Devenez expert.e judiciaire en 2026

Ce billet est une mise à jour des billets écrits sur le même sujet sur ce blog.

Qu’est-ce qu’un.e expert.e judiciaire ?

L’expert.e judiciaire est une personne qui apporte son concours au juge dans des affaires pour lesquelles elle est désignée. Elle est chargée de donner au juge un avis technique sur des faits pour apporter des éclaircissements dans une affaire. Les spécialités des professionnels pouvant exercer des missions d’expertise judiciaire peuvent être très variées : médecine, architecture, gemmologie, traduction et interprétariat, comptabilité… Après avoir consulté un.e expert.e, les juges restent libres de leur décision et ne sont pas tenus par les conclusions de l’expert.e. [Source https://lajusticerecrute.fr/metiers/expert-ou-experte-judiciairee]

Un expert judiciaire, c’est quelqu’un qui est inscrit sur une liste tenue par une Cour d’Appel. Le simple fait d’être inscrit sur cette liste donne le droit d’utiliser le titre « d’expert près la Cour d’Appel de ».

Pour être inscrit sur cette liste, vous devez avoir un « vrai » métier (celui qui vous fait vivre). Les magistrats qui gèrent cette liste considèrent que l’activité d’expert judiciaire doit être une activité annexe, ce qui me semble tout à fait raisonnable, tant il serait dangereux de vivre uniquement aux crochets des régies judiciaires, qui payent souvent avec beaucoup de retards (lire ce billet par exemple).

Le titre d’expert judiciaire est un titre prestigieux… Ou du moins qui jouit d’un certain prestige. Beaucoup de personnes aimeraient bien l’ajouter sur leur CV ou sur leur carte de visite. Certains considèrent même qu’il s’agit de la consécration ultime d’une carrière professionnelle, une forme de reconnaissance auprès de leurs pairs. Mais ne vous y trompez pas, en demandant à être inscrit sur une liste de Cour d’appel, vous acceptez seulement de consacrer une partie de votre temps au service de la justice et de lui apporter votre concours, vos connaissances techniques, votre expérience professionnelle en exécutant telle mission qui peut vous être confiée par une juridiction.

Devenir expert judiciaire : mode d’emploi.

La procédure pour devenir expert judiciaire est relativement simple: il vous suffit de déposer un dossier avant le 1er mars de chaque année auprès du procureur de la République. Votre dossier va suivre tout un parcours, et s’il est accepté, vous verrez votre nom inscrit sur une liste gérée par votre Cour d’Appel. L’inscription sur cette liste fait de vous un expert judiciaire. Bravo cher confrère ou chère consœur.

Le dossier de demande d’inscription sur la liste des experts judiciaires doit comprendre toutes les précisions utiles permettant de juger de la qualité de votre candidature, notamment les renseignements suivants :

1° Indication de la ou des rubriques ainsi que de la ou des spécialités dans lesquelles l’inscription est demandée. Le nomenclature des spécialités a été révisée en 2022 dans un arrêté du 5 décembre que vous trouverez sur le site LégiFrance en suivant ce lien.

Extrait :
E.1. Electronique et informatique.
E.1.1. Automatismes industriels, automates programmables, électromécanique, systèmes embarqués.
E.1.2. Internet, réseaux sociaux et communications électroniques (acquisition des contenus, e-commerce).
E.1.3. Ingénierie des systèmes, logiciels et matériels (conception, développement, mise en œuvre, maintenance, résolution des incidents…).
E.1.4. Ingénierie des projets informatiques (conception, organisation, relations contractuelles, respect du cahier des charges et de l’expression des besoins…).
E.1.5. Ingénierie des télécommunications et des réseaux (infrastructure, mise en œuvre…).
E.1.6. Cyber malveillance, sécurité informatique.
E.1.7. Objets connectés (Internet des objets ou  » IoT « ).
E.1.8. Robotique, intelligence artificielle.
[…]
F.5.5. Biostatistiques – Informatique médicale et technologies de communication.

2° Indication des titres ou diplômes du demandeur, de ses travaux
scientifiques, techniques et professionnels, des différentes fonctions
qu’il a remplies et de la nature de toutes les activités
professionnelles qu’il exerce avec, le cas échéant, l’indication du nom
et de l’adresse de ses employeurs.

En terme plus simple, ressortez votre CV et mettez le à jour.

3° Justification de la qualification du demandeur dans sa spécialité.
Vous avez des lettres de recommandation, des courriers de vos pairs qui
admirent vos compétences, c’est le moment de les sortir de leurs cadres
et d’en faire une photocopie.

4° Le cas échéant, indication des moyens et des installations dont le candidat peut disposer.
Vous travaillez dans une université ou dans une grande entreprise dont vous avez le droit d’utiliser les installations pour une prestation extérieure officielle, si possible
gratuitement, alors c’est le moment de le signaler par écrit.
L’institution judiciaire est si mal pourvue en budget par les politiques
en charge des affaires…

Un coup d’œil sur le site web de votre Cour d’Appel est indispensable pour savoir s’il faut des documents complémentaires (photos, etc.) et pour télécharger le document intitulé « dossier de candidature ».

Faut-il une formation particulière ?

Oui, depuis le décret n°2023-468 du 16 juin 2023, il est demandé dans l’article 2 aux candidats à l’inscription sur une liste dressée par une cour d’appel, de justifier d’une formation à l’expertise. Vous trouverez différentes formations à l’expertise, à des prix très variés, sur vos moteurs de recherche préférés, ou mieux, en vous renseignant auprès de la compagnie pluridisciplinaire de votre cour d’appel.

Pour ma part, je n’ai jamais suivi ce type de formation à l’expertise, car j’ai la chance d’être marié à une avocate, et d’avoir été inscrit avant que ces formations ne soient obligatoires.

Soyez bien conscient que de suivre une formation à l’expertise (diplômante ou non), n’est en rien une garantie d’être ensuite inscrit sur la liste des experts judiciaires.

Une fois inscrit sur la liste des experts judiciaires, vous aurez des sessions de formation obligatoire à suivre, en particulier sur la procédure. Ne les manquez pas !

Comment s’effectue le choix parmi les candidatures ?

La décision d’inscription est prise par l’assemblée générale des magistrats du siège après enquête du Parquet. 

C’est en fonction des besoins exprimés par les juridictions du ressort que l’assemblée générale de la cour d’appel apprécie les mérites des candidatures en veillant à ne retenir que celles déposées par d’excellents professionnels présentant, par ailleurs, des garanties de moralité, d’impartialité, d’indépendance et de disponibilité.

Source : dossier de candidature à la Cour d’Appel de Paris

Je n’en sais pas plus. La procédure de sélection est relativement opaque : vous pouvez voir un dossier fantastique, mais postuler une année où la Cour d’Appel n’a pas de besoin, ou inversement… Vous ne devez pas être déçu de ne pas être inscrit dès la première demande. Le nombre d’experts retenus tient à des facteurs indépendant des candidats, comme l’évolution du nombre d’expertises, le nombre d’experts dans une discipline, les orientations générales de la Chancellerie ou encore à d’autres facteurs relatifs à l’institution
judiciaire. Seuls les magistrats pourraient indiquer quels sont les critères qui tiennent aux candidats eux-mêmes. Au vu des pièces demandées, on peut toutefois estimer que les magistrats examinent la compétence, l’expérience, la notoriété, la disponibilité, l’indépendance et les moyens de remplir les missions que présentent les candidats.

Le rejet de la demande d’inscription sur la liste des experts, doit être spécialement motivé : l’assemblée générale des magistrats du siège, doit mettre l’intéressé en mesure de connaître les raisons pour lesquelles sa demande a été rejetée (source Dictionnaire du Droit Privé de Serge Braudo). 

Un conseil: après un refus, ne pas hésiter à représenter sa candidature l’année suivante, surtout si l’on peut faire valoir des éléments nouveaux.

Conclusion.

Il vous reste jusque fin février pour déposer votre dossier (qui doit être arrivé avant le 1er mars). N’oubliez pas de relire quelques billets de ce blog dans la rubrique Expert, et en particulier celui-ci avant de vous lancer dans l’aventure.

Pour casser un peu le mythe, la lecture de ce billet peut être utile…

Si votre demande est acceptée, vous serez convoqué pour prêter serment. C’est aussi le bon moment pour contacter une compagnie d’experts pour parler formations, procédures, assurance, et pour comprendre également dans quel guêpier vous êtes tombé avant de contacter les impôts, l’URSAFF et autres joyeusetés à qui vous allez expliquer votre activité (et comment ils doivent la gérer).

Bon courage 🙂

Mise à jour PHP pour un site WordPress sous Debian et Apache

Pour compléter mon billet intitulé « Passage de Debian 12 (Bookworm) à Debian 13 (Trixie) », comme nous sommes un vendredi et que je suis un peu foofoo, j’ai mis à jour la version PHP de mon blog et j’ai mis en prod.

J’ai suivi les instructions fournies par Oleksandr Dziuba sur son blog en suivant ce lien.

Jusqu’ici tout va bien.

N’hésitez pas à me signaler des dysfonctionnements.

Navigation and Bombing System NBS (H2S Mk 9A and Navigation, Bombing and Computer NBC) used in V-bombers Victor, Vulcan and Valiant
photo : Tim Samshuijzen, source https://www.tatjavanvark.nl/tvve/viewer119.html

Sexagénaire en entreprise

Je viens de fêter mes soixante deux années de rotation autour du soleil. Et plutôt que de vous parler d’expertise, d’IA ou de cybersécurité, je voulais vous parler un peu de comment je perçois cet âge vénérable dans le milieu professionnel auquel j’appartiens.

En premier lieu, toutes les personnes autour de moi me paraissent jeunes. Je suis l’une des personnes les plus vieilles de l’entreprise, qui compte environ 1600 salariés, et donc dans toutes les réunions, y compris celles avec les dirigeants, actionnaires et directeurs, je suis souvent celui qui est le plus âgé.

Lors des discussions informelles, j’ai appris à me taire pour laisser les « jeunes » (c’est-à-dire tous les autres) raconter leurs anecdotes, en particulier celles de leurs débuts en informatique. Les plus jeunes ne connaissent pas les blogs, et plus personne ne se souvient du SICOB où je regardais avec des yeux d’adolescent admiratif de grosses imprimantes matricielles cracher des dessins ASCII sur du papier perforé…

Le regard du monde de l’entreprise sur les plus de 60 ans est assez terrible : pour beaucoup, les plus de 60 ans sont des retraités. Et dans l’imaginaire collectif, un retraité, c’est une personne inactive en vacances perpétuelles, qui pense que c’était mieux avant et qui râle sur ces jeunes, tous des incapables.

Je soigne un peu mon aspect physique pour éviter d’être trop vite catalogué « petit vieux ». Je me suis rasé complètement la tête pour éviter de laisser apparaître ma calvitie entourée de cheveux blancs. Les chauves sont mieux acceptés, aujourd’hui, qu’à l’époque de Jules César.

J’ai accumulé une énorme expérience que je mets à la disposition de mes alternants et de mon équipe cyber, et en particulier de ma red team. Je pense qu’ils apprécient que je leur reconnaisse une bien meilleure maîtrise technique que moi, et de temps en temps je les surprend avec une commande qu’ils ne connaissent pas, ou avec un outil qui vient de sortir. Je reste dans la course.

Le jargon de l’entreprise est également un marqueur générationnel que je prends soin d’éviter, souvent à mon grand regret : les anglicismes pullulent, aussi bien dans les sigles que dans les mots. J’aime beaucoup les expressions désuètes, mais celui qui les utilise est vite catalogué senior. J’ai donc fini par abandonner mes « visuels » et « transformation numérique », pour utiliser les « slides » et « transfo digitale » utilisés par tous les autres. Il y a longtemps que je ne dis plus « je vais vous présenter quelques transparents » 😉

Enfin, il y a les références sociétales très utiles à la machine à café, mais souvent je n’ai pas « la réf » : je ne connais pas Nicocapone, ni le dernier clash à la mode sur les réseaux sociaux depuis que j’ai drastiquement réduit ma consommation… Mon univers social se réduit de plus en plus à celui de mes 20 ans : l’IA, les bidouilles sur mes ordis, le hacking. En ce moment, j’explore mon entourage hertzien avec mon flipper zéro. Retour à la case nerd.

Je suis un soixantenerd.

Image générée par un LLM

Passage de Debian 12 (Bookworm) à Debian 13 (Trixie)

Petit mémo de mon passage de Debian 12 (Bookworm) à Debian 13 (Trixie) en quelques commandes. Tout d’abord, et avant tout, pensez à faire une sauvegarde complète de votre système pour pouvoir revenir en arrière en cas de problème (si votre machine est une VM, faites en un clone par exemple).

Etape 1 : partir d’un système propre
sudo apt update
sudo apt upgrade
sudo apt full-upgrade
sudo apt –purge autoremove
sudo reboot

Etape 2 : préparer la migration
cat /etc/debian_version
mkdir ~/apt.old
cp /etc/apt/sources.list ~/apt.old
cp -r /etc/apt/sources.list.d/ ~/apt.old
sudo sed -i ‘s/bookworm/trixie/g’ /etc/apt/sources.list
sudo sed -i ‘s/bookworm/trixie/g’ /etc/apt/sources.list.d/*

Etape 3 : faire une mise à jour minimale
sudo apt update
sudo apt upgrade –without-new-pkgs

Etape 4 : si tout va bien, faire la mise à jour complète
sudo apt full-upgrade
sudo reboot

Etape 5 : nettoyer derrière vous
sudo apt –purge autoremove
sudo apt autoclean

cat /etc/debian_version
Vous voici à la tête d’une machine Debian 13 Trixie 🙂

Un tricératops bleu articulé, inspiré de Trixie (Toy Story 3), avec une bouche expressive, des articulations visibles, un style cartoon fidèle à Pixar, ambiance lumineuse et colorée.
Image générée par un LLM


Casser les mots de passe de ses utilisateurs avec le plus gros dictionnaire français du monde

En tant que responsable de la sécurité des systèmes d’information de mon entreprise, j’ai plusieurs missions, dont celle de la sensibilisation à la sécurité informatique de mes utilisateurs. Pour cela, j’utilise plusieurs approches : les messages de sensibilisation (phishing, ransomware, etc.), les messages opportunistes lorsqu’une crise (chez les autres) est médiatisée, les vidéos de sensibilisation, les interventions dans les services, auprès du COMEX, etc.

Je fais intervenir des sociétés spécialisées dans les attaques éthiques, pour aller plus vite et pour avoir un regard externe, regard externe qui est souvent mieux perçu que celui du local de l’étape. Mais je mène parfois des audits internes moi-même. Voici un retour d’expérience que je partage avec vous, parce que cela illustre (pour les jeunes) l’un des aspects de la cybersécurité, et parce que cela peut peut-être aider un ou deux RSSI débutants qui passeraient par là, sait-on jamais.

Je précise que la méthode que je présente ici n’est qu’une des nombreuses méthodes existantes.

1ère étape : Récupérer la base de données des utilisateurs

Dans l’environnement de mon entreprise, comme c’est souvent le cas, les comptes des utilisateurs sont gérés par Microsoft Active Directory. Problème, il faut des droits particuliers pour pouvoir accéder à la base de données des utilisateurs. Or, le RSSI que je suis ne dispose pas de droits permettant cet accès…

Il m’a donc fallu contourner le problème : je suis passé par la console de gestion de mon antivirus++ que l’on appelle un EDR. En effet, la console de gestion de mon EDR me permet d’exécuter des commandes sur toutes les machines sur lesquelles cet EDR est installé.

Je me suis donc connecté sur un contrôleur de domaine secondaire pour y ouvrir un terminal particulier via la console EDR et j’ai exécuté la commande suivante :

ntdsutil "ac i ntds" "ifm" "create full c:\temp\SSI" quit quit

Cette commande crée une copie des fichiers NTDS.dit et SYSTEM qui contiennent toutes les informations utiles pour moi et les place dans le répertoire c:\temp\SSI du contrôleur de domaine. J’ai ensuite compressé ce répertoire dans une archive avec mot de passe. Puis j’ai supprimé tout le contenu de ce répertoire, par sécurité.

Problème : ma console EDR ne me permet pas de télécharger le fichier c:\temp\SSI.7z car il dépasse la taille autorisée… Il m’a donc fallu demander un peu d’aide : j’ai attendu 24h puis j’ai ouvert un ticket de demande de récupération du fichier SSI.ZIP au support informatique à partir des sauvegardes quotidiennes de cette machine. C’est passé crème.

Attention, le fait d’avoir mis les fichiers NTDS.dit et SYSTEM dans une archive avec mot de passe permet de garantir la confidentialité de ces données, surtout qu’elles se sont trouvées dans plusieurs sauvegardes, sur l’ordinateur de l’ingénieur qui a traité ma demande ET sur mon propre ordinateur…

2e étape : Constitution du plus gros dictionnaire de mots français du monde

J’ai déjà évoqué sur ce blog en détail comment j’ai eu l’idée d’utiliser tout le contenu du site Wikipédia français. Vous trouverez le résumé dans le billet intitulé « Dictionnaire français pour hashcat« , et le détail technique sur mon dépôt GitHub

Voici les commandes utilisées :

wget https://dumps.wikimedia.org/frwiki/latest/frwiki-latest-pages-articles-multistream.xml.bz2
bzcat frwiki-latest-pages-articles-multistream.xml.bz2 | tr "\040\041\042\043\044\045\046\047\050\051\052\053\054\056\057\060\061\062\063\064\065\066\067\070\071\072\073\074\075\076\077\100\133\134\135\136\137\140\173\174\175\176" "\n" > toto
cat toto | tr -s "\n" | awk '!x[$0]++' | sort > wikipedia.fr.txt

Voir aussi dans ce billet l’explication de la commande awk utilisée.

Le fichier wikipedia.fr.txt ainsi obtenu contient plus de 29 millions de mots, incluant tous les mots de la langue française, mais aussi les noms de lieux ou lieux dits, les prénoms, les noms de famille, les mots surannées, le jargon de toutes les professions, les mots d’argots ou de patois, les sigles, les marques, beaucoup de mots latins ou en grec ancien, et des mots en d’autres langues courantes (anglais, allemand…) ou moins courantes (breton, corse, leetspeak…).

Bref, vous voici avec un fichier quasi parfait pour une attaque par dictionnaire.

3e étape : Préparer une machine de calcul

Pour craquer des mots de passe par une attaque par dictionnaire, il est préférable d’utiliser une machine performante. Dans mon cas, mon entreprise ne me donne pas accès à une telle machine, mais mon radiateur oui.

Les lecteurs de ce blog savent que je me suis fabriqué un radiateur qui me chauffe l’hiver tout en minant des cryptomonnaies. Ceux qui veulent en savoir plus peuvent lire ce billet. L’hiver étant fini, j’ai une machine disponible avec plusieurs cartes GPU (anciennes). Mais une machine de gamer actuelle suffirait.

La machine est sous Windows, avec WSL, mais une machine GNU/Linux serait aussi bien quand on maîtrise bien l’installation des drivers des cartes graphiques.

J’ai ensuite installé hashcat par le cassage des mots de passe, VeraCrypt pour garder en sécurité à l’abri des regards tous les fichiers et mots de passe découverts et le packet Impacket pour utiliser le script Python secretsdump.py que j’installe dans WSL.

Enfin, je récupère la règle OneRuleToRuleThemAll que je place dans le répertoire « rules » de hashcat.

4e étape : A L’ATTAAAAQUE

Je décompresse mon fichier SSI.7z protégé par mot de passe, dans mon containeur sécurité VeraCrypt et récupère le fichier NTDS.dit et SYSTEM

J’exécute ensuite la commande suivante dans WSL sous Windows :

secretsdump.py LOCAL -ntds NTDS.dit -system SYSTEM -outputfile hash.txt

Le fichier hash.txt contient les mots de passe de mes utilisateurs, chiffrés sous forme de hashs. Je peux enfin lancer la commande suivante :

hashcat -m 1000 -a 0 -w 1 hash.txt wikipedia.fr.txt -r rules/OneRuleToRuleThemAll.rule

Je peux laisser la machine travailler, et quatre heures après, j’ai cassé environ 10% des mots de passe de mes utilisateurs.

Conclusions

Il y a beaucoup de choses à dire, et sans doute beaucoup de monde à son avis sur le sujet, mais voici les actions que j’ai menées suite à la découverte (en quelques heures) de 10% des mots de passe de mes utilisateurs :

  • Tous les utilisateurs sont protégés par une authentification multifactorielle. La faiblesse de leur mot de passe n’est pas en soit catastrophique. Je n’ai donc pas obligé les utilisateurs dont j’ai pu craquer le mot de passe à en changer, sauf pour les comptes de service et les utilisateurs à privilèges (admin, etc.) où les mots de passe peuvent être réellement aléatoires et gérés par des coffres forts de mots de passe.
  • J’ai communiqué auprès de l’ensemble des utilisateurs pour les prévenir qu’il ne faut pas utiliser des mots de passe du type « AbracaDabra@2025! » qui, bien que longs et complexes (17 signes mélangeant majuscules, minuscules, chiffres, caractères spéciaux), sont trouvés par une attaque par dictionnaire. Le message est difficile à entendre, donc merci le MFA.
  • J’ai fait modifier les vérifications lors du changement de mot de passe, pour diminuer la probabilité de succès d’une attaque par dictionnaire.

Si vous avez des réactions constructives à ce billet, n’hésitez pas à laisser un commentaire.

Une histoire d’onduleurs

Un jour, j’ai été missionné comme expert judiciaire par un magistrat sur un dossier de litige entre une entreprise et son fournisseur d’onduleurs. L’affaire semblait plutôt simple. La salle serveurs de l’entreprise était maintenue sous tension par un groupe d’onduleurs, eux-mêmes alimentés par un groupe électrogène. Un matin, les salariés ont trouvé les serveurs éteints. En essayant de les redémarrer, ils n’ont pu que constater que les onduleurs n’étaient plus opérationnels. Le litige avec le fournisseur des onduleurs, qui assurait également leur entretien, commence là.

J’ai accepté la mission, j’ai contacté les avocats et les parties concernées pour trouver une date de première réunion d’expertise, et le jour J me voilà sur place pour étudier les pièces du dossier et les lieux.

La salle serveurs est plutôt grande pour ce type d’entreprise, les onduleurs dysfonctionnels ont été laissés sur place à côté de leurs remplaçants. J’analyse sur pièce et sur place l’ensemble du système et tout semble bien dimensionné.

Mon problème est que le magistrat a indiqué dans les missions qu’il faut que je découvre la cause du dysfonctionnement. Un sous-dimensionnement ou un manque d’entretien aurait pu être la cause de la panne mais ce n’est pas le cas ici. La journée d’expertise se passe et je collecte le plus d’informations possibles en plus des copies des dossiers des parties. Une date est prise pour une deuxième réunion dans deux mois, premier créneau disponible pour tout le monde. Je rentre chez moi dubitatif.

Il y a beaucoup de causes possibles pour qu’un onduleur tombe en panne : surcharge, surtension, problème de batteries, de composants, une surchauffe, une humidité excessive, etc. Mais mon problème ici est que tout le groupe d’onduleurs est devenu dysfonctionnel, que la maintenance est régulière, que les équipements sont récents, que les locaux sont adaptés et l’alimentation électrique stable.

Il va falloir démonter et analyser l’intérieur des onduleurs. Et pour cela, je vais devoir m’adjoindre les services d’un sapiteur, ce qui est toujours une complexité dans la procédure. Mais je dois me rendre à l’évidence, c’est le moyen le plus efficace pour résoudre cette énigme. Je trouve un technicien pointu sur ce type d’onduleur et lui propose d’intervenir à la date de la prochaine réunion d’expertise.

Parmi mes hypothèses de cause possibles de cette panne, la surtension arrive en bonne position. Problème : comment savoir si une surtension électrique a eu lieu sur le réseau de transport d’électricité d’EDF, géré par sa filiale RTE ? Je me doute bien que ce réseau est supervisé par des sondes qui gardent un historique, mais comment accéder à cette information ? Mes contacts chez EDF se limitent à mon réseau familial et professionnelle et tous travaillent dans des bureaux parisiens loin du terrain…

Je me dis qu’un coup de foudre sur un pylône peut donner lieu à une surtension, mais qui contacter pour savoir si la foudre est tombée telle nuit, il y a six mois ? Je ne connais personne dans mon cercle de contacts qui saurait répondre à cette question précise…

Je pense alors à la presse quotidienne régionale. Mon beau père est abonné à un titre papier et je sais qu’il garde beaucoup de ses exemplaires. Lorsque je passe le voir, je lui demande les exemplaires publiés ce jour là et les jours suivants. J’ai de la chance, il les a gardé et je commence à les feuilleter. Rien…

J’emmène les exemplaires du journal en lui promettant d’en prendre soin et de les lui ramener, et une fois chez moi, je lis chaque page sur les affaires locales à la recherche d’une piste. Et bingo !

Ceux qui suivent ce blog depuis longtemps, ont peut-être lu ce billet de 2013 intitulé « l’incendie » où je raconte un événement qui m’avait bien secoué en tant que responsable technique : l’incendie du poste de transformation électrique de mon entreprise pendant un dimanche d’été mémorable ; allez le (re)lire, j’ai appris beaucoup de choses ce jour là, dont la part de chance que j’ai eu.

Et en lisant les journaux gardés par mon beau père, je vois que la fameuse nuit où les onduleurs ont rendu l’âme, un transformateur a pris feu dans un quartier proche de l’entreprise. Le feu a été rapidement circonscrit et le courant tout aussi rapidement rétabli. Mais je me souviens d’avoir appris pendant ma propre expérience que les transformateurs sont reliés ensemble dans une boucle locale, qui permet d’isoler le transformateur défectueux pour rétablir rapidement le courant chez les clients ne dépendant pas directement de ce transformateur. L’inconvénient est qu’une panne brutale d’un transformateur impacte tout aussi brutalement les autres transformateurs, avec une possibilité non nulle de surtension.

Le technicien sapiteur a pu prouver que la cause de la panne des onduleurs était liée à une surtension et j’ai pu proposer au magistrat de m’aider à obtenir de RTE les mesures de la supervision du réseau électrique de cette fameuse nuit, mesures qui montraient une brève surtension importante du réseau au moment de l’incendie du transformateur voisin.

J’ai pu déposer un rapport d’expert judiciaire précis et argumenté.

Merci à la presse quotidienne régionale (et à mon beau père).

Héberger son serveur chez soi

J’aime bien mettre les mains dans la technique, d’abord parce que ce n’est pas sale, mais aussi parce que je suis curieux et que j’aime tester des trucs.

Lorsque j’ai ouvert ce blog, il était hébergé sur une plateforme de blogs et je n’avais presque rien à faire. Mais j’étais très dépendant du bon vouloir de la plateforme de garder ce service ouvert, surtout qu’il s’agissait d’un service gratuit proposé par le « G » de GAFAM, habitué à fermer des services, y compris ceux rencontrant un certain succès.

C’est donc autant par curiosité, par envie d’apprendre, que par soucis de la maîtrise de ce blog, que je l’ai migré sur un serveur que j’héberge chez moi.

J’ai donc installé un serveur Debian sous forme de machine virtuelle sur mon NAS et un WordPress sur lequel j’ai migré mon blog. Debian parce que c’est la distribution GNU/Linux que j’apprécie le plus, et en place dans les différentes entreprises dans lesquelles j’ai travaillé comme RSSI, et WordPress parce qu’il s’agit du CMS le plus utilisé dans le monde, et que j’avais envie d’étudier sa sécurisation, également pour le travail.

J’ai donc configuré toutes les protections possibles sur ce WordPress, même si je sais qu’il sera piraté un jour. J’ai fait au mieux des connaissances que j’ai pu acquérir.

J’ai ensuite mis en place un système de sauvegarde du serveur et du WordPress, vers un autre NAS et vers un stockage en ligne.

Mais exposer un serveur sur internet depuis l’adresse IP attribuée par mon fournisseur d’accès à internet pose plusieurs problèmes :
– j’ai une fibre Free avec IP fixe (ce qui est pratique), mais sujette à quelques coupures de temps en temps.
– il est facile de retrouver mon identité réelle à partir de cette adresse IP, ce qui en soit n’est pas un problème car mon identité n’est pas secrète, mais je souhaite segmenter le plus possible mes activités de blogueur de mes activités professionnelles et personnelles.
– certains billets rencontrent parfois un succès, surtout si un « gros compte » des réseaux sociaux le met en valeur. Un gros afflux de visiteurs crée une sorte d’attaque DDoS qui met en difficulté ma liaison internet.

J’ai donc fait le choix d’utiliser le CDN Cloudflare, car celui-ci propose un compte gratuit pour un nom de domaine unique, avec presque toutes les fonctionnalités. Comme je suis curieux, cela m’a permis d’apprendre beaucoup de choses sur le paramétrage relativement complexe d’un CDN, et de régler les problèmes de coupure (grâce aux caches), d’anonymisation de mon adresse IP et d’attaque DDoS.

Il y a néanmoins plusieurs défauts dans ce choix : le premier (et le plus important) est de dépendre d’un acteur tiers supplémentaire (Cloudflare) en plus de mon FAI (Free), de mon registraire (BookMyName). Le deuxième est que je confie à ce partenaire beaucoup d’informations sur mes lecteurs. Le troisième est que ce partenaire peut changer très vite sa politique de service. Et enfin, tout le paramétrage se fait « sur la prod » puisque je n’ai pas d’environnement de tests (tester, c’est douter ^^).

Plusieurs lecteurs de ce « vieux » blog viennent lire les billets grâce à son flux RSS, et m’ont signalé des difficultés d’accès à ce flux RSS. Après enquête dans les logs fournis par Cloudflare, je me suis rendu compte que deux options anti-bots cochées par mes soins bloquaient aléatoirement le flux RSS des billets du blog :

Les deux options fautives

Normalement tout doit être rentré dans l’ordre maintenant, et vous devriez pouvoir utiliser vos lecteurs de flux RSS préférés.

Prochain objectif : abandonner le front WordPress pour le remplacer par un site statique, beaucoup plus rapide. Mais ça, c’est une autre histoire.

Jeunes femmes des années 80

J’ai fait mes premiers pas post bac en classes préparatoires au lycée Faidherbe de Lille, en septembre 1981. J’étais interne, logé sur place du dimanche soir au samedi midi. Les garçons disposaient de deux bâtiments : le premier contenait de grands dortoirs un peu vieillots à chaque étage, et le second bâtiment des chambres individuelles refaites à neuf.

Les filles avaient un seul bâtiment, lui aussi un peu vieillot, et séparé des garçons par la cantine. Je vous ai fait un dessin avec la méthode R.A.C.H.E. :

A 18 ans, nous étions tous très concentrés sur nos études (non), et l’administration d’alors tenait à ce que les deux genres reconnus à cette époque soient bien séparés, afin de favoriser une ambiance studieuse (non).

Pour cela, la méthode employée était d’une simplicité redoutable : le bâtiment des filles était interdit aux garçons, et était fermé à 22h. Pour dire les choses autrement, les filles avaient un couvre feu à 22h.

Bien entendu, pas les garçons.

Dans le bâtiment des garçons proche de la cantine se trouvait une salle commune avec télévision, où les garçons et les filles regardaient ensemble la chaîne de télévision imposée par les redoublants de 2e année. Et bien entendu, à 21h55, toutes les filles étaient obligées de rejoindre leur bâtiment sans voir la fin du film.

Les filles qui sortaient en ville pour aller au cinéma ou au spectacle, étaient obligées de revenir en urgence avant 22h, ratant souvent la fin du film ou du spectacle, sinon elles trouvaient porte close et restaient dehors.

Tout le monde trouvait ça injuste et stupide, mais les surveillantes étaient intraitables.

J’étais (et je suis toujours) un garçon timide et un peu gauche, l’un des seuls à avoir un ordinateur, « passionnée voire obnubilée par des sujets intellectuels et liés aux sciences, en général symboliques (comme les mathématiques, la physique ou la logique) ou techniques« . Bref, un nerd mais sans lunettes.

Mais j’avais un esprit très chevaleresque, et l’injustice faite à mes consœurs de galère me révoltait. J’avais donc mis au point un stratagème lors de ma deuxième année (carré dit aussi 3/2) et lors de ma deuxième deuxième année (cube dit aussi 5/2) : j’avais récupéré deux matelas une place que je rangeais sous le lit de ma chambre individuelle, et toutes les filles savaient qu’elles pouvaient trouver refuge chez moi.

Il fallait rester discrètes car elles devaient échapper aux surveillants, et aux autres garçons parfois un peu trop entreprenants, il fallait accepter de ne pas prendre de douche ni changer de vêtement le lendemain, mais elles savaient qu’elles pouvaient faire confiance à ce garçon un peu différent, qui respectait leur intimité en quittant sa chambre lorsqu’elles faisaient leurs toilettes et se déshabillaient avant de se coucher, et qui les laissait dormir en toute tranquillité.

Un havre de paix au milieu de centaines de jeunes hommes en rut.

Je n’ai jamais su ce que les filles se disaient entre elles dans leur dortoir, à mon sujet, mais entre 1982 et 1984, j’ai été le garçon qui a vu défiler le plus de filles dans sa chambré.

Et sans me prendre une chapatte, car les femmes du 20ème siècle méritent qu’on les respecte.

Bonne chance pour 2025…

L’IA a fait d’immenses progrès ces dernières années et ne tardera pas à pouvoir résoudre ce message codé :

J’ai beaucoup de mal à trouver au fond de moi un peu d’optimisme pour les vœux, avec les événements internationaux et nationaux de ces derniers temps. Donc, je nous/vous souhaite « bonne chance pour 2025 ».

Je ne pourrai pas faire mieux.

Les sites de rencontre

La mission confiée par le magistrat était simple : quel était le contenu des discussions de Madame Y avec les contacts qu’elle avait sur l’application de rencontre X, et en particulier avec Monsieur Z ?

Nous sommes dans les années 2000, les gendarmes commencent à peine à utiliser des ordinateurs personnels (personnels signifiant ici qu’ils les ont achetés à titre personnel et les utilisent dans le cadre professionnel), les policiers tapent sur des machines à écrire, internet peine à arriver jusqu’aux casernes et aux commissariats…

Ce type de dossier est donc confié à des particuliers inscrits sur un annuaire de Cour d’Appel, ce qui fait d’eux des experts judiciaires.

Me voici donc muni d’une réquisition judiciaire à faxer au service ad hoc de la société éditrice de l’application de rencontre, qui, après moultes relances et coups de téléphone (la plupart des sociétés étaient joignables par téléphone à cette époque) m’a donné accès à tous les échanges de Madame Y.

Madame Y mentait un peu sur son âge, et ses photos étaient prises sous un angle flatteur, et correspondaient à un peu moins que l’âge avoué. Son profil était enjoué et dynamique, et tous ses divertissements favoris y étaient cochés dans l’espoir d’un partage réciproque.

L’enquête de police me donnait beaucoup d’éléments, et donc je pouvais facilement mesurer les (petits) écarts dans la description que Madame Y faisait d’elle-même, mais dans l’ensemble le profil correspondait. Madame Y était bien une femme, célibataire, cherchant l’amour avec l’aide d’un algorithme s’appliquant sur une grande quantité de profils, bien au delà de ce que peut offrir un nombre de rencontres IRL.

Madame Y a répondu à quelques unes des nombreuses sollicitations et entretenu des échanges avec plusieurs personnes, jusqu’à nouer un dialogue plus sérieux avec l’une d’entre elle : Monsieur Z. D’abord anodins, les échanges se sont faits plus personnels, puis plus intimes, mais sans verser dans les échanges de photos pornographiques.

Fasciné, j’ai vu grandir sous forme épistolaire, une amitié puis une affection, et pour finir une passion enflammée.

La question de la rencontre IRL entre les deux protagonistes a fini par se poser. Et là, coup de théâtre : Monsieur Z a avoué qu’il était en fait… une femme. QUOI, mais tu m’as donc menti pendant tout ce temps ! Je suis tombé follement amoureuse d’un homme qui n’existe pas !

Les échanges sur l’application se sont brutalement interrompus.
Mais pas dans la vie réelle.
Madame Y était profondément choquée et déçue, et son amour s’est transformé en haine. Elle a déposé plainte et les enquêteurs sont vites remontés jusqu’à son interlocuteur/trice avec tous les éléments qu’elle a pu leur fournir.
Mon travail d’expert judiciaire s’est limité à l’accès à leurs échanges sur l’application et à les retranscrire.

Mes investigations ont été rapides, et le rapport a été rendu en un temps record, quelques semaines à peine après avoir été saisi (le plus long ayant été de contacter l’entreprise en charge de l’application de rencontre pour avoir accès aux données). Mais j’ai pu suivre la procédure après ma mission (ce qui est exceptionnel), et me rendre compte de ce que la haine peut amener comme acharnement, comme instrumentalisation de la justice à des fins de vengeance… Je doute fort que « Monsieur » Z ne s’inscrive de si tôt sur une application de rencontre.

Ainsi est faite la nature humaine.

Pour ma part, j’utilise plusieurs applications de rencontre, mais uniquement pour rencontrer des personnes ayant envie de me faire découvrir Paris de manière platonique. Mon profil est désarmant de sincérité et de transparence, ce qui me vaut la moquerie de la plupart des utilisateurs de ces applications. Mais j’y ai rencontré de belles personnes, et j’y ai noué de solides amitiés. Et ne vous inquiétez pas, Mme Zythom est au courant et encourage ma démarche.
Mais cela est une autre histoire.