Sécurité numérique en voyage : frontière USA, WiFi hôtel

Sophie, avocate à Montréal, s’est retrouvée à répondre à des questions pendant 2h45 à la frontière américaine en mars 2025. Pas parce qu’elle avait fait quoi que ce soit d’illégal — mais parce qu’un agent CBP avait trouvé des communications professionnelles chiffrées sur son téléphone et voulait comprendre pourquoi. Elle avait oublié de désactiver Signal avant de passer. Elle a finalement pu entrer aux États-Unis, avec ses dossiers clients exposés à une inspection qu’elle n’avait pas consentie.

Ce n’est pas un cas isolé. L’American Civil Liberties Union (ACLU) documente une augmentation de 1 200% des fouilles d’appareils électroniques à la frontière américaine entre 2015 et 2024. Pour les voyageurs qui traversent régulièrement — et pour quiconque utilise son téléphone dans un hôtel ou un aéroport — la sécurité numérique en voyage est devenue aussi importante que le verrou sur la porte de la chambre.

Comprendre les risques : ce qui se passe vraiment

Voyager expose vos données à trois catégories de menaces distinctes, avec des solutions différentes pour chacune.

Les réseaux non sécurisés (WiFi d’hôtel, aéroport, café) permettent à des tiers sur le même réseau d’intercepter votre trafic non chiffré, de rediriger vos connexions vers des faux sites, ou d’injecter du contenu malveillant dans des pages web que vous visitez.

Les fouilles d’appareils par les autorités douanières (ASFC au Canada, CBP aux États-Unis) peuvent exposer vos données professionnelles, personnelles, et potentiellement vos communications privées à une inspection légale sans mandat.

Le vol physique d’appareils en voyage — le laptop laissé dans la voiture de location, le téléphone oublié au restaurant — expose vos données si l’appareil n’est pas correctement chiffré.

Chacun de ces risques demande une préparation différente.

Le WiFi d’hôtel : pourquoi c’est pire que vous pensez

Comment fonctionne une interception sur WiFi

Quand vous vous connectez au WiFi d’un hôtel, vous rejoignez un réseau local partagé avec potentiellement des centaines d’autres clients. Sans chiffrement de bout en bout de vos communications, n’importe qui sur ce réseau peut, avec des outils disponibles gratuitement, intercepter votre trafic.

Les attaques les plus courantes sur les réseaux hôteliers :

Man-in-the-Middle (MitM) : un attaquant se positionne entre vous et le routeur. Tout votre trafic passe par lui — il peut lire, modifier ou enregistrer les données non chiffrées.

Evil Twin : un faux point d’accès WiFi avec le même nom que le réseau officiel de l’hôtel. Votre téléphone se connecte automatiquement au plus fort signal — qui peut être le faux. L’attaquant voit tout votre trafic.

SSL Stripping : une technique qui dégrade les connexions HTTPS en HTTP sur certains sites mal configurés, rendant votre trafic lisible en clair.

Portail captif malveillant : la page de connexion du WiFi de l’hôtel elle-même peut être compromise pour voler vos identifiants ou injecter du code malveillant.

L’article sur les risques réels du WiFi public couvre ces mécanismes en détail.

Les hôtels sont des cibles privilégiées

Le FBI a émis en 2024 une alerte spécifique sur les attaques ciblant les réseaux d’hôtels hébergeant des conférences d’affaires et des délégations gouvernementales. Les cybercriminels réservent des chambres dans ces hôtels et utilisent des équipements déployés depuis leur chambre pour attaquer les réseaux.

L’opération DarkHotel, documentée par Kaspersky et active depuis 2007 selon les chercheurs, ciblait spécifiquement des cadres d’entreprises dans des hôtels de luxe asiatiques. Le groupe exploitait le WiFi de l’hôtel pour injecter des malwares dans les mises à jour logicielles que les victimes téléchargeaient.

Autrement dit : plus vous séjournez dans un hôtel de luxe avec une clientèle d’affaires, plus vous êtes dans une cible potentielle.

La solution : un VPN, point

Sur n’importe quel réseau WiFi que vous ne contrôlez pas, activez votre VPN avant de faire quoi que ce soit d’autre. Le VPN chiffre tout votre trafic entre votre appareil et le serveur VPN — même si quelqu’un intercepte vos données sur le réseau local, il ne voit qu’un flux chiffré illisible.

Choisissez un VPN avec une politique no-log vérifiée et des serveurs au Canada ou en Europe pour des raisons de juridiction. Notre comparatif VPN pour le Québec liste les options les plus fiables.

Si vous n’avez pas de VPN : utilisez le partage de connexion de votre téléphone (hotspot) plutôt que le WiFi de l’hôtel. Votre forfait cellulaire est chiffré par le réseau de votre opérateur — bien plus sûr qu’un WiFi ouvert.

La frontière Canada/USA : connaître vos droits

Ce que la loi permet réellement

À la frontière, les règles normales de respect de la vie privée ne s’appliquent pas. C’est vrai au Canada comme aux États-Unis.

Aux États-Unis (CBP) : en vertu du “border search exception”, les agents CBP peuvent fouiller vos appareils électroniques sans mandat, sans motif particulier de soupçon, juste parce que vous traversez la frontière. Cette exception a été confirmée par plusieurs cours fédérales. Les fouilles de base (consultation manuelle du contenu) sont légales sans raison spécifique. Les fouilles avancées (copie du contenu, utilisation d’outils forensiques) requièrent théoriquement un “reasonable suspicion”.

Entre 2017 et 2024, les fouilles d’appareils à la frontière américaine ont augmenté de façon continue. En 2023, le CBP a effectué plus de 41 000 fouilles d’appareils — en grande majorité sur des ressortissants étrangers et des résidents permanents, mais aussi sur des citoyens américains.

Au Canada (ASFC) : l’Agence des services frontaliers du Canada a des pouvoirs similaires sous la Loi sur les douanes. Les agents peuvent examiner vos appareils électroniques et demander vos mots de passe. En 2020, la Cour d’appel de l’Alberta a jugé que fouiller un téléphone à la frontière sans mandat était constitutionnel dans le contexte des douanes.

Vos droits pratiques :

• Vous avez le droit de rester silencieux sur des questions non liées au passage frontalier (au Canada)
• Vous pouvez refuser de déverrouiller votre appareil, mais les conséquences varient : refus d’entrée pour les non-citoyens, confiscation temporaire de l’appareil, détention prolongée
• Citoyen canadien rentrant au pays : vous ne pouvez pas être refoulé (droit de retour), mais votre appareil peut être confisqué temporairement
• Non-résident entrant aux États-Unis : refuser peut signifier simplement être refoulé

Stratégies de protection à la frontière

Stratégie 1 — L’appareil de voyage propre

La méthode la plus radicale et la plus efficace. Vous voyagez avec un appareil dédié au voyage — un vieux téléphone ou laptop reconditionné — qui ne contient aucune donnée sensible. Vous accédez à ce dont vous avez besoin via des applications cloud avec authentification forte, et vous ne stockez rien localement.

Avantages : si l’appareil est fouillé ou volé, rien à exposer. Inconvénients : coût, gestion de deux appareils.

Pour les avocats, médecins, journalistes et tout professionnel avec des obligations de confidentialité client — c’est la seule vraie protection.

Stratégie 2 — La sauvegarde + effacement + restauration

Avant la frontière :

1. Faites une sauvegarde chiffrée complète de votre appareil (iCloud chiffré, ou sauvegarde locale chiffrée via iTunes/Finder)
2. Effacez les données sensibles ou faites une réinitialisation complète si nécessaire
3. Après avoir passé la frontière, restaurez depuis la sauvegarde

Efficace mais chronophage. Plus pertinent pour des voyages occasionnels dans des pays à haut risque.

Stratégie 3 — Le chiffrement fort avec code PIN

Si vous ne pouvez pas voyager avec un appareil propre, assurez-vous au minimum que votre appareil est correctement chiffré et protégé par un code PIN fort (pas une empreinte digitale).

Éteignez votre téléphone avant d’approcher la zone de contrôle douanier. Un iPhone ou Android éteint puis rallumé requiert le code PIN pour déchiffrer le stockage — une empreinte ou Face ID seuls ne fonctionnent pas avant le premier déverrouillage après démarrage. C’est ce qu’on appelle le mode “Before First Unlock” (BFU), où les données restent chiffrées.

Important : si vous donnez votre code PIN sous la contrainte, les données deviennent accessibles. La stratégie BFU protège contre les outils forensiques qui copient le stockage — elle ne vous protège pas si vous êtes obligé de déverrouiller activement.

Stratégie 4 — Se déconnecter des apps sensibles

Si vous gardez votre téléphone habituel :

• Déconnectez-vous de Signal, ProtonMail, et toutes les apps avec des communications sensibles avant d’arriver à la frontière
• Supprimez les données locales de ces apps (option dans les paramètres de chaque app)
• Les apps basées sur le cloud reconstruiront leur contenu après reconnexion, une fois en sécurité

Ça ne protège pas contre une fouille forensique avancée (les données supprimées peuvent parfois être récupérées), mais ça écarte les fouilles manuelles de base.

Le cas spécifique des professionnels

Avocats, médecins, journalistes, travailleurs sociaux : vous avez des obligations légales de confidentialité qui entrent en collision directe avec les pouvoirs douaniers.

Le Barreau du Québec a émis des lignes directrices en 2023 recommandant aux avocats de ne pas voyager avec des données de dossiers clients sur leurs appareils personnels. La solution recommandée : accès à distance sécurisé via VPN au bureau, sans données stockées localement.

Pour les journalistes, l’Electronic Frontier Foundation (EFF) publie un guide de frontière spécifique avec des recommandations détaillées, incluant les droits selon les différentes situations.

WiFi aéroport et transport : mêmes règles, risques différents

Les zones aéroportuaires — salons, aires d’attente, accès lounge — sont des terrains de chasse pour les attaquants. La densité de cibles intéressantes (voyageurs d’affaires avec laptops ouverts, connexions VPN non activées) est maximale.

Règles à appliquer systématiquement :

• VPN activé avant toute connexion
• Ne pas laisser votre écran visible — un “shoulder surfer” dans un aéroport bondé peut photographier vos écrans
• Utilisez un filtre de confidentialité (privacy screen) si vous avez des données sensibles à traiter
• Bluetooth désactivé si vous ne l’utilisez pas — les attaques Bluetooth (BlueSnarfing, KNOB attack) sont moins courantes mais existent

Checklist voyageur : ce qu’il faut faire avant de partir

1 semaine avant — Préparation

• Chiffrement vérifié : iPhone → Paramètres → Face ID/Touch ID → code PIN activé (le chiffrement est automatique). Android → Paramètres → Sécurité → Chiffrement. Mac → FileVault activé. Windows → BitLocker activé. (Guide complet chiffrement)
• Mises à jour complètes : OS, applications, navigateur — tout à jour avant de partir
• Sauvegarde récente : sauvegarde chiffrée de tous vos appareils
• VPN sélectionné et testé : abonnement actif, app installée, connexion testée
• Gestionnaire de mots de passe configuré : tous vos mots de passe dedans, accès hors ligne si nécessaire
• Authentification deux facteurs : activée sur tous les comptes importants. Préférer une app authenticator (Aegis, Authy) plutôt que les SMS pour les voyages (pourquoi les SMS sont moins sécurisés)
• Contacts d’urgence : numéros importants notés sur papier (téléphone peut être confisqué)

48h avant — Données sensibles

• Évaluer ce qui est nécessaire : avez-vous vraiment besoin de tous vos documents de travail sur l’appareil ? Déplacez vers le cloud ce qui peut l’être
• Révoquer tokens inutilisés : déconnectez-vous des services que vous n’utiliserez pas en voyage
• Signal/messageries chiffrées : si vous traversez une frontière à risque, déconnectez-vous des comptes et supprimez les données locales
• Photos et données personnelles : sauvegarder vers le cloud et supprimer les photos intimes ou potentiellement embarrassantes du téléphone
• Applications bancaires : vérifiez les paramètres de sécurité, activez les notifications de transactions

Le jour du départ — Avant la frontière

• Téléphone éteint avant la zone douanière (stratégie BFU)
• Bluetooth et WiFi désactivés pendant le transit
• Mode avion pendant le vol (évite les connexions automatiques à des réseaux inconnus)
• Laptop fermé et chiffré — dans le bagage si possible, pas accessible pendant la fouille douanière initiale

À l’arrivée — Connexion sécurisée

• Activez le VPN avant de vous connecter au WiFi de l’hôtel — pas après, avant
• Vérifiez le nom exact du réseau avec la réception avant de vous connecter
• Désactivez le WiFi automatique sur votre téléphone pour éviter les connexions automatiques à des réseaux connus falsifiés
• Utilisez le hotspot cellulaire pour les tâches sensibles si des doutes subsistent

Pendant le séjour — Bonnes pratiques

• Verrouillez votre laptop quand vous quittez la chambre — ne le laissez pas ouvert et connecté
• Chargeurs et câbles propres : n’utilisez pas les bornes de charge USB publiques (“juice jacking” — des bornes malveillantes peuvent transférer des données ou installer des malwares via USB). Utilisez votre propre bloc d’alimentation ou un câble “data blocker”
• Coffre-fort de l’hôtel : pour les documents, passeport de rechange, appareils non utilisés. Ce n’est pas une sécurité absolue, mais ça complique le vol opportuniste
• Déconnectez-vous des services sensibles après chaque utilisation sur des réseaux non fiables

Au retour — Après le voyage

• Changez les mots de passe des comptes que vous avez utilisés depuis des réseaux non sécurisés
• Scannez vos appareils avec un antivirus/anti-malware après tout voyage en zone à risque
• Vérifiez les activités récentes sur vos comptes importants (banque, Google, Apple ID) pour détecter des connexions suspectes

Destinations à haut risque : adapter votre préparation

Pays avec forte surveillance d’État

Certains pays ont des régimes de surveillance numérique plus intrusifs — Chine, Russie, Iran, certains pays du Moyen-Orient. Les risques incluent :

• Accès forcé aux appareils à la frontière (similaire aux USA mais avec moins de protection légale)
• Interception des communications par le gouvernement
• Implantation de logiciels espions sur les appareils connectés à des réseaux locaux

Pour ces destinations, les professionnels de sécurité recommandent :

• Appareil de voyage dédié sans données sensibles
• VPN activé en permanence (notez que les VPN sont restreints ou illégaux dans certains pays)
• Communications via Signal uniquement (texte et voix)
• Pas de connexion à vos comptes professionnels depuis ces pays

États-Unis en 2025-2026

Le contexte politique américain a conduit plusieurs organisations à revoir leurs recommandations pour les voyages aux États-Unis, particulièrement pour les militants, journalistes et personnes ayant des affiliations religieuses ou politiques spécifiques.

L’ACLU note une augmentation des fouilles d’appareils ciblant des groupes spécifiques, et recommande de traiter la frontière américaine avec la même prudence que des frontières à risque plus élevé pour les personnes appartenant à des groupes ciblés.

Pour les voyageurs d’affaires canadiens standards, le niveau de risque reste faible, mais les pratiques de base (VPN, chiffrement, appareil propre si données sensibles) restent recommandées.

Protection contre le vol physique

La plupart des articles sur la sécurité en voyage se concentrent sur le numérique et oublient le vol physique — qui reste la menace la plus fréquente.

iPhone volé : avec iOS 17+, le “Stolen Device Protection” empêche les changements critiques (Apple ID, mots de passe enregistrés, désactivation de Localiser) sans authentification biométrique, même si le voleur connaît votre code PIN. Activez cette fonctionnalité avant de voyager : Paramètres → Face ID/Touch ID → Protection des appareils volés.

Android volé : activez “Find My Device” de Google et le verrouillage hors ligne. En cas de vol, vous pouvez effacer l’appareil à distance depuis android.com/find.

Laptop volé : si FileVault (Mac) ou BitLocker (Windows) est activé, les données sont inaccessibles sans le mot de passe de connexion, même si le disque dur est retiré de l’appareil.

La localisation à distance fonctionne tant que l’appareil est connecté et allumé. C’est pourquoi certains voleurs éteignent immédiatement les appareils volés. Le chiffrement est votre deuxième ligne de défense quand la localisation échoue.

Les données en transit aérien : un risque souvent ignoré

Quand vous mettez votre laptop en soute ou dans un bagage à main qui vous échappe momentanément (screening sécurité, accès à la chambre par les agents hôteliers), votre appareil physique est entre d’autres mains.

Les “evil maid attacks” — accès physique à un appareil en l’absence du propriétaire pour y installer un malware — sont documentées dans le contexte de voyages d’affaires à haute valeur. Un agent hôtelier corrompu, ou un accès non autorisé à votre chambre pendant votre absence, peut compromettre un laptop laissé ouvert.

Pratiques minimales :

• Ne laissez jamais votre laptop ouvert et en veille dans une chambre d’hôtel
• Éteignez-le complètement (pas juste veille) quand vous quittez la chambre
• Considérez une webcam cover physique (autocollant opaque)
• Sur Mac, des apps comme OverSight alertent si une app tente d’accéder à la caméra ou au micro

Cas particulier : voyage avec données professionnelles

Si vous transportez des données d’entreprise — dossiers clients, propriété intellectuelle, données financières — la préparation doit être proportionnelle à la valeur des données.

Avant le voyage :

• Discutez avec votre département IT ou votre CISO des politiques de voyage
• Demandez un appareil de voyage chiffré géré par l’entreprise si disponible
• Identifiez quelles données sont absolument nécessaires — n’emportez que celles-là

Pendant le voyage :

• Accès aux ressources internes via VPN d’entreprise uniquement
• Pas de sauvegarde sur le cloud personnel (seulement cloud d’entreprise si approuvé)
• Signalez immédiatement tout incident (perte, vol, accès suspect) à votre équipe IT

Au retour :

• Signalez si votre appareil a été fouillé à la frontière — c’est un incident de sécurité que votre entreprise doit documenter

---

Voyager avec ses appareils sans préparation, c’est comme laisser ses documents dans un taxi et espérer qu’ils restent là. La plupart du temps ça se passe bien. Mais quand ça se passe mal — une fouille à la frontière, un réseau WiFi compromis, un laptop volé — les conséquences dépassent largement l’inconfort.

Une demi-journée de préparation avant un voyage protège des semaines de récupération potentielle.

Si vous avez des questions sur la configuration de vos appareils pour le voyage, sur vos droits à la frontière, ou si vous souhaitez un audit de sécurité de votre infrastructure avant un déplacement important, l’équipe Sequr est disponible. ou écrivez via sequr.ca/contact.