schneier où sa méthode est décrite. Schneier est suffisamment connu et réputé, en particulier aux États-Unis, pour faire office d'autorité lorsqu'il promulgue des recommandations.

Bien entendu, le risque de cette méthode est évident : si la poste n'achemine pas votre lettre avec la nouvelle clé, vos données sont définitivement perdues. Pas d'argent sans beurre dira-t-on !

Bruce Schneier - Archives - Laptop security