La cyber, c’est super

Quand on fait de la sensibilisation à la cybersécurité, tous les slogans sont intéressants, dès lors qu’ils marquent les esprits et contribuent à faire prendre conscience à chacun qu’il a un rôle à jouer dans la sécurité informatique de l’entreprise.

Lors des réunions d’échanges avec mes confrères et consœurs RSSI, je note souvent quelques punchlines que je trouve intéressantes, et je les teste sur mes collègues de travail ou sur les utilisateurs de mon entreprise.

Par exemple, j’aime assez la phrase d’autodérision suivante : “Avant une attaque cyber, on se demande souvent à quoi sert le RSSI. Et après une attaque cyber, on se demande à quoi il a servi…”

Autres exemples que je place dans mes visuels de sensibilisation :
– La sécurité commence par votre esprit, pas par votre clé secrète.
– Protégez votre vie privée et votre tranquillité d’esprit.
– Lock it down, protect it up, and block the hackers.
– Stay safe online. Don’t be quick to click
– Secure your data, secure your future
– Vous fermez bien votre porte à clé, alors pourquoi ne pas verrouiller votre poste de travail ?

Un jour, lors d’une petite intervention devant mes collègues, j’ai terminé ma présentation par une pirouette assez triviale en disant :
J’ai la chance d’avoir la plus grande équipe de l’entreprise, car *tous* les salariés travaillent pour la sécurité informatique. Et oui, la cyber, c’est super !

Sans que je m’y attende, mes collègues se sont appropriés cette dernière phrase, et me font souvent un clin d’œil quand on se croise, ponctué d’un “la cyber, c’est super“. J’ai donc adopté cette petite phrase que j’utilise presqu’à chaque fois pour finir une intervention, ce que je vais faire dans ce billet :

Et pour résumer mon intervention, retenez bien ceci :
[silence de deux secondes]
La cyber, c’est super

Source image Microsoft Designer

Se faire croissanter

Il y a une tradition que j’aime bien et que je retrouve sous une forme ou sous une autre dans toutes les entreprises dans lesquelles je suis intervenu et qui illumine le quotidien des responsables cybersécurité.

Mais avant, je dois rappeler le contexte : vous pouvez mettre en place tous les systèmes de sécurité possibles, il faut bien qu’à un moment ou à un autre, l’utilisateur puisse travailler… Car, après avoir vérifié son badge à l’entrée de l’entreprise, après lui avoir autorisé l’accès à la porte de son bureau, après lui avoir demandé son (dernier) mot de passe valide, puis un deuxième facteur d’authentification par un moyen alternatif, et enfin après un redémarrage pour l’installation des mises à jour de sécurité qui l’oblige à ressaisir son mot de passe (s’il n’a pas expiré entre temps) et son deuxième facteur d’authentification, vous êtes bien obligé de le laisser accéder à son ordinateur de travail.

Sauf que, l’utilisateur est une personne qui a la bougeotte : il lui prend parfois l’envie de s’éloigner de son ordinateur pour un temps supérieur à la seconde, en le laissant sans surveillance ou pire, sous la surveillance de ces collègues de l’openspace.

Et là, je me permets une courte citation d’un sonnet de Pierre de Ronsard :

De soupirs et de pleurs il convient de me repaistre,
Te voyant au cercueil, hélas ! trois fois hélas !

Source BNF

Car le responsable cyber est fourbe par nature et par construction, il sait profiter de la faiblesse humaine, comme les assaillants contre lesquels il lutte souvent seul. Et il est gourmand.

La règle est donc : toute personne laissant son ordinateur sans surveillance avec sa session ouverte se verra croissanté.

Car, une personne malveillante (un collègue) ou le responsable cyber (forcément malveillant) se fera un malin plaisir de s’installer devant l’ordinateur laissé seul avec une session ouverte, afin d’envoyer sous l’identité de l’utilisateur imprudent un email à tous ses collègues de travail, les informant qu’il amènera des croissants pour tout le monde dans la matinée du prochain jour ouvré…

Variante : envoyer un email à toute l’entreprise pour informer qu’une souris à boule à port ps/2 est à vendre, faire proposition.

Variante 2 : proposer d’amener des petits pains, mais attention à la polémique avec les collègues qui utilisent (à tord) l’expression “pains au chocolat” ou “chocolatines”. Mais les polémiques, c’est bien aussi, cela permet de sensibiliser l’utilisateur imprudent.

Conseils : quand vous vous faites croissanter, ne vous vexez pas. Prenez le comme une incitation à être plus vigilant. Si vous êtes “croissanteur”, ne piégez pas “méchamment” un collègue en envoyant un email à toute la Direction, restez soft, car un jour aussi, vous serez croissanté 🙂

Pour finir, je précise que je ne me suis pas encore fait croissanter, mais que cela arrivera forcément un jour. Et ce jour là, vous sentirez une faiblesse dans La Force.

Source Bing image creator

Le grand-père

J’ai trois enfants, deux filles et un garçon, et à chaque fois que l’un d’entre eux approchait de la puberté, j’ai abordé avec eux le problème d’être prématurément parent. Autant dire que les discussions étaient particulièrement délicates, surtout que j’abordais la question à table lorsque nous étions tous les cinq réunis…

Il n’est pas facile pour moi d’aborder la question de la sexualité avec mes enfants. Je vois tellement leurs réticences à en parler, surtout avec leur daron. Et puis, je suis sans doute plus à l’aise à l’écrit qu’à l’oral, surtout sur ces sujets très sensibles. Pour autant, je n’ai pas essayé d’y échapper et je pense avoir fait ma part, en abordant certains sujets de mon propre fait, et en laissant à mes enfants la liberté de me questionner (ce qu’ils n’ont jamais fait, cela doit être un mauvais signe…).

L’idée était de désacraliser le problème, d’éviter un isolement en cas de grossesse non désirée, et de montrer à mes enfants que je serai toujours à leurs côtés.

J’ai donc évoqué très subtilement la question de manière parfaitement indirecte : j’ai prononcé, à table, avec un ton parfaitement sérieux, une phrase parfaitement sortie de nulle part : je suis prêt à être grand-père.

Il est faible de dire que l’effet escompté n’a jamais été celui que j’attendais. Et j’ai malgré tout récidivé deux autres fois, toujours de la même manière. Je vous laisse imaginer les yeux au ciel, les réactions outrées, voire les réflexions du type “encore une blague-de-père” (chez nous, les blagues-de-père sont des blagues que je fais et qui me font beaucoup rire, mais qui ne font rire que moi. Je pense que mon humour est incompris, vous pouvez relire ce billet pour vous en convaincre). Toujours est-il que j’étais persuadé que cela semait dans leur tête l’idée que je serai toujours à leur côté “au cas où”.

Le temps est passé, leur adolescence s’est envolée, et malgré toute ma maladresse, j’espère qu’ils m’ont pardonné et admis que j’ai fait de mon mieux : j’ai essayé de leur donner un cadre tout en leur laissant des libertés, de les laisser vivre leurs expériences tout en étant attentif… L’atrocité des images et films que j’ai eu à analyser dans le cadre de mes expertises judiciaires n’a jamais pris le pas sur la soif de liberté que je voulais leur transmettre (ni sur leur vie privée).

Et puis, est arrivé ce qui devait arriver : depuis ce samedi 10 février 2024, je suis l’heureux grand-père d’une magnifique petite fille 🙂 )

Plus de quinze ans que je me prépare à ce moment ! Alors même que ma fille ouvrait son blog avant moi ! Me voici donc grand-père depuis quelques jours, mais au courant quand même depuis de nombreux mois, j’ai donc eu la possibilité de me préparer correctement sur le sujet le plus IMPORTANT : comment ma petite fille allait-elle m’appeler ?

Il y a plusieurs courants de pensées sur ce sujet vital : certains se font appeler “papy”, d’autres plutôt Papito, Grand’pa, Pépère, Pito, Papichou, Daddy, Papili, Bon pap’s, Papidou, Babou, Babouchka, Bon Papa, Dada, Grand-père, Gronpère, Opa, Païli, Palou, Papé, Papepa, Papick, Papilou, Papilux, ,Papinou, Papiro, Papito, Papo, Papou, Papoum, Papounet, Payou, Pépé, Pépoune, Pitou, Popy, Pypa…

J’ai opté pour une voie alternative : Papy + un caractère alphanumérique à choisir parmi {la 1ère lettre de mon prénom, un caractère spécial, un chiffre}. Je n’en dirai pas plus.

Il me restait à choisir de même un pseudo à utiliser à l’occasion sur mon blog, et ce sera… PapyZ (à prononcer comme les conteneurs chiffrés Papy-Zed! 🙂

Enfin grand-père ! J’ai tellement de choses à lui raconter : Tu sais que PapyZ est né juste après le perceptron et qu’il a mis au point les premiers algorithmes d’apprentissage supervisés pour les réseaux de neurones récurrents, bien avant l’arrivée de l’IA générale qui nous gouverne tous aujourd’hui.

Elle va adorer.

Source https://deepai.org/machine-learning-model/cyberpunk-generator

L’expertise à voile

Cette expertise s’annonçait particulière, comme à chaque fois devrais-je dire. Il s’agissait une perquisition, ce que je n’aime guère, mais avec une particularité : le mis en cause habite sur un voilier. Je regarde les quelques informations qui me sont fournies dans l’extrait de dossier que l’on m’a adressé : aïe, la personne est un informaticien. Techniquement, cela signifie que le niveau de difficulté risque d’être plus élevé.

Le jour J, j’arrive à l’heure au rendez-vous pris avec la maréchaussée (sans jeu de mot) dans ce petit port. Tout est calme et silencieux, à part le vent qui fait vibrer toutes les drisses et balancines contre les mâts, à part bien sûr les raillements des goélands et les rires des mouettes. Bref, on ne s’entend plus parler à voix basse…

Nous voici tous serrés dans cette petite cabine de voilier, auprès de laquelle une coquette studette parisienne semble être un luxueux palace. Le chef des gendarmes fait assez justement remarquer que compte tenu de la coopération du mis en cause, il n’est peut-être pas nécessaire de tous rester dans la cabine, et me voici donc à accomplir ma mission sous l’œil attentif de l’habitant des lieux, et celui de l’OPJ qui suit scrupuleusement les opérations.

La mission ? Trouver tous les éléments, sur tous supports, permettant d’être utile à la manifestation de la vérité (voir détails dans le dossier).

Les voileux savent qu’une cabine, toute petite qu’elle soit, contient un grand nombre de rangements, de coins et de recoins. Me voici donc à la recherche de tous les supports, papiers et électroniques, susceptibles de contenir une information intéressant le juge d’instruction. C’est une fouille que je n’aime guère tant elle consiste à entrer dans l’intimité des gens.

J’essaye de ne pas déranger l’ordre des rangements, ni de déballer outrageusement la vie privée du mis en cause. Je fouille les différents tiroirs et caissons, et m’intéresse plus particulièrement à l’ordinateur, au téléphone, au disque dur externe et aux clefs USB.

Je ne trouve aucune donnée concernant l’enquête, ni aucune donnée manifestement illégales.

Je m’approche du système de navigation du voilier et je m’intéresse un peu au GPS marin. Je demande alors au mis en cause : vous avez des cartes marines numériques ? Sa réponse est un peu hésitante et confuse. Je regarde alors le GPS et en extrais une carte SD que j’examine sur mon ordinateur portable d’expertise. RAS, mais je fais une copie bit à bit de la carte SD que j’analyse aussitôt avec l’excellent logiciel PhotoRec. Et là bingo : des données effacées s’avèrent très intéressantes. La carte SD avait servi dans un appareil photo, et comme outil de transfert entre deux ordinateurs.

J’ai ainsi pu vérifier in extremis le principe de l’échange de Locard, qui veut qu’on laisse toujours une trace de son passage.

Note : ce billet respecte les recommandations du procureur de la République au sujet de la confidentialité des dossiers d’expertise.

Toujours là

Source Mark Jenkins

Je voulais remercier les internautes qui m’ont adressé des messages de soutien suite à mon dernier billet, ainsi qu’à un président de compagnie pluridisciplinaire d’experts de justice qui m’a adressé un message très positif en rapport avec ce blog.

La reconstruction mentale qui suit un épuisement professionnel est longue et semée d’embûches, car le cerveau est plein de surprises, à la fois positives et négatives.

J’ai encore pas mal de chose à raconter sur ce blog, mais je le ferai tranquillement, à mon rythme, car je n’ai rien à vendre ni aucune gloire à en retirer, seulement un besoin de partage, et, en vérité, un besoin d’écrire mes histoires pour évacuer et laisser une (petite) trace à mes enfants et leurs descendants.

Je profite de ce billet pour vous souhaiter à tous une bonne année 2024 : qu’elle soit meilleure que 2023 et moins bonne que 2025 \o/

Stay tuned

L’incendie intérieur

J’ai étudié le fonctionnement du cerveau humain lorsque j’ai travaillé avec des neurologues et des éducateurs de jeunes enfants, pendant ma thèse sur les réseaux de neurones formels. Cela me passionnait et la complexité du cerveau humain me fascine toujours, surtout quand il s’agit du fonctionnement de mon propre cerveau. Je suis d’ailleurs un adepte de l’introspection.

L’introspection (du latin « introspectus ») désigne l’activité mentale que l’on peut décrire métaphoriquement comme l’acte de « regarder à l’intérieur » de soi, par une forme d’attention portée à ses propres sensations, états ou pensées.
Il s’agit en psychologie de la connaissance intérieure que nous avons de nos perceptions, actions, émotions, connaissances, différente en ce sens de celle que pourrait avoir un spectateur extérieur.
Source Wikipédia

Hélas, l’introspection a ses limites, car comme l’a si bien écrit Auguste Comte : “On ne peut pas se mettre à la fenêtre pour se regarder passer dans la rue“. Et j’en ai fait l’amère expérience.

Remontons un peu dans le temps, de quelques mois. En tant que responsable de la cybersécurité, je dois mener à bien dans mon entreprise beaucoup de projets de sécurité informatique, et ces projets m’amènent à travailler avec beaucoup de personnes. Comme dans toutes les entreprises, cela se passe parfois bien, et parfois moins bien : je me heurte à des résistances ou des comportements hostiles.

Rien de neuf sous le soleil, mais cette fois j’ai eu à gérer un comportement très hostile qui m’a demandé beaucoup d’énergie. Sans entrer dans des détails inutiles, je me suis attaché à remplir mes missions et à garder une attitude professionnelle, mais la collaboration se passait très mal. J’ai changé mes méthodes, mes analyses, mes outils, mes arguments. Je me suis remis en cause, j’ai travaillé plus, et plus longtemps. Et, sans vraiment m’en rendre compte, je me suis mis à tourner comme un hamster dans sa cage : beaucoup d’énergie dépensée pour peu de résultats.

Ma hiérarchie demande des résultats, et c’est bien normal puisqu’en échange je touche un salaire avec une partie liée à des objectifs. Donc, moins j’avais de résultats, plus je déployais d’efforts, d’analyses, de stratégies, de techniques de contournement, pour arriver à avancer sur mes projets. Petit à petit, la pression augmentait. J’essayais de remettre en cause mes compétences, mes connaissances, mon savoir-faire, mon savoir-être, mais rien n’y faisait.

Mon regard introspectif et ma logique d’analyse de mes propres sensations ne me donnaient aucun indice sur ce qui était en train de se passer dans mon cerveau : une petite voix intérieure me soufflait de stopper cette spirale infernale d’épuisement mental.

Quand j’écris “petite voix intérieure”, le lecteur que je suis (comme vous, je lis ce texte, je suis même le premier à le lire), le lecteur que je suis, donc, imagine quelqu’un qui parle à voix basse, comme une sorte de diablotin/ange posé sur l’épaule. Mais ce n’est pas cela du tout : la partie consciente de mon cerveau, celle qui tient les commandes, est seule à la manœuvre.

la conscience serait un phénomène mental caractérisé par un ensemble d’éléments plus ou moins intenses et présents selon les moments : un certain sentiment d’unité lors de la perception par l’esprit ou par les sens (identité du soi), le sentiment qu’il y a un arrière-plan en nous qui « voit », un phénomène plutôt passif et global contrairement aux activités purement intellectuelles de l’esprit, actives et localisées, et qui sont liées à l’action (par exemple la projection, l’anticipation, l’histoire, le temps, les concepts…).
Extrait de la page “conscience” de Wikipedia

La conscience s’appuie sur un ensemble complexe de circuits neuronaux qui s’organisent en réseaux pour traiter les entrées sensorielles, les relayer jusqu’au cortex, puis les traduire en sorties comportementales ou psychiques. La variété des comportements nécessite que certains réseaux soient sélectionnés en fonction des différents types de situations vécues. Cette sélection est réalisée par les neurones dits modulateurs, qui libèrent de la sérotonine, de la noradrénaline ou de la dopamine.

La conjonction de plusieurs disciplines – l’anatomie, la neurobiologie comportementale et la neuropharmacologie – a permis de définir une entité dénommée « circuit de la récompense », constituée de structures cérébrales en interrelation (noyau accumbens, septum, amygdale, hippocampe, cortex préfrontal), elles-mêmes sous la dépendance des afférences dopaminergiques venant de l’aire tegmentale ventrale.
Le cortex préfrontal est impliqué dans la motivation et la focalisation de l’attention, l’amygdale est considérée comme étant le centre des émotions, et l’hippocampe serait le régulateur de la mémoire. Quant au noyau accumbens, il jouerait un rôle d’interface entre les émotions et les sorties motrices. Toutes ces structures se projettent sur l’hypothalamus, qui régule les fonctions neurovégétatives de l’organisme, c’est-à-dire les fonctions vitales telles que le rythme cardiaque ou la régulation thermique, des fonctions métaboliques comme la faim et la soif, et également la reproduction. L’aire tegmentale ventrale, enfin, reçoit les informations de plusieurs régions cérébrales, dont l’hypothalamus, et transmet ses ordres au noyau accumbens et au reste du circuit de la récompense en modifiant la libération de dopamine
Source “Le circuit de la récompense” de Jean-Pol Tassin

Un stress intense peut briser le circuit de la récompense en modifiant la libération de dopamine.

Non seulement j’étais de plus en plus déprimé en quittant mon travail, mais j’y allais de plus en plus “avec la boule au ventre”. Plus le temps passait, plus le fonctionnement “normal” de mon cerveau se dégradait et j’en étais le spectateur inconscient. La dopamine est indispensable à la survie de l’individu car elle joue un rôle dans la motivation. Ma “petite voix intérieure” me soufflait de plus en plus fort de tout arrêter PAR TOUS LES MOYENS et mon angoisse se transformait en pensées sombres.

Je me mettais à transpirer abondamment en pleine réunion, ou à balbutier en pleine intervention, comme une crise de panique sans raison. Je dormais beaucoup mais mal, je me réveillais au milieu de la nuit sans pouvoir me rendormir. J’étais tout le temps fatigué.

Les gens sont parfois victimes d’incendie, tout comme les immeubles. Sous la tension produite par la vie dans notre monde complexe leurs ressources internes en viennent à se consumer comme sous l’action des flammes, ne laissant qu’un vide immense à l’intérieur, même si l’enveloppe externe semble plus ou moins intacte.
Herbert J. Freudenberger, psychologue et psychothérapeute américain

Vous l’avez compris, j’ai été victime d’un épuisement professionnel (je vous invite à lire cette page très intéressante de Wikipédia car elle décrit beaucoup d’autres situations très différentes de la mienne).

Bref, j’ai fait un “burn-out“.

Si j’ai décidé d’écrire ce billet, c’est parce que je m’en suis sorti grâce à deux RSSI qui ont osé briser le tabou du silence et témoigner lors d’une conférence à laquelle j’ai assisté. Je n’oserai sans doute pas faire de même car j’ai encore du mal à en parler, mais j’ai la chance d’avoir ce blog qui me sert de thérapie.

Je m’en suis sorti grâce au soutien de Mme Zythom qui a su m’entourer de son amour sans me juger ni me donner les conseils bateaux du type “non mais ça va aller” ou “il y a plus à plaindre que toi”. Le burn-out est un incendie intérieur ne laissant qu’un vide immense.

Je m’en suis sorti grâce à l’intervention de mon nouveau chef qui a su reconnaître ma situation d’épuisement et prendre les bonnes décisions de soutien.

Ce qui est sûr, c’est que je ne m’en suis pas sorti grâce à mon cerveau.

60 ans

C’est aujourd’hui mon anniversaire, et j’ai parcouru 56.4 milliards de km autour du soleil. Enfin, plus que ça, car c’est la distance qu’a parcourue le centre de gravité de notre planète, que j’en suis éloigné d’environ 6570 km et que je tourne autour en 24h (environ). Ma trajectoire autour du soleil est donc une courbe un peu bizarre, et si en plus je compte les (petits) déplacements que je fais sur la surface de la Terre, bah, on n’est pas rendu. De toutes façons, ma trajectoire autour du soleil n’a pas de longueur définie, si l’on prend en compte le paradoxe du littoral. En plus, le soleil se déplace, donc la trajectoire du centre de la Terre n’est pas vraiment une ellipse dans le référentiel galiléen galactique.

Je m’égare un peu parce que, parce que… parce que 60 ans quoi.

Bon, si je suis optimiste et que je me réfère à notre Jeanne Calment nationale, je ne suis pas encore tout à fait à la moitié de mon parcours.

Si en revanche, je regarde du côté des statistiques avec l’outil interactif de l’INSEE, il me reste environ 26 années d’espérance de vie (je suis un privilégié, même si l’outil de l’INSEE ne prend pas en compte la profession de RSSI).

A 10 ans, j’étais un enfant avec la tête dans les étoiles.
A 20 ans, j’étais un jeune homme avec l’avenir devant lui.
A 30 ans, j’étais un jeune marié avec un avenir à construire à 2, puis à 3, à 4 et à 5.
A 40 ans, j’étais une machine de guerre hyperactive sur tous les fronts.
A 50 ans, j’étais au sommet de mes compétences et le tremplin d’envol de mes enfants.
A 60 ans, je suis juste vieux.

Plus précisément, j’ai un cerveau qui pense encore avoir 40 ans (la machine de guerre) mais qui prend conscience avec effroi que la mécanique se grippe à peu près partout… J’ai ainsi pu établir scientifiquement une règle de biodynamique différentielle :
A 10 ans, le cerveau pense qu’on a 15 ans.
A 20 ans, le cerveau pense qu’on a 20 ans.
A 30 ans, le cerveau pense qu’on a 25 ans.
A 40 ans, le cerveau pense qu’on a 30 ans.
A 50 ans, le cerveau pense qu’on a 35 ans.
A 60 ans, le cerveau pense qu’on a 40 ans et qu’on est toujours une machine de guerre.

Selon cette loi dite de Zythom-Werbos, formalisée par l’équation empirique :

mon cerveau pensera que j’ai 60 ans lorsque mon âge légal atteindra l’âge incertain statistiquement de 100 ans.

Bref, j’ai 40 ans et je suis encore une machine de guerre.

La vieille dame qui ouvre ses volets

Les habitués de ce blog le savent : j’habite en lointaine province et je travaille à Paris. Je fais le trajet en train deux fois par semaine (un aller-retour), et je loue un petit appartement à mi chemin entre ma gare parisienne et mon lieu de travail. Dans mon cas, mi chemin signifie à 20mn de marche de la gare et à 20mn de marche de mon travail (je n’aime pas prendre le bus ou le métro, et cela me fait une petite activité physique chaque jour).

Comme beaucoup de personnes, j’ai pris l’habitude de partir tous les jours le matin au boulot à peu près à la même heure (le soir, c’est une autre histoire), ce qui fait que je passe toujours aux mêmes endroits aux mêmes moments.

Et il y a sur mon chemin, une vielle dame qui habite un appartement au rez-de-chaussée.

Plusieurs fois par semaine, le matin, je passe à pied sur le trottoir sous sa fenêtre juste au moment où elle ouvre ses volets. Et à chaque fois, elle me lance un regard un peu vide et me demande : “bonjour monsieur, quel jour sommes-nous ?”

La première fois, j’étais un peu interloqué, mais j’ai regardé mon téléphone pour être sur de bien lui répondre (je ne sais pas si elle souhaite connaître le jour de la semaine, ou la date du jour, alors je lui donne les deux informations) : “Bonjour madame, nous sommes aujourd’hui lundi 6 février et je vous souhaite une bonne journée.”

Je sais que les personnes âgées peuvent perdre le fil du temps, et que certaines maladies neurodégénératives altèrent les souvenirs récents, dont le jour de la semaine. Je vois d’ailleurs à son regard qu’elle semble un peu désolée de demander cette information à un inconnu qui passe dans la rue. Mais je ne juge pas, je vous partage des hypothèses.

D’ailleurs, je me suis surpris à regarder l’heure exacte où elle ouvre ses volets, et parfois j’accélère, ou je ralentis mon pas, pour pouvoir lui donner ce renseignement minuscule qui semble lui apporter un peu de réconfort. Et sur les 3 matinées que je passe à Paris chaque semaine, j’arrive à la dépanner environ une fois, pour notre plaisir réciproque.

Depuis plusieurs semaines, je n’arrive plus au bon moment pour la voir ouvrir ses volets, à tel point que j’ai commencé à me poser des questions.

Un matin, j’ai remarqué que des ouvriers travaillaient dans l’appartement en plein chantier de rénovation. Je n’ai pas osé leur demander où était passée la vieille dame, dont je ne connais même pas le nom. J’échafaude des hypothèses, et ma préférée est de me dire qu’elle a été recueillie par ses enfants qui prennent bien soin d’elle, et qui lui disent tous les matins quel jour l’on est.

La vieille dame n’ouvre plus ses volets quand je passe, et cela me rend un peu triste.

La revue Next INpact vit ses derniers instants sauf si

Parmi les rares abonnements payants auxquels j’ai souscrits, celui de Next INpact arrive loin devant : c’est pour moi une revue tenue par des journalistes spécialisés de très haut niveau et particulièrement compétents. C’est aussi la seule revue dont je lis les commentaires publiés sous les articles, car les abonnés partagent une passion commune, celle de l’informatique.

Si j’écris ce billet, c’est parce qu’après 23 années d’existence, la revue risque de disparaître, et que j’ai la chance de pouvoir atteindre quelques milliers d’internautes à travers ce blog, non seulement pour vous encourager à vous abonner à cette revue qui ne vous imposera aucune publicité, mais surtout pour aller voir les financiers de votre entreprise et leur parler de mécénat et défiscalisation :

Nous pouvons être sauvés grâce au soutien des acteurs du numérique, à l’aide de mécénats défiscalisables – le mécénat d’entreprises ouvrant droit à une réduction d’impôt égale à 60 % du montant du don (IR ou IS) dans la limite de 0,5 % du chiffre d’affaires ou 20 000 euros maximum en cas de dépassement de cette limite.
Je reste convaincu que certains souhaiteraient que nous poursuivions notre aventure aussi longtemps que possible. Une fois que la société INpact mediagroup sera fermée, il ne sera plus possible de revenir en arrière. Si vous souhaitez nous aider, c’est maintenant ou jamais.

Si vous connaissez Bernard Arnaud (ou son conseiller fiscal), ou si vous travaillez dans une entreprise du numérique capable de comprendre les enjeux autour de cette formidable équipe, ne tardez pas.

SPIP et la récidive

Le billet précédent intitulé “Du côté du pédophile” m’a valu une avalanche de messages plus ou moins bienveillants, certains internautes n’ayant lu que le titre du billet et d’autres ne supportant pas qu’une personne soupçonnée de pédopornographie puisse être défendue, et encore moins relaxée au bénéfice du doute.

N’écoutez pas l’opinion publique qui frappe à la porte de cette salle. Elle est une prostituée qui tire le juge par la manche, il faut la chasser de nos prétoires, car, lorsqu’elle entre par une porte, la justice sort par l’autre.

Extrait de la plaidoirie de Me Paul Lombard, avocat de Christian Ranucci, devant la Cour d’assises des Bouches-du-Rhône

Et parmi ce déluge de haine, un message de lumière, du type de ceux qui redonnent espoir en la nature humaine : un message d’un agent du SPIP.

Dans mon parcours personnel, Spip a d’abord désigné le petit écureuil sauvé par Spirou dans L’Héritage de Bill Money, puis après ma rencontre avec l’avocate qui illumine ma vie, le Service Pénitentiaire d’Insertion et de Probation, et enfin le fameux Système de Publication pour l’Internet dont la mascotte est également un écureuil.

Voici donc un extrait du message que m’a envoyé un membre du SPIP qui m’a autorisé à le reproduire ici :

Réaction à votre dernier billet

Pour situer ma question, je travaille désormais pour le service pénitentiaire d’insertion et de probation. A ce titre, il m’est arrivé d’accompagner des personnes condamnées pour détention d’images pédopornographiques. L’un de nos objectifs est de prévenir la récidive.

Le suivi, en milieu pénitentiaire ou à l’extérieur, articule plusieurs démarches, en fonction du profil de l’individu. Le principe est le suivant : j’étudie la situation de l’usager, et nous identifions un ou plusieurs éléments dont la résolution permettrait de diminuer la probabilité d’une récidive. Pour les délinquants sexuels, le travail sur les faits est une des modalités du suivi, et il peut être crucial.

Dans le cas précis de la détention d’images pédopornographiques, plusieurs personnes condamnées adoptent un discours fréquemment similaire sur le contexte de commission de l’infraction.

Elles indiquent qu’elles fréquentaient des sites pornographiques "classiques", téléchargeaient des fichiers vidéo et, d’un site à l’autre, se sont retrouvées sur des sites internet qui auraient téléchargé automatiquement des fichiers interdits sur leur disque dur de manière involontaire ; elles ne reconnaissent pas les avoir recherchés, ni avoir souhaité les charger sur leur disque dur.

Leur propos sonne fort improbable aux oreilles des professionnels ; il ressemble à une tentative plus ou moins assumée de se dédouaner ; je crois aussi que certains se convainquent d’une histoire qui leur permet de s’arranger avec leur culpabilité reconnue.
De ce fait, il est important pour le professionnel de reconnaître la part de vraisemblance de ce discours.

Concrètement, mes questions sont les suivantes :

- Est-il possible que des fichiers illégaux soient téléchargés par l’utilisateur d’un site pornographique « classique », à son insu ou, en tout cas, de manière indésirable ?
- Cet aspect volontaire du téléchargement est-il discernable à l’expertise ?
- Cet aspect volontaire fait-il systématiquement partie des questions posées à l’expert dans les ordonnances de commission ?
- Dans le cas contraire, quand vous répondiez à votre mission d’expert, apportiez-vous une information sur cet aspect, en considérant par exemple qu’il s’agissait d’une notion couverte par les « éléments permettant la manifestation de la vérité » ?

1) Est-il possible que des fichiers illégaux soient téléchargés par l’utilisateur d’un site pornographique « classique », à son insu ou, en tout cas, de manière indésirable ?

Avant de répondre à cette question, je précise que la personne autrice du message a précisé pourquoi elle utilisait l’expression site pornographique “classique” : Il me semble que les exploitants de ces sites pornographiques « classiques » ne sont pas forcément respectueux des règles de la propriété intellectuelle, ni même des personnes qui y apparaissent, ce qui me pousse à employer cet adjectif plutôt que « légal », qui me paraît inapproprié.

Le fonctionnement usuel d’un navigateur internet met en jeu un système de plusieurs caches, dont l’un se trouve sur l’ordinateur de l’internaute. Surfer sur internet revient donc à télécharger sur son ordinateur des images, des vidéos et différents fichiers textes, le tout stocké en mémoire vive de l’ordinateur et également dans le cache du navigateur, ce qui fait le régal des experts qui analysent son contenu lorsque la machine est entre leurs mains.

Il est donc parfaitement possible qu’un internaute télécharge des fichiers à son insu, l’exemple le plus fréquent étant le pixel espion utilisé dans les technologies de pistage.

Beaucoup de sites pornographiques sont financés par de la publicité, et lorsque celle-ci s’ouvre dans de multiples fenêtres ou différents bandeaux plus ou moins attendus par l’internaute, il n’est pas rare que certaines images, images animées ou vidéos se retrouvent dans le cache du navigateur. Et parmi ces éléments non sollicités se glissent parfois des scènes non conformes à la législation, ou qui y ressemblent fortement.

Je voudrais aussi souligner que la notion de “fichiers illégaux” relève de l’appréciation d’un magistrat, et qu’il n’est pas toujours facile de savoir faire cette distinction. Je détaille ma manière de faire dans le billet intitulé “Images pédophiles“. Je voudrais ainsi citer deux extraits de l’article 227-23 du code de procédure pénale :

Le fait, en vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur lorsque cette image ou cette représentation présente un caractère pornographique est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende.
Ainsi certains mangas qui sont légaux au Japon sont illégaux en France s’ils représentent un dessin de mineur en situation pornographique.

Les dispositions du présent article sont également applicables aux images pornographiques d’une personne dont l’aspect physique est celui d’un mineur, sauf s’il est établi que cette personne était âgée de dix-huit ans au jour de la fixation ou de l’enregistrement de son image.
Plusieurs sites pornographiques “classiques” disposent d’une rubrique dédiée aux scènes intégrant des personnes ayant les attributs d’une certaine jeunesse (couettes, absence de pilosité, sucette…). Cette rubrique peut donc contenir des vidéos tombant sous le coup de la loi.

2) Cet aspect volontaire du téléchargement est-il discernable à l’expertise ?

Non, sauf si l’internaute doit valider un test “prouvant” son humanité, souvent un test de type “CAPTCHA”, acronyme de l’anglais “Completely Automated Public Turing test to tell Computers and Humans Apart”, soit en français “Test public de Turing entièrement automatisé pour distinguer les ordinateurs des humains”.

Il n’est pas possible de discerner un téléchargement volontaire d’un téléchargement réalisé par un malware. Il n’est pas non plus possible en général de discerner un téléchargement réalisé par le propriétaire de la machine, de celui d’une personne tierce utilisant le compte du propriétaire de la machine. C’est d’ailleurs pourquoi sur ce dernier point, l’autorité de régulation de la communication audiovisuelle et numérique (ARCOM = Hadopi+CSA) poursuit le propriétaire de l’abonnement internet “pour défaut de sécurisation” lors du téléchargement illégal d’un film ou d’une musique (et non pas celui qui a effectué le téléchargement).

3) Cet aspect volontaire fait-il systématiquement partie des questions posées à l’expert dans les ordonnances de commission ?

Non, c’est même très rare.

4) Dans le cas contraire, quand vous répondiez à votre mission d’expert, apportiez-vous une information sur cet aspect, en considérant par exemple qu’il s’agissait d’une notion couverte par les « éléments permettant la manifestation de la vérité » ?

Oui, et je rappelle ces points dans le billet intitulé “Pédophilie et malware” que je vous invite à lire in extenso. Extrait :

Oui, le cadre de l’expertise judiciaire est très précisément fixé par le magistrat qui me désigne.
Oui, j’effectue toujours une recherche des virus et malware sur les scellés qui me sont confiés, alors que cela ne m’est pas demandé.
Oui, dans mon rapport, je n’écris pas “le suspect a téléchargé tel ou tel film pédopornographique”, mais j’écris “j’ai trouvé sur le scellé tel ou tel film pédopornographique”, en expliquant que je ne peux pas savoir qui manipule l’ordinateur.
Oui, et pas seulement parce que c’est ma nature, je vis dans l’angoisse de passer à côté d’un piratage particulièrement bien camouflé, et de subir ce que cet expert du passé a subi.

Je voudrais aussi citer un autre de mes billets intitulé “Ad nauseam” :

Je suis informaticien.
Je suis expert judiciaire inscrit dans cette spécialité.
Le magistrat qui me désigne le sait et me fixe une mission précise, technique.
On ne me demande pas mes opinions en matière de sexe.
On ne me demande pas de faire de la psychologie de comptoir en décidant ce qui est normal ou pas.
Quand j’ai un doute, ou que je me sens mal à l’aise, je ne dois pas me contenter de dire: je mets en annexe, les autres feront le tri. Il faut décider ce qui relève de la mission. Il faut décider ce qui relève de la dénonciation de crime.
Le reste, c’est la vie privée.
Et parfois, c’est dur de faire les choix, quand on sait qu’on peut briser une vie.
Mais briser la vie de qui? Celle de l’utilisateur du disque dur? Celle de sa prochaine victime s’il y en a une? La mienne?

Enfin voici également un extrait du billet intitulé “Cave ne ante ullas catapultas” (ie si j’étais vous, je ne marcherais pas devant une catapulte) :

Ma vision personnelle des missions est qu’il faut savoir y lire “l’esprit de la mission”. Personne ne m’a demandé dans cette expertise de savoir si oui ou non l’ordinateur qui m’a été confié appartient sans le savoir à un réseau de stockage distribué. Une sorte d’Amazone S3 version bad boys. Mais imaginez un peu la scène si c’était vrai, si un ordinateur contaminé, non content d’être dans un botnet pour spammer le monde entier, était utilisé pour stocker des données forcément compromettantes, comme par exemples des images pédopornographiques.

Dois-je, en ma conscience, dire au magistrat: “mais je n’ai pas regardé car vous ne me l’avez pas demandé”? Non. Mais dans ce cas, le travail est gigantesque: il faut analyser le code de chaque virus, de chaque ver, de chaque cheval de Troie pour savoir ce qu’il cherche à faire en s’étant implanté sur cet ordinateur… Et cela prend du temps, beaucoup de temps…

Alors, pour rester dans une fourchette de temps raisonnable (j’ai également une date limite pour réaliser une expertise judiciaire), je procède de la façon suivante: j’utilise plusieurs antivirus, je note toutes les détections faites lors des analyses (nom du programme malveillant, nom du fichier infecté), et je me renseigne sur les sites des éditeurs d’antivirus sur l’activité de chaque programme malveillant détecté. Et comme chaque éditeur utilise une terminologie différente, cela prend encore plus de temps.

Je compile tout cela pour le magistrat, afin de donner mon avis à cette question qu’il ne m’a pas posée: l’utilisateur est-il responsable de l’arrivée sur cette machine des fichiers illégaux que j’y ai trouvés.

Et parfois, ce n’est pas facile d’y répondre.
Un conseil: installez un bon antivirus.

Enfin, n’oubliez jamais que la science est le domaine du doute. Dans le billet intitulé “L’éternel voyage de la science“, je rappelle les malheurs du Professeur Tardieu, expert judiciaire, qui a fait condamner nombre d’innocents, et la conclusion du billet :

Il en sera toujours ainsi. Si savant soit-il, un savant ne peut savoir que tout ce qui se sait à son époque. Il s’en rend compte et, devant la justice, il emploie volontiers cette formule de haute modestie: “Dans l’état actuel de la science, je crois pouvoir affirmer telle ou telle chose”. Mais de cette réserve philosophique nul ne tient compte.
“Voilà ce qui me paraît être la vérité”, dit le savant.
“Voilà la certitude”, traduit la foule ignorante, oublieuse de “l’éternel voyage” de la science.

Je frémis à l’idée qu’un de mes scellés fasse sonner un antivirus d’aujourd’hui, alors qu’aucun des antivirus utilisés à l’époque de l’expertise ne détectait la présence d’un malware, inconnu alors.

J’espère avoir répondu à vos questions et que mes réponses vous aideront dans votre travail et serviront la cause de la Justice.